原文作者:余弦,慢雾科技创始人
DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享。
DNS可以让我们访问目标域名时找到对应的IP:
Domain->IP_REAL
如果这种指向关系被攻击者替换了:
Domain->IP_BAD(攻击者控制)
Huobi宣布17位新部门高层上任,向Justin Sun等顾问委员汇报:11月16日消息,据Huobi内部邮件显示,Huobi顾问委员会已对公司组织进行调整,部门负责人基本全部换人,新上任的所有部门负责人均向JustinSun为代表的全球顾问委员会汇报。
此前消息,Huobi CEO朱桦于Huobi被收购后即提出离职申请,预计将于11月初正式离职。[2022/11/16 13:10:50]
那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。
DNS劫持其实分为好几种可能性,比如常见的有两大类:
Huobi安全提醒:警惕虚假平台谣言,保护个人资产安全:近期接用户反馈,目前有不法分子通过搭建虚假平台,以所谓“官方通知”的名义恐吓、诱用户进行资产转换操作,Huobi提醒广大用户:注意正确辨别平台官方网址,不要轻易点击或扫描任何非官方渠道推送的链接和二维码,保护好个人财产安全,对于任何涉及到账户登录、划转/转账、提现等操作的一定要保持万分警惕。
为防止不法分子借用火币全球站名义进行,火币全球站已上线官方验证通道,用户可通过此页面确认联系电话、微信、网站等是否为火币官方渠道。[2021/7/8 0:36:10]
域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;
Huobi 将ZKS、MASK转入创新区:据官方消息,Huobi Global 现已将 ZKS (ZKSwap) 和 MASK (Mask Network) 从“全球观察区”转入“创新区”,同时解除50000 USDT的持仓限制。[2021/4/2 19:41:36]
在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。
第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。
第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。
Huobi宣布将推出新的公开链HCP:据cointelegraph消息,Huobi宣布将推出新的公开区块链:HCP(Huboi Chain Project)。Huobi集团创始人兼首席执行官李林表示,一旦程序完成,所有的代码都将被开源,Huobi将逐渐迁移到新的区块链。新的公开区块链将“开放,任何人都可以参与”,包括组织和个人。火币集团将拿出3000万HT作为公链开发的启动资产,并在后续持续追加投入,公链主网将在未来20个月内上线。[2018/6/7]
重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。
对于项目方来说,除了对自己的域名HTTPSHSTS配置完备之外,可以常规做如下安全检查:
检查域名相关DNS记录(A及NS)是否正常;
检查域名在浏览器里的证书显示是否是自己配置的;
检查域名管理的相关平台是否开启了双因素认证;
检查Web服务请求日志及相关日志是否正常。
对于用户来说,防御要点好几条,我一一讲解下。
对于关键域名,坚决不以HTTP形式访问,比如:
http://examplecom
而应该始终HTTPS形式:
https://examplecom
如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。
对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。
那么这种情况下用户如何防御呢?
用户除了保持每一步操作的警惕外。
我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。
NoScript默认拦截植入的JavaScript文件。
但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。
隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。
但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的:
https://curvefi/js/app.ca2e5d81.js
植入了盗币有关的恶意代码。
如果我们之前NoScript信任了Curve,那么这次也可能中招。
可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过:
这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。
标签:OBIGLOBIGBALAstroBirdzGlobiance ExchangeBIGGLES币Global Funeral Care
一、币赢CoinWOTC商家相关问题? 商家盈利方式? 商家可自行设置USDT交易价格,平台不予干预;?您可以设置出售价格偏高,购买价格偏低,从而获取利润;?例:您可以以6.5价格出售USDT.
Gate.iolistedSharkfinproductsopentosubscriptionfor3daysconsecutively.
DearValuedUsers,HuobiGlobalwillbeopeningHYPE(SupremeFinance)?spottrading(HYPE/USDT)andspotGridtra.
尊敬的KuCoin用户:随着ETH2.0Merge升级时间逐渐临近,社区内对于ETH是否分叉陆续有很多的讨论.
亲爱的大币网(Dcoin)用户:大币网(Dcoin)已完成对服务器的升级维护,所有业务现已恢复.
8月10日消息,日本元宇宙卫星数据初创公司SpaceData宣布完成14.2亿日元种子轮融资,SpiralCapital、SparxInnovationforFuture、KDDIOpenInn.