Gracias Squarespace
En el mundo de la tecnología blockchain de vanguardia y las plataformas de finanzas descentralizadas de miles de millones de dólares, uno podría esperar una seguridad a prueba de balas.
Sin embargo, eventos recientes han destruido esta ilusión, exponiendo vulnerabilidades que continúan plagando la industria.
El fallo de seguridad de Squarespace llevó a secuestros generalizados de dominios cripto, exponiendo vulnerabilidades de Web3 vinculadas a la infraestructura de Web2.
CoinList fue la primera víctima del reciente fiasco de Squarespace el 9 de julio, detectando y frustrando un ataque que involucraba el acceso no autorizado a su cuenta de Squarespace e intentos de comprometer servicios críticos de terceros.
Esta primera escaramuza proporcionó un sombrío anticipo del asalto más amplio que se desarrollaría en los días siguientes, afectando a numerosas plataformas importantes de la comunidad cripto.
Entre el 9 y el 12 de julio de 2024, la comunidad cripto se vio sacudida por una serie de secuestros de dominios que explotaron una vulnerabilidad no en contratos inteligentes complejos, sino en el mundo mundano de la gestión de dominios Web2.
Plataformas prominentes como Celer Network, Compound Finance, Pendle Finance, y docenas de otros protocolos cripto encontraron sus sitios web comprometidos a través de su proveedor de hosting compartido, Squarespace.
Estos incidentes no fueron sofisticados hacks de blockchain, sino más bien un simple exploit de la infraestructura web tradicional.
Con millones de dólares en activos colgando de un hilo, el mundo cripto se vio obligado a enfrentar una verdad incómoda: por toda su tecnología revolucionaria, la industria sigue peligrosamente dependiente de los mismos sistemas centralizados que busca reemplazar.
En su prisa por construir el futuro de las finanzas, ¿ha descuidado la industria cripto las lecciones fundamentales de seguridad del pasado?
Créditos: Michael Coates, Security Alliance, 0xngmi, alp1n3.eth, Krebs on Security
Los recientes secuestros de dominios de Squarespace destacan una vulnerabilidad crítica en la transición de la industria cripto de Web2 a Web3.
Mientras los proyectos blockchain se esfuerzan por crear sistemas descentralizados, a menudo se encuentran en un estado híbrido, con un pie en la promesa descentralizada de Web3 y el otro pie aún firmemente plantado en la infraestructura centralizada de Web2.
Este estado híbrido, a veces denominado Web 2.5, ha creado un conjunto único de desafíos de seguridad.
El vector de ataque utilizado en el incidente de Squarespace, comprometiendo los sistemas de gestión de dominios, no es nuevo.
En los últimos años, hemos visto numerosos ataques dirigidos a la infraestructura de Web2 de la que dependen muchos proyectos blockchain.
Desde secuestros de DNS hasta ataques de ingeniería social a proveedores de hosting, los hackers han demostrado repetidamente que el eslabón más débil en muchos proyectos cripto no es el blockchain en sí, sino los sistemas web tradicionales que lo rodean.
Añadiendo otra capa de complejidad a esta situación está la adquisición de Google Domains por parte de Squarespace en junio de 2023 (cerrada el 7 de septiembre de 2023).
Esta adquisición, que vio a Squarespace hacerse cargo de la gestión de millones de dominios, fue seguida por un proceso de migración que pudo haber introducido inadvertidamente nuevas vulnerabilidades.
Aunque aún no está claro cómo esta migración contribuyó directamente a los ataques recientes, subraya los riesgos potenciales asociados con cambios a gran escala en la infraestructura crítica de internet.
A medida que profundizamos en el incidente de Squarespace, se vuelve claro que el éxito del ataque no dependía de técnicas de hacking sofisticadas, sino de explotar descuidos básicos de seguridad.
Subrayando una vulnerabilidad crítica en el mundo cripto, el factor humano. Esto es algo que destacamos como una preocupación en El Talón de Aquiles de Cripto.
Los atacantes capitalizaron las débiles configuraciones de seguridad predeterminadas en las cuentas de Squarespace, enfocándose particularmente en la configuración de reenvío de correo electrónico como un punto clave de entrada.
El vector de ataque empleado en el incidente de Squarespace siguió una secuencia meticulosamente planificada.
Los atacantes primero obtuvieron acceso no autorizado a las cuentas de Squarespace, explotando vulnerabilidades posiblemente introducidas durante la reciente migración desde Google Domains.
Una vez dentro, manipularon la configuración de reenvío de correo electrónico, redirigiendo todas las comunicaciones a direcciones controladas por los atacantes.
Esta configuración les permitió interceptar información crítica, incluidos los enlaces de restablecimiento de contraseñas para servicios de terceros.
Con este punto de apoyo establecido, los atacantes iniciaron una forma de secuestro de DNS. Se enfocaron en restablecimientos de contraseña para servicios importantes de terceros, centrándose en individuos que probablemente tuvieran acceso de administrador.
Al interceptar estos enlaces de restablecimiento, podrían potencialmente tomar el control de estos servicios, ganando la capacidad de drenar fondos directamente o modificar sitios web para incluir código malicioso que pudiera comprometer a los usuarios.
Las consecuencias de este ataque fueron inmediatas y de gran alcance.
Lo que comenzó apareciendo como un ataque aislado rápidamente se convirtió en una crisis sectorial en los días siguientes.
Para el 12 de julio, la comunidad cripto estaba en caos mientras docenas de protocolos DeFi prominentes, proveedores de infraestructura blockchain y proyectos Web3 reportaban sitios web comprometidos.
La situación evolucionó a un juego de golpear al topo, con nuevas víctimas emergiendo cada hora, cada una exponiendo potencialmente millones en activos digitales a riesgo y erosionando la confianza del usuario en todo el ecosistema.
La respuesta de Squarespace al incidente fue ampliamente criticada como inadecuada.
A pesar de ser alertados sobre la brecha por CoinList el 9 de julio, la compañía fue lenta en reconocer el problema o proporcionar orientación a los usuarios afectados.
Esta respuesta mediocre ha planteado preocupaciones sobre las prácticas de seguridad de la compañía y su capacidad para salvaguardar los millones de dominios bajo su gestión tras la adquisición de Google Domains.
A la luz de estos eventos, los investigadores de seguridad han emitido recomendaciones urgentes tanto para dominios afectados como potencialmente vulnerables.
A continuación se presenta un breve desglose de las soluciones de seguridad clave presentadas por samczsun, tayvano y AndrewMohawk:
Medidas a corto plazo para cuentas de Squarespace:
- Habilitar
2FA para cuentas de propietarios de dominio.
Usar contraseñas únicas y nuevas.
Eliminar colaboradores innecesarios.
Asegurar que todos los colaboradores restantes tengan 2FA y contraseñas únicas.
Medida a corto plazo para Google Workspace:
Deshabilitar el acceso del revendedor si Google Workspace se compró a través de Google Domains.
A largo plazo se recomienda usar un registrador de dominios de alta seguridad con características como:
Soporte de MFA con token de hardware.
Control granular sobre permisos de administrador de dominio.
Rastreos de auditoría accesibles.
Notificaciones para acciones críticas.
Registradores de alta seguridad sugeridos:
Para usuarios no empresariales: Cloudflare Registrar, Amazon Route 53, dnsimple.
Para nivel empresarial: MarkMonitor, CSC.
Implementar estrategias de defensa en profundidad:
Usar múltiples capas de seguridad en toda la infraestructura.
Ejemplo: El uso de YubiKeys y sistemas de monitoreo de CoinList.
Reevaluar regularmente la superficie de ataque:
Reevaluar vectores de amenaza potenciales, especialmente después de cambios.
Ser consciente de que los proveedores web2 pueden no considerar amenazas específicas de cripto.
Para más detalles, consulta una retrospectiva de Squarespace, o cómo coordinar una respuesta a incidentes a nivel de industria por la Security Alliance.
Aquí hay una lista de dominios asociados con Squarespace en riesgo proporcionada por 0xngmi.
La comunidad de seguridad web3 se encargó de difundir la noticia y los exploits disminuyeron, pero dYdX no recibió el mensaje, ya que su dominio fue secuestrado el 23 de julio, a pesar de estar en la lista.
Para aquellos ansiosos por sumergirse en los detalles técnicos, alp1n3.eth ha proporcionado un "Análisis de JavaScript malicioso de Inferno Drainer del secuestro de dominio de Squarespace" en profundidad, enfocándose en el exploit que golpeó a Compound Finance.
Este reciente fiasco sirve como una llamada de atención para la industria cripto, enfatizando la necesidad de prácticas de seguridad robustas que cierren la brecha entre las tecnologías Web2 y Web3.
¿Puede el mundo cripto realmente lograr su visión descentralizada mientras sigue atado a los mismos sistemas que pretende reemplazar?
Squarespace se erige como un recordatorio sombrío de los peligros de la complacencia de Web2 en un mundo Web3.
Su respuesta mediocre y aparente desprecio por las necesidades únicas de seguridad de los proyectos cripto han dejado un rastro de dominios comprometidos y confianza destrozada.
Quizás ofrezcan $10 de tarjetas de regalo de Uber Eats como compensación como supuestamente hizo Crowdstrike, ¿eso debería cubrir los daños, verdad?
Este desastre sirve como una llamada de atención para toda la industria cripto, no importa cuán avanzado sea tu blockchain, solo eres tan seguro como tu eslabón centralizado más débil.
Squarespace tuvo casi un año para manejar la migración desde Google Domains.
¿Pasaron más tiempo eligiendo fuentes para sus páginas de error que asegurando millones de dominios?
Es hora de que los proyectos cripto examinen detenidamente su infraestructura e implementen prácticas de seguridad que coincidan con la naturaleza de alto riesgo de sus operaciones.
Mientras avanzamos hacia un futuro descentralizado, ¿podemos realmente revolucionar las finanzas mientras seguimos dependiendo del andamiaje tambaleante de Web2?
¿Cuándo aprenderemos finalmente que demasiados puntos centrales de falla son una trampa?
¿Es hora de que el mundo cripto construya sus propias bases seguras desde cero?
Después de todo, si no podemos confiar en un simple registrador de dominios, ¿cómo podemos esperar que las masas confíen en el futuro de las finanzas?
REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.
dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
aviso legal:
REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.
te podría gustar...
M2 Exchange - Rekt
Bienvenidos a la casa del horror de M2 Exchange de $13.7 millones, donde, aunque afirman haber atrapado a su "fantasma", los espíritus inquietos siguen danzando en la medianoche. Un carnaval de contradicciones espera…
Astroport - Rekt
El DEX @astroport_fi en la red de Terra fue víctima de un hackeo que resultó en pérdidas de aproximadamente $6.4 millones. El ataque explotó una vulnerabilidad conocida y parcheada en abril, que fue reintroducida accidentalmente en una actualización de junio.
Bittensor - Rekt
El 2 de julio, la luz de la blockchain de Bittensor fue interrumpida bruscamente por un hackeo de $8 millones, debido a un Gestor de Paquetes PyPi comprometido. Mientras los validadores meditaban en sus nodos, un atacante silenciosamente drenó sus billeteras más rápido de lo que puedes decir "omm".