Thanks Squarespace
在前沿的区块链技术和价值数十亿美元的去中心化金融平台的世界里,人们可能会期待拥有坚不可摧的安全性。
然而,最近打破了这种幻想,暴露了困扰行业多年的弊病。
Squarespace 的安全漏洞导致大规模的加密域名劫持,暴露了与 Web2 基础设施相关的 Web3 漏洞。
CoinList 是 Squarespace 事件的首位受害者,7月9日,它检测并阻止了一次攻击,该攻击涉及未经授权访问其Squarespace账户,并试图破坏关键的第三方服务。
这次早期的交锋令人不寒而栗,预示着接下来几天将黑客展开的更大范围的攻击,最终在接下来的几天内吞噬了加密社区中的多个知名平台。
2024 年 7 月 9 日至 12 日期间,加密社区被一系列域名劫持事件震撼,这些事件并非利用复杂的智能合约漏洞,而是利用了Web2域名管理中普通的漏洞。
包括Celer Network、Compound Finance、Pendle Finance和其他数十种加密协议在内的知名平台发现,它们的网站经由共享托管服务提供商Squarespace而受到攻击。
这些事件并不是复杂的区块链黑客攻击,而是对传统网络基础设施的简单利用。
由于数百万资产处于危险之中,加密货币世界被迫面对一个令人不安的事实:尽管拥有革命性的技术,这个行业仍然危险地依赖于它试图替代的那些中心化系统。
在急于构建金融未来的过程中,整个加密行业是否忽略了过去的基本安全教训?
图片来源:Michael Coates、Security Alliance、0xngmi、alp1n3.eth、Krebs on Security
最近发生的 Squarespace 域名劫持事件凸显了加密行业从 Web2 向 Web3 过渡过程中的一个关键漏洞。
尽管区块链项目努力创建去中心化的系统,但它们往往处于两个世界的夹缝中:一只脚踏在 Web3 的去中心化承诺中,另一只脚仍然牢牢扎根在 Web2 的中心化基础设施中。
这种混合状态有时被称为 Web 2.5,它带来了一系列独特的安全挑战。
在Squarespace事件中使用的攻击向量——入侵域名管理系统并非新鲜事。
近年来,我们目睹许多针 对Web2 基础设施的攻击,这些Web2设施被许多区块链项目所依赖。
从 DNS 劫持到针对托管服务提供商的社会工程攻击,黑客已经多次证明,许多加密项目中最薄弱的环节不是区块链本身,而是围绕它的传统网络系统。
使局面更加复杂的是,Squarespace于 2023 年 6 月收购了 Google Domains(2023 年 9 月 7 日完成)。
此次收购使 Squarespace 接管了数百万个域名的管理,但随后的迁移过程可能无意中引入了新的漏洞。
虽然尚不清楚这种迁移如何直接导致了最近的攻击,但它突显了大规模改变关键互联网基础设施所带来的潜在风险。
随着我们对 Squarespace 事件的深入研究,我们发现,这次攻击的成功并不依赖于复杂的黑客技术,而是利用了基本的安全漏洞。
强调了加密世界的一个关键弱点,即人为因素。这是我们在《加密的致命弱点》中强调的一个问题。
攻击者利用 Squarespace 帐户中的弱安全默认值,特别是将重点放在了电子邮件转发设置上,作为攻击的主要入口。
Squarespace 事件中,攻击者精心策划了攻击的步骤。
攻击者首先利用了最近从 Google Domains 迁移过程中可能引入的漏洞,未经授权访问了 Squarespace 帐户。
一旦进入系统,他们就会操纵电子邮件转发设置,将所有通信重定向到攻击者控制的地址。
这种设置使他们能够拦截关键信息,包括第三方服务的密码重置链接。
建立这个立足点后,攻击者开始实施 DNS 劫持。他们重点针对那些可能拥有管理员权限的用户。
通过拦截这些重置链接,黑客将有机会能够控制这些服务,从而可能控制这些服务,直接窃取资金或修改网站代码,以加入可能危害用户的恶意代码。
这次袭击的后果是立竿见影且影响深远的。
最初看似孤立的攻击,在接下来的几天里迅速演化为整个行业的危机。
截至 7 月 12 日,加密社区陷入混乱,多个著名的 DeFi 协议、区块链基础设施提供商和 Web3 项目的网站遭到入侵。
形势演变成了一场打地鼠游戏,每小时都会出现新的受害者,每个受害者都可能被迫将数百万的数字资产暴露在风险中,并进一步削弱了用户对整个生态系统的信任。
Squarespace对此次事件的回应被大众评为应对不力。
尽管CoinList 于 7 月 9 日就已警告该漏洞,但该公司却迟迟未承认问题的存在,也未向受影响的用户提供指导。
这种不温不火的回应引发了人们对该公司的安全措施,以及在收购 Google Domains 之后保护数百万个域名的能力的担忧。
鉴于这些事件,安全研究人员对受影响和潜在易受攻击的域名发出了紧急建议。
以下是samczsun、tayvano和AndrewMohawk提出的关键安全解决方案的简要概述:
针对Squarespace 帐户的短期措施:
- 为域名所有者账户启用双重身份验证(2FA)。
- 使用独特的新密码。
- 移除不必要的贡献者。
- 确保所有剩余贡献者均启用2FA并使用独特密码。
针对Google Workspace 的短期措施:
- 如果 Google Workspace 是通过 Google Domains 购买的,则禁用经销商访问权限。
从长远来看,建议使用具有以下功能的高安全性域名注册商:
- 支持硬件令牌多因素认证(MFA)。
- 对域名管理权限的细粒度控制。
- 可访问的审计记录。
- 关键操作的通知。
建议的高安全性注册商:
- 对于非企业用户:Cloudflare Registrar、Amazon Route 53、dnsimple。
- 企业级:MarkMonitor、CSC。
实施纵深防御策略:
- 在整个基础设施中使用多层安全措施。
- 示例:CoinList 使用YubiKeys和监控系统。
定期重新评估攻击面:
- 重新评估潜在威胁载体,尤其是在发生变化之后。
- 请注意,Web2提供商可能不会考虑特定于加密领域的威胁。
更多详细信息,请查看 Squarespace 回顾,或由安全联盟提供的行业范围内事件响应协调指南。
以下是0xngmi提供的与 Squarespace 相关的危险域名列表。
Web3 安全社区吹响了哨声,攻击的速度有所减缓,但 dYdX 似乎没有收到通知,因为尽管他们在危险名单上,但他们的域名还是在 7 月 23 日被劫持了。
对于那些渴望深入研究技术细节的人来说,alp1n3.eth 提供了关于Squarespace域名劫持的“Inferno Drainer恶意JavaScript分析”,重点关注攻击 Compound Finance 的漏洞。
最近的这次惨败给加密行业敲响了警钟,强调了在Web2和Web3技术之间弥合安全差距的必要性。
在仍然依赖它试图替代的系统的情况下,加密世界真的能实现其去中心化的愿景吗?
Squarespace 再次清楚地提醒人们,在Web3世界中,对Web2的安于现状是多么危险。
他们的反应不力,漠视加密项目对安全的独特需求,导致多个域名被盗,信任彻底破裂。
也许他们会像 Crowdstrike 所称的那样,提供价值 10 美元的 Uber Eats 礼品卡作为补偿,这应该可以弥补损失,对吗?
这次灾难给整个加密行业敲响了警钟,无论你的区块链有多先进,你的安全性都取决于最薄弱的中心化环节。
Squarespace 花了将近一年的时间来处理从 Google Domains 的迁移。
他们是不是花了更多时间挑选错误页面的字体,而不是保护数百万个域名的安全?
现在是时候让加密项目认真审视其基础设施,并实施与其高风险操作相匹配的安全措施了。
在我们迈向去中心化的未来的过程中,我们是否还能在仍然依赖 Web2 摇摇欲坠的框架的同时,真正地彻底变革金融?
我们什么时候才能最终认识到,过多的中心化故障是一个陷阱?
加密世界是否应该从头开始构建自己的安全基础?
毕竟,如果我们连一个简单的域名注册商都无法信任,又如何期望大众能信任未来的金融系统呢?
REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。
捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
声明:
REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。
您可能也喜欢...
DeltaPrime - Rekt II
多次审计,两月两次被黑。DeltaPrime无视关于管理员密钥安全的明确警告,损失了485万美元。就像在保安公司一再警告后,仍然不换锁就把豪宅敞开一样。
M2交易所 - Rekt
欢迎来到价值1370万美元的M2交易所恐怖屋,在声称已找到攻击源头后,未安之灵仍在午夜舞动。一场充满矛盾的嘉年华等待着……
Bittensor - Rekt
7 月 2 日,由于 PyPi 包管理器受到攻击,Bittensor 网络的运转被一次黑客攻击打断,损失约 800 万美元。当验证者在他们的节点上沉思时,攻击者没等你说完“阿弥陀佛”就盗走了你的钱包。