DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享:
DNS可以讓我們訪問目標域名時找到對應的IP:vxhuang33868
Domain->IP_REAL
如果這種指向關系被攻擊者替換了:
Domain->IP_BAD(攻擊者控制)微博小新投資筆記
Space and Time將為Sui提供索引支持:金色財經報道,去中心化數據平臺Space and Time將為Sui Network提供索引支持,將允許用戶探索、查詢并將防篡改的Sui數據發送到智能合約。Space and Time將提供可擴展的數據后端,這將使開發人員更容易在Sui Network上構建去中心化應用、游戲和協議。[2023/5/5 14:44:06]
那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。DNS劫持其實分為好幾種可能性,比如常見的有兩大類:
CNN因終止NFT項目而被指涉嫌Rug Pull:10月11日消息,CNN已經宣布結束旗下的Web3項目并宣布“我們決定是時候與CNN的Vault NFT說再見了。” CNN的Vault NFT,于2021年夏天推出,旨在打造專屬NFT市場,當時他們聲稱該平臺將“為收藏家提供擁有一段歷史的機會”,并將CNN的關鍵事件報道鑄造成了NFT。但現在由于項目快速結束,導致許多用戶不滿,在Discord頻道中,用戶指責CNN此舉是一種“Rug Pull”行為并聲稱將聯系律師維權。
根據Discord中披露的消息,CNN表示將按照10月6日捕獲的每個錢包中的NFT購買價格來補償用戶,不過由于相關NFT存儲在分布式文件系統IPFS中,這意味著即使CNN的NFT網站消失,這些NFT也能繼續可用。此外,Discord消息還告知相關NFT持有人,CNN計劃“銷毀”未出售的NFT,這將使他們持有的NFT變得更加稀有。(The Verge)[2022/10/11 10:30:58]
1.域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;
Pomelo Pay將加密貨幣添加到支付服務套件中:金色財經報道,英國金融科技平臺Pomelo Pay與加密貨幣支付服務提供商TripleA合作,使企業金融機構、商戶收單機構、支付服務提供商和其他金融科技能夠提供加密貨幣支付方式。(Finextra)[2022/8/11 12:19:13]
2.在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。
第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。
第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。
Veratad宣布與Blockchain-ID合作開發BlockchainIDme:金色財經報道,Veratad宣布與位于英國的Blockchain-ID?Ltd合作開發BlockchainIDme,這是一種身份驗證工具,集成了KYC和AML合規性解決方案,可部署在Algorand區塊鏈上。[2022/7/11 2:05:02]
重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。
對于項目方來說,除了對自己的域名HTTPS+HSTS配置完備之外,可以常規做如下安全檢查:
1.檢查域名相關DNS記錄(A及NS)是否正常;
2.檢查域名在瀏覽器里的證書顯示是否是自己配置的;
3.檢查域名管理的相關平臺是否開啟了雙因素認證;
4.檢查Web服務請求日志及相關日志是否正常。
對于用戶來說,防御要點好幾條,我一一講解下。
對于關鍵域名,堅決不以HTTP形式訪問,
而應該始終HTTPS形式
如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。
對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。
那么這種情況下用戶如何防御呢?用戶除了保持每一步操作的警惕外。
我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。
NoScript默認攔截植入的JavaScript文件。
但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。
隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。
但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的
植入了盜幣有關的惡意代碼。
如果我們之前NoScript信任了Curve,那么這次也可能中招。
可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過
這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。
如果你覺得對你有幫助或有什么要補充的,歡迎參與討論。
對BrianArmstrong等Coinbase管理層來說,這次加密寒冬確實有些難熬。一是隨著行業遇冷,交易量下滑,二季度平臺收入驟減超過30%,凈虧損約為11億美元,錄得自上市以來最大虧損;二.
1900/1/1 0:00:00DearValuedUsers,CandyDropislaunchingBWOonAugust15,2022.Registrationperiod:BWO:04:00(UTC)Aug15.
1900/1/1 0:00:00克隆銀行官網早已不是什么新鮮事,而如今不法之徒已將克隆網站的魔爪伸向了Web3.0領域。CurveFinance(curve.fi)的DNS記錄被入侵,并指向一個惡意網站.
1900/1/1 0:00:00許多發生在Web3項目上的黑客攻擊都可以通過加強智能合約的安全性進行避免。vxhuang33868通常,攻擊者會發現并利用整個軟件開發環節中的一些缺陷——從設計到部署和維護以及發布新代碼等一系列.
1900/1/1 0:00:00尊敬的CoinW用戶: 幣贏CoinW將于8月12日15:00(UTC8)進行OP4S、XETA6L、FTM6S、AVAX6S、AE6S、ATOM6S產品萬倍合股.
1900/1/1 0:00:00區塊鏈技術的革新,正在推動加密市場的高速發展,在上一輪牛市中,涌現出了諸多具備潛力且被廣泛采用的高估值項目,獲得了投資者們的投資.
1900/1/1 0:00:00