原文作者:余弦,慢霧科技創始人
DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享。
DNS可以讓我們訪問目標域名時找到對應的IP:
Domain->IP_REAL
如果這種指向關系被攻擊者替換了:
Domain->IP_BAD(攻擊者控制)
以太坊網絡當前已銷毀350.04萬枚ETH:金色財經報道,據ultrasound.money最新數據顯示,以太坊鏈上ETH銷毀總量已突破350萬枚,本文撰寫時達到3,500,578.59枚,價值約合 10,024,768,328 美元。[2023/7/29 16:05:54]
那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。
DNS劫持其實分為好幾種可能性,比如常見的有兩大類:
域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;
數據:Hashed將2313萬枚SAND存入Binance,約合1290萬美元:金色財經報道,據Lookonchain監測,Hashed于半小時前將2313萬枚SAND(約合1290萬美元)存入Binance。[2023/5/30 11:47:55]
在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。
第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。
第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。
以太坊基金會:即將進行支持提款的Shapella升級,公共測試網Sepolia計劃于2月28日升級:金色財經報道,以太坊基金會在最新發布的一篇文章中表示,Shanghai+Capella(Shapella)主網升級正在進入最后的預發布序列——公共測試網。Shapella包含許多功能,但對質押者和共識層來說最重要的是支持提款。退出的驗證者可以全額取款,而活躍驗證者余額超過32 ETH的可以部分取款。另外,第一個長期存在的公共測試網Sepolia計劃于2月28日進行升級。
2月7日,上海升級首個公共測試網zhejiang到達預定高度后已成功激活上海升級。此前開發人員表示,之后在Sepolia測試網升級后,計劃在2月底或3月初在以太坊Goerli測試網上發布上海升級,過渡成功后,將轉向主網。[2023/2/11 11:59:57]
重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。
MetaMask 更新至 10.18.0 版本,將對“SetApprovalForAll”合約進行提示:7月28日消息,瀏覽器插件錢包 MetaMask 已更新至 10.18.0 版本,該版本將對“SetApprovalForAll”的合約進行提示并需要用戶確認,此舉旨在防止惡意合約獲得授權后盜取錢包內資產。[2022/7/28 2:43:12]
對于項目方來說,除了對自己的域名HTTPSHSTS配置完備之外,可以常規做如下安全檢查:
檢查域名相關DNS記錄(A及NS)是否正常;
檢查域名在瀏覽器里的證書顯示是否是自己配置的;
檢查域名管理的相關平臺是否開啟了雙因素認證;
檢查Web服務請求日志及相關日志是否正常。
對于用戶來說,防御要點好幾條,我一一講解下。
對于關鍵域名,堅決不以HTTP形式訪問,比如:
http://examplecom
而應該始終HTTPS形式:
https://examplecom
如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。
對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。
那么這種情況下用戶如何防御呢?
用戶除了保持每一步操作的警惕外。
我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。
NoScript默認攔截植入的JavaScript文件。
但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。
隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。
但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的:
https://curvefi/js/app.ca2e5d81.js
植入了盜幣有關的惡意代碼。
如果我們之前NoScript信任了Curve,那么這次也可能中招。
可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過:
這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。
尊敬的XT.COM用戶:因XMR錢包升級維護,XT.COM現已暫停XMR充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任.
1900/1/1 0:00:00親愛的BitMart用戶,LAIKA(LAIKA)?將于2022年8月16日19:00(UTC8)上線BitMart!為慶祝LAIKA上線,我們向廣大用戶開放買幣送空投活動—瓜分3,500.
1900/1/1 0:00:00DearKuCoinUsers,KuCoinEarnwillbelaunchingtheHAKAFixedPromotionat10:00:00onAug11.
1900/1/1 0:00:002022年8月8日,據美國財政部的海外資產控制辦公室(TheOfficeofForeignAssetsControloftheUSDepartmentoftheTreasury.
1900/1/1 0:00:008月16日消息,RelaZzzMETAZINE近期與adidasOriginals、潮流教父葛民輝、深圳本土藝術家陳睿、全球著名華文漫畫IP《老夫子》等合作發行數字藏品.
1900/1/1 0:00:00投資比特幣,選對一個平臺是關鍵中的關鍵,平臺的不穩定性是比特幣投資中最大的風險之一,一不小心找了不靠譜的交易平臺耽誤了交易那就得不償失,說不準哪天跑路了更是血本無歸.
1900/1/1 0:00:00