文/Robin


2021 年 3 月 16 日,DeFi 抵押借贷平台 Cream Finance(CREAM)在推特表示,网站的 DNS 已被第三方攻破,一些用户在官网上看到对用户私钥的请求,请不要输入任何有关私钥和 seed phrase 的内容。团队表示不会要求用户提交任何的私钥或者和 seed phrase 相关的内容。

随后,PancakeSwap 也确认了同样的事情,也就是多个协议都被 DNS 劫持攻击了。

DNS 劫持是个什么东西?

DNS 劫持即通过某种技术手段,篡改正确域名和 IP 地址的映射关系,使得域名映射到了错误的 IP 地址,因此可以认为 DNS 劫持是一种 DNS 重定向攻击。DNS 劫持通常可被用作域名欺诈,如在用户访问网页时显示额外的信息来赚取收入等;也可被用作网络钓鱼,如显示用户访问的虚假网站版本并非法窃取用户的个人信息。

多家 DeFi 产品同时被 DNS 劫持,说明这个很有可能是同一帮人作业。此外,DeFi 这个行业的安全和运维水平还有待提高啊。

不过,DNS 体系虽然是通过非盈利组织建立并维护,但是其技术实现依然是一套中心化基础设施,作为互联网最底层的基础设施,其依然存在中心化风险问题,将来这类服务迟早要被去中心化的基础设施取代。这里举个例子,那就是以太坊域名服务 ENS,这个服务在 2020 年的收入为 101 万美元,其中 2020 年共获得约 31 万美元的资助,并通过 ETH 获得 70 万美元收入,2020 年的支出为 76 万美元,主要体现在工资、法律咨询、黑客马拉松奖、赏金和网站和服务托管等方面。

除了以太坊域名服务 ENS,还有 Unstoppable Domains,这个赛道还是有不少玩家。

最后,搬一个 Akamai 梁总 & 慢雾的建议,网站防劫持要注意以下几个方面:

  • DNS 注册商的登陆权限管理,防止 DNS NX 记录被修改从而劫持接管所有的业务;
  • 启用 DNSSEC,防止 DNS 解析记录被劫持和污染,启用 HSTS;
  • 网站证书管理要控制,保证网站私钥不入人眼,避免被人伪造一个一模一样的网站;
  • WAF 部署策略,避免被伪造的中间人网站回源,窃听到所有的登陆信息以及个人私密信息;
  • 实现网站 JS 监控以及供应链监控,避免最终用户自己在网站上输入的个人信息被 JS 和浏览器窃取直接发给第三方。

最后,区块链领域相关的产品,一定要把安全放在第一位,毕竟离钱最近的地方,什么事情都有可能发生。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)