Vários dapps defi, principalmente o Convex Finance, tiveram seu nome de domínio sequestrado.
ConvexFinance, Ribbon Finance, DeFiSaver e Allbridge foram todos afetados com usuários que aprovam contratos maliciosos enquanto estão no domínio real do projeto.
O registrador de todos esses domínios foi NameCheap, com seu CEO, Richard Kirkendall, afirmando:
“Nós rastreamos isso até um agente específico de Atendimento ao Cliente que foi hackeado ou comprometido de alguma forma e removemos todo o acesso desse agente. Isso afetou alguns domínios direcionados, mas continuaremos investigando.”
Espero que ele ou ela também tenha sido denunciado à polícia e receba pena de prisão porque este é um caso claro e direto de roubo com todas as evidências presumivelmente disponíveis, portanto, deve ser um julgamento curto.
Mas o hack ou o sequestro claramente não era nada sofisticado. Algum funcionário da NameCheap acabou de alterar o endereço IP para o qual o domínio apontava, com todos parecendo idênticos no novo servidor malicioso, incluindo os primeiros e últimos quatro dígitos do endereço ethereum.
Eu não sei o que está acontecendo, mas tenha 100% de certeza de que você aprova exatamente 0xF403C135812408BFbE8713b5A23a04b3D48AAE31
se você usasse @ConvexFinance make sure you did not approve: 0xF403a2c10B0B9feF8f0d4F931df5d86aD187AE31 https://t.co/QTsi6BV1Zj
— alexintosh.eth | Estou contratando (@Alexintosh) 23 de Junho de 2022
Então, eles usaram um endereço personalizado, e isso também não é sofisticado, porque você continua clicando em criar novo endereço até encontrar um que pareça semelhante.
Esse processo fica mais difícil quanto mais dígitos você quiser 'personalizado' pelo software bot clicando em criar novo endereço.
Os seres humanos podem lembrar na memória de curto prazo cerca de seis dígitos com facilidade para quase todos, e para a maioria eles podem lembrar sete dígitos, embora não com total facilidade.
Poucos endereços de vaidade podem ter sete dígitos, mas muitos também não seriam tão completos na verificação, com revoke.cash permitindo que você revogue permissões para qualquer contrato inteligente, embora neste caso todos os fundos já possam ter sido drenados.
Mas há um funcionário aqui e você espera que a NameCheap coopere totalmente ou eles próprios sejam julgados – julgamento criminal – portanto, recuperar parte dos fundos deve ser possível.
Porque esse funcionário presumivelmente sabe para quem mudou o IP, ou recebe pena de prisão dupla/tripla. Então, no final, podemos ter um caso de criminosos burros.
E, de acordo com Kirkendall, o sistema legal criminal parece ser a única solução aqui, porque pelo menos alguns funcionários aparentemente precisam da capacidade de alterar o IP nos casos em que há um hack ou abuso.
Para este último, uma solução melhor pode ser cancelar o domínio ou suspendê-lo em vez de redirecioná-lo. Para um hack, talvez não haja muita escolha, mas este é um crime idiota e, portanto, esperamos um processo completo e isso deve ser suficiente para dissuadir.
Porque não há como essa atividade ser realizada sem que se saiba exatamente quem executou a ação, com Kirkendall confirmando que eles mantêm registros de todas as alterações e atividades.
Tornando isso semelhante ao breve episódio de hacking de SIM, em que os ladrões obteriam o número de alguém para usá-lo para autenticação de dois fatores.
No entanto, é fácil encontrar quem pediu esse número, e aqui o funcionário é conhecido por NameCheap, e então você prende alguns e isso deve ser o fim, porque é garantia de prisão se você usar esse método e os fundos serão confiscados, a menos que você quer que o tempo de prisão vá até a vida.
Há também outras soluções em potencial, como o Ethereum Name Service (ENS), embora não vejamos muito usado para nomes de domínio ao vivo em produção, e também há Sequestros de BGP onde o ISP redireciona para malicioso, mas aqui também a aplicação da lei pode encontrar o funcionário e quem o fez.
Portanto, a solução é que esses ladrões percebam que estão sendo burros com o dinheiro dos nossos impostos, deixando muito claro através da aplicação da lei fazendo o trabalho pelo qual é pago, o que provavelmente eles farão.
Embora a solução temporária seja estar um pouco mais alerta atualmente, verifique pelo menos sete dígitos e, se você já aprovou anteriormente, verifique ainda mais detalhadamente.
Porque eles podem falsificar muitas coisas, mas não podem falsificar o endereço real, não fica claro se, a longo prazo, também existem soluções potencialmente de IA onde o MetaMask ou o Etherscan o avisam.
Pode parecer irônico que agora você tenha um gatekeeper centralizado dizendo em que confiar, mas você pode ignorá-los se quiser e eles não podem forçá-lo a fazer algo, como apenas alterar o IP do seu domínio como em bancos de dados centralizados.
Fonte: https://www.trustnodes.com/2022/06/25/defi-dapps-dns-attacked