HTT:从项目方及用户角度，简析 DNS 被劫持的根本原因_https://etherscan.io

DNSHijacking(劫持)大家应该都耳濡目染了，历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance，十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我这里做个简单分享：

DNS可以让我们访问目标域名时找到对应的IP：vxhuang33868

Domain->IP_REAL

如果这种指向关系被攻击者替换了：

Domain->IP_BAD(攻击者控制)微博小新投资笔记

数据：自Binance宣布稳定币自动兑换BUSD后USDC流出量增加93%:金色财经报道，自Binance宣布将USDC、用户账户中既有、或是新存入的USDC、USDP与TUSD等稳定币，以1:1的比例全部自动换成Binance USD（BUSD）后，从Binance的USDC流出量增长了93%，USDC市值也下跌了5%。根据区块链分析公司 Nansen 的数据显示，截至9月28日下午，Binance交易所持有的稳定币价值为 260 亿美元，其中200 亿美元为 BUSD，其他包括价值 6.83 亿美元的 USDC、4800 万美元的 USDP 和 2.83 亿美元的 TUSD。根据 Nansen 的说法，Binance 上唯一可观的稳定币是价值 50 亿美元的 Tether（USDT）。[2022/9/29 22:38:54]

那这个IP_BAD所在服务器响应的内容，攻击者就可以任意伪造了。最终对于用户来说，在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性，比如常见的有两大类：

算法稳定币今日平均跌幅为0.30%:金色财经行情显示，算法稳定币今日平均跌幅为0.30%。8个币种中5个上涨，3个下跌，其中领涨币种为：LUNA(+5.92%)、ONS(+3.62%)、RSR(+1.63%)。领跌币种为：BAGS(-5.63%)、MITH(-4.35%)、AMPL(-3.70%)。[2021/7/6 0:31:05]

1.域名控制台被黑，攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD)，或者直接修改Nameservers为攻击者控制的DNS服务器；

2.在网络上做粗暴的中间人劫持，强制把目标域名指向IP_BAD。

YFI创始人计划推出基于Keep3r的新稳定币STABLE:6月8日，DeFi社区YFI创始人AndreCronje（AC）提出一项提案，将开发一个基于Keep3r的稳定币项目，代币名称为STABLE，用于改善Keep3r价格波动以及流动性缺乏等问题。未来JobCredits的铸造和销毁都将采用STABLE，而不是KP3R。该提案是为Keep3r协议提供一个长期的可持续性计划，并使Keep3r生态系统内出现新的可能的市场。新的代币经济中，KP3R作为协议中的价值累计代币，STABLE作为生态系统中的工作代币。[2021/6/8 23:20:45]

第1点的劫持可以做到静默劫持，也就是用户浏览器那端不会有任何安全提示，因为此时HTTPS证书，攻击者是可以签发另一个合法的。

BIS：稳定币和加密货币可为跨境支付问题提供帮助:金色财经报道，国际清算银行（BIS）的季度报告指出，尽管北美、欧洲和其他发达经济体的几乎所有成年人都拥有交易账户，但在非洲和阿拉伯世界，没有账户的比例却超过了50％。在撒哈拉以南非洲，接近64％的女性人口无法获得银行服务，超过48％的男性人口也是如此。国际清算银行表示，金融排斥通常是更广泛的社会排斥的一部分，个人也无法获得教育、保险和医疗保健。付款是通往其他金融服务的门户，例如储蓄帐户、信贷或保险，使个人能够投资和保护他们的收入以抵御风险。国际清算银行表示，其相信支付创新可以帮助解决该问题。跨境支付“缓慢、昂贵且不透明”，在这一领域，稳定币计划和加密货币肯定可以提供帮助。[2020/3/3]

第2点的劫持，在域名采用HTTPS的情况下就没法静默劫持了，会出现HTTPS证书错误提示，但用户可以强制继续访问，除非目标域名配置了HSTS安全机制。

重点强调下：如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况)，及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity)，那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛，一定要警惕。

对于项目方来说，除了对自己的域名HTTPS+HSTS配置完备之外，可以常规做如下安全检查：

1.检查域名相关DNS记录(A及NS)是否正常；

2.检查域名在浏览器里的证书显示是否是自己配置的；

3.检查域名管理的相关平台是否开启了双因素认证；

4.检查Web服务请求日志及相关日志是否正常。

对于用户来说，防御要点好几条，我一一讲解下。

对于关键域名，坚决不以HTTP形式访问，

而应该始终HTTPS形式

如果HTTPS形式，浏览器有HTTPS证书报错，那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。

对于静默劫持的情况，不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等，其实站在用户角度来看，最终的体现都一样。浏览器侧不会有任何异常，直到有用户的资产被盗才可能发现。

那么这种情况下用户如何防御呢？用户除了保持每一步操作的警惕外。

我推荐一个在Web2时代就非常知名的浏览器安全扩展：@noscript(推特虽然很久很久没更新，不过惊喜发现官网更新了，扩展也更新了)，是@ma1的作品。

NoScript默认拦截植入的JavaScript文件。

但是NoScript有一点的上手习惯门槛，有时候可能会很烦，我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行，其他的尽管在另一个浏览器(如Chrome)上进行。

隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的，驾驭后、习惯后，那么一切都还好。

但是这并不能做到完美防御，比如这次@CurveFinance的攻击，攻击者更改了其DNSA记录，指向一个IP_BAD，然后污染了前端页面的

植入了盗币有关的恶意代码。

如果我们之前NoScript信任了Curve，那么这次也可能中招。

可能有人会说了要不要多安装一些浏览器安全扩展，我的看法之前已经提过

这个话题我暂时先介绍到这，目的是尽可能把其中要点进行安全科普。至于其他一些姿势，后面有机会我再展开。

如果你觉得对你有帮助或有什么要补充的，欢迎参与讨论。

标签：HTTTPSDNSSCRHTT币https://etherscan.iodns币的价格AngelsCreed

非小号热门资讯