原文作者:余弦,慢霧科技創始人
DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享。
DNS可以讓我們訪問目標域名時找到對應的IP:
Domain->IP_REAL
如果這種指向關系被攻擊者替換了:
Domain->IP_BAD(攻擊者控制)
美國佛羅里達州州長:拜登政府希望取締加密貨幣:金色財經報道,美國佛羅里達州州長 Ron DeSantis 在最近的新聞發布會上表示,拜登政府希望取締加密貨幣,他們不喜歡加密貨幣,因為他們無法控制加密貨幣,所以他們想把所有東西都放在央行數字貨幣(CBDC)中。
DeSantis 可能是明年大選的總統候選人,他此前曾指責拜登總統通過CBDC這項技術進行監視和控制,DeSantis在本周表示,該州禁止央行數字貨幣的立法正在推進。但如果美聯儲或財政部試圖單方面這樣做,在佛羅里達州,我們將禁止這樣做。而且我認為這是確保人們財務獨立并確保我們沒有金融監督國家,在那里他們知道你正在進行的每一筆交易。[2023/5/5 14:43:42]
那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。
馬斯克正在接受美國聯邦調查,涉及收購Twitter相關行為:10月14日消息,Twitter的律師提交特拉華州衡平法院的一份文件表示,特斯拉CEO 埃隆·馬斯克正在接受聯邦的調查,此次調查與他試圖收購Twitter Inc. (TWTR) 有關。Twitter要求法院授權查閱馬斯克提供給官方的文件。[2022/10/14 14:27:29]
DNS劫持其實分為好幾種可能性,比如常見的有兩大類:
域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;
Klaytn生態Klaytn Lending Protocol推出治理代幣KLAP:7月26日消息,Klaytn生態借貸協議Klaytn Lending Protocol(KLAP)宣布推出為DApp用戶推出其治理代幣。美國東部時間周一晚上10點,KLAP流動性被添加至Klaytn生態AMM ClaimSwap中,并以獎勵的方式分發給早期KLAP用戶。(Bitcoinist)[2022/7/26 2:39:03]
在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。
第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。
DMG發起新ESG市場倡議,以鏈接Terra Pool用戶和機構買家:7月19日消息,區塊鏈和加密貨幣技術公司DMG Blockchain Solutions Inc.宣布正與多方合作,以為Terra Pool開發專門的基金,以管理產出的比特幣。
DMG正在創建一個自然的市場機制,在這個機制中,尋找碳中和比特幣挖礦的興趣方可以與Terra Pool及其成員礦工合作,通過碳中和能源產出比特幣。通過積極幫助創建Terra Pool產出比特幣的資金市場,DMG正在幫助其池用戶與尋找碳中和比特幣供應的機構買家聯系,而不需要尋找每個礦工,也不需要審計用于產出比特幣的能源來源。
此前6月消息,比特幣礦企Argo Blockchain和加拿大礦企DMG Blockchain Solutions的聯合項目Terra Pool現在向公眾開放。該礦池由兩家公司的水力發電資源驅動。(Globe Newswire)[2022/7/19 2:23:07]
第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。
重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。
對于項目方來說,除了對自己的域名HTTPSHSTS配置完備之外,可以常規做如下安全檢查:
檢查域名相關DNS記錄(A及NS)是否正常;
檢查域名在瀏覽器里的證書顯示是否是自己配置的;
檢查域名管理的相關平臺是否開啟了雙因素認證;
檢查Web服務請求日志及相關日志是否正常。
對于用戶來說,防御要點好幾條,我一一講解下。
對于關鍵域名,堅決不以HTTP形式訪問,比如:
http://examplecom
而應該始終HTTPS形式:
https://examplecom
如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。
對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。
那么這種情況下用戶如何防御呢?
用戶除了保持每一步操作的警惕外。
我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。
NoScript默認攔截植入的JavaScript文件。
但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。
隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。
但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的:
https://curvefi/js/app.ca2e5d81.js
植入了盜幣有關的惡意代碼。
如果我們之前NoScript信任了Curve,那么這次也可能中招。
可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過:
這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。
親愛的BitMart用戶:由于TEDDY代幣的安全漏洞引發的不可逆的代幣經濟改變,造成代幣增發導致幣種價格下跌.
1900/1/1 0:00:00尊敬的用戶:? 本著保護用戶的宗旨,BKEX為保證交易幣種的高標準,將定期對平臺內的代幣進行綜合性審查;如項目方出現對投資者不利因素,我們將采取對應措施,并下架對應項目.
1900/1/1 0:00:00本文來自Cryptoslate,原文作者:Liam''Akiba''WrightOdaily星球日報譯者|余順遂 摘要: TornadoCash團隊一名成員稱.
1900/1/1 0:00:00原文作者:MilesDeutscher原文編譯:TechFlowinternDeFi正在醞釀一個熱門的新敘事,它被稱為“真實收益”,協議根據創收情況向用戶支付收益.
1900/1/1 0:00:00臨近CPI數據公布,8月10日早間,加密市場出現了一波小回撤,24小時內,BTC跌幅約4%,ETH跌幅約5.5%,SOL跌幅7%,加密市場總市值來到7.55萬億人民幣,跌幅達到1.14%.
1900/1/1 0:00:001.馬德里將舉辦世界上最大的虛擬現實活動,以推出新的元宇宙MadridtoHostWorld’sBiggestVirtualRealityEventinaBidtoLaunchaNewMetav.
1900/1/1 0:00:00