DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享:
DNS可以让我们访问目标域名时找到对应的IP:vxhuang33868
Domain->IP_REAL
如果这种指向关系被攻击者替换了:
Domain->IP_BAD(攻击者控制)微博小新投资笔记
数据:自Binance宣布稳定币自动兑换BUSD后USDC流出量增加93%:金色财经报道,自Binance宣布将USDC、用户账户中既有、或是新存入的USDC、USDP与TUSD等稳定币,以1:1的比例全部自动换成Binance USD(BUSD)后,从Binance的USDC流出量增长了93%,USDC市值也下跌了5%。根据区块链分析公司 Nansen 的数据显示,截至9月28日下午,Binance交易所持有的稳定币价值为 260 亿美元,其中200 亿美元为 BUSD,其他包括价值 6.83 亿美元的 USDC、4800 万美元的 USDP 和 2.83 亿美元的 TUSD。根据 Nansen 的说法,Binance 上唯一可观的稳定币是价值 50 亿美元的 Tether(USDT)。[2022/9/29 22:38:54]
那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性,比如常见的有两大类:
算法稳定币今日平均跌幅为0.30%:金色财经行情显示,算法稳定币今日平均跌幅为0.30%。8个币种中5个上涨,3个下跌,其中领涨币种为:LUNA(+5.92%)、ONS(+3.62%)、RSR(+1.63%)。领跌币种为:BAGS(-5.63%)、MITH(-4.35%)、AMPL(-3.70%)。[2021/7/6 0:31:05]
1.域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;
2.在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。
YFI创始人计划推出基于Keep3r的新稳定币STABLE:6月8日,DeFi社区YFI创始人AndreCronje(AC)提出一项提案,将开发一个基于Keep3r的稳定币项目,代币名称为STABLE,用于改善Keep3r价格波动以及流动性缺乏等问题。未来JobCredits的铸造和销毁都将采用STABLE,而不是KP3R。该提案是为Keep3r协议提供一个长期的可持续性计划,并使Keep3r生态系统内出现新的可能的市场。新的代币经济中,KP3R作为协议中的价值累计代币,STABLE作为生态系统中的工作代币。[2021/6/8 23:20:45]
第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。
BIS:稳定币和加密货币可为跨境支付问题提供帮助:金色财经报道,国际清算银行(BIS)的季度报告指出,尽管北美、欧洲和其他发达经济体的几乎所有成年人都拥有交易账户,但在非洲和阿拉伯世界,没有账户的比例却超过了50%。在撒哈拉以南非洲,接近64%的女性人口无法获得银行服务,超过48%的男性人口也是如此。国际清算银行表示,金融排斥通常是更广泛的社会排斥的一部分,个人也无法获得教育、保险和医疗保健。付款是通往其他金融服务的门户,例如储蓄帐户、信贷或保险,使个人能够投资和保护他们的收入以抵御风险。国际清算银行表示,其相信支付创新可以帮助解决该问题。跨境支付“缓慢、昂贵且不透明”,在这一领域,稳定币计划和加密货币肯定可以提供帮助。[2020/3/3]
第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。
重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。
对于项目方来说,除了对自己的域名HTTPS+HSTS配置完备之外,可以常规做如下安全检查:
1.检查域名相关DNS记录(A及NS)是否正常;
2.检查域名在浏览器里的证书显示是否是自己配置的;
3.检查域名管理的相关平台是否开启了双因素认证;
4.检查Web服务请求日志及相关日志是否正常。
对于用户来说,防御要点好几条,我一一讲解下。
对于关键域名,坚决不以HTTP形式访问,
而应该始终HTTPS形式
如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。
对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。
那么这种情况下用户如何防御呢?用户除了保持每一步操作的警惕外。
我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。
NoScript默认拦截植入的JavaScript文件。
但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。
隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。
但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的
植入了盗币有关的恶意代码。
如果我们之前NoScript信任了Curve,那么这次也可能中招。
可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过
这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。
如果你觉得对你有帮助或有什么要补充的,欢迎参与讨论。
尊敬的BIKA用户: BIKA交易所将于近期更新现货交易板块,并同步上线BTC/USDT、ETH/USDT、BCH/USDT、TRX/USDT、XRP/USDT、ETC/USDT、LTC/USD.
21:00-7:00关键词:Coinbase、RobinhoodWeb3、Genesis1.美国证交会审查Coinbase的加密货币Staking项目;2.
稳定币再次成为加密世界的焦点。昨天38个钱包地址的USDC被冻结,这是USDC背后的Centre公司为了回应美对TornadoCash的禁令.
欢迎您使用CoinWOTC平台提供的商家服务!?本协议由CoinWOTC与平台“商家”签订。?当您通过我们的网站、API或移动应用程序等相关界面开始申请或使用广告发布权限时,即表示您已充分仔细阅.
尊敬的XT.COM用戶:SC錢包升級維護已完成,XT.COM現已恢復SC充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年8月10日Ethersca.
北京时间8月8日,美国财政部海外资产控制办公室将TornadoCash纳入制裁名单的消息席卷了整个Web3世界.