OBI:详解DNS劫持，如何防范相关风险？_AstroBirdz

作者：

时间：

原文作者：余弦，慢雾科技创始人

DNSHijacking(劫持)大家应该都耳濡目染了，历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance，十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我这里做个简单分享。

DNS可以让我们访问目标域名时找到对应的IP：

Domain->IP_REAL

如果这种指向关系被攻击者替换了：

Domain->IP_BAD(攻击者控制)

Huobi宣布17位新部门高层上任，向Justin Sun等顾问委员汇报:11月16日消息，据Huobi内部邮件显示，Huobi顾问委员会已对公司组织进行调整，部门负责人基本全部换人，新上任的所有部门负责人均向JustinSun为代表的全球顾问委员会汇报。

此前消息，Huobi CEO朱桦于Huobi被收购后即提出离职申请，预计将于11月初正式离职。[2022/11/16 13:10:50]

那这个IP_BAD所在服务器响应的内容，攻击者就可以任意伪造了。最终对于用户来说，在浏览器里目标域名下的任何内容都可能有问题。

DNS劫持其实分为好几种可能性，比如常见的有两大类：

Huobi安全提醒：警惕虚假平台谣言，保护个人资产安全:近期接用户反馈，目前有不法分子通过搭建虚假平台，以所谓“官方通知”的名义恐吓、诱用户进行资产转换操作，Huobi提醒广大用户：注意正确辨别平台官方网址，不要轻易点击或扫描任何非官方渠道推送的链接和二维码，保护好个人财产安全，对于任何涉及到账户登录、划转/转账、提现等操作的一定要保持万分警惕。

为防止不法分子借用火币全球站名义进行，火币全球站已上线官方验证通道，用户可通过此页面确认联系电话、微信、网站等是否为火币官方渠道。[2021/7/8 0:36:10]

域名控制台被黑，攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD)，或者直接修改Nameservers为攻击者控制的DNS服务器；

Huobi 将ZKS、MASK转入创新区:据官方消息，Huobi Global 现已将 ZKS (ZKSwap) 和 MASK (Mask Network) 从“全球观察区”转入“创新区”，同时解除50000 USDT的持仓限制。[2021/4/2 19:41:36]

在网络上做粗暴的中间人劫持，强制把目标域名指向IP_BAD。

第1点的劫持可以做到静默劫持，也就是用户浏览器那端不会有任何安全提示，因为此时HTTPS证书，攻击者是可以签发另一个合法的。

第2点的劫持，在域名采用HTTPS的情况下就没法静默劫持了，会出现HTTPS证书错误提示，但用户可以强制继续访问，除非目标域名配置了HSTS安全机制。

Huobi宣布将推出新的公开链HCP:据cointelegraph消息，Huobi宣布将推出新的公开区块链：HCP（Huboi Chain Project）。Huobi集团创始人兼首席执行官李林表示，一旦程序完成，所有的代码都将被开源，Huobi将逐渐迁移到新的区块链。新的公开区块链将“开放，任何人都可以参与”，包括组织和个人。火币集团将拿出3000万HT作为公链开发的启动资产，并在后续持续追加投入，公链主网将在未来20个月内上线。[2018/6/7]

重点强调下：如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况)，及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity)，那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛，一定要警惕。

对于项目方来说，除了对自己的域名HTTPSHSTS配置完备之外，可以常规做如下安全检查：

检查域名相关DNS记录(A及NS)是否正常；

检查域名在浏览器里的证书显示是否是自己配置的；

检查域名管理的相关平台是否开启了双因素认证；

检查Web服务请求日志及相关日志是否正常。

对于用户来说，防御要点好几条，我一一讲解下。

对于关键域名，坚决不以HTTP形式访问，比如：

http://examplecom

而应该始终HTTPS形式：

https://examplecom

如果HTTPS形式，浏览器有HTTPS证书报错，那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。