abril 17, 2021

Cream Finance publica una autopsia detallada del ataque al DNS

Las plataformas DeFi, Cream Finance y PancakeSwap fueron el objetivo de un ataque al Servicio de nombres de dominio (DNS) el 15 de marzo. CREAM Finance anunció el ataque al DNS a través de Twitter.

«Nuestro DNS ha sido comprometido por un tercero; algunos usuarios ven solicitudes de frases iniciales en http://app.cream.finance. NO ingrese su oración inicial. Nunca le pediremos que envíe una clave privada o frases iniciales.«

Cream también señaló que la plataforma Binance Smart Chain DEX PancakeSwap sufre el mismo problema. PancakeSwap primero publicó una advertencia y tuiteó una confirmación poco después, diciendo:

«Esto ahora está confirmado. NO vaya al sitio de Pancakeswap hasta que confirmemos que todo está claro. NUNCA ingrese su frase inicial o claves privadas en un sitio web. Actualmente estamos trabajando en la recuperación. Lo siento por los inconvenientes ocasionados.«

Ambas plataformas agregaron que la recuperación está actualmente en curso.

Cream Finance se está recuperando rápidamente de la crisis

Tan pronto como el sitio web cayó, los usuarios lo informaron a Cream, quien actuó de inmediato. El equipo se dio cuenta de que el registro CNAME de DNS de GoDaddy no apuntaba a su dirección IP de alojamiento (debido a la interrupción de su sitio web) y actualizó el registro A de DNS con la dirección correcta. El equipo notó una página de phishing tan pronto como comenzaron el análisis de la causa raíz.

Los usuarios informaron sobre la contaminación de la caché de DNS y el equipo migró el DNS a Cloudfare. Un análisis más detallado mostró que sus credenciales de inicio de sesión de GoDaddy estaban comprometidas. Mientras trabajaban para recuperar el acceso, se alertó a CoinGecko, CoinMarketCap e imToken para que actualizaran la publicación del enlace del sitio web y compartieran mensajes de advertencia con la comunidad.

Cream instaló una sala de guerra de Telegram para mantener seguros los fondos de sus usuarios mientras el equipo trabajaba en la recuperación de DNS. Poco después de su anuncio en Twitter, establecieron dos sitios web alternativos y, aproximadamente 6 horas después del ataque, el equipo recuperó la propiedad de su dominio con la ayuda de GoDaddy.

Una hora más tarde, el equipo anunció la propiedad de su dominio en Twitter,

«Hemos recuperado el control del DNS y todo vuelve a la normalidad en (enlace1) y (enlace2). Estos sitios ahora son seguros de usar. Gracias por su paciencia mientras continuamos[sic] para monitorear esta situación. «

La crema investiga a fondo el ataque.

El equipo de Cream Finance ha publicado un conjunto detallado de su proceso e investigación en el medio de su blog. Según su publicación, el equipo usa Google SSO para acceder a su cuenta de GoDaddy, y el registro de actividad mostró que no se vio comprometido.

El primer comportamiento inusual se notó en el registro de actividad de GoDaddy cuando se envió una solicitud de restablecimiento de contraseña a la dirección de correo electrónico del atacante. Sin embargo, no se ha registrado ningún cambio de dirección de correo electrónico. El equipo replicó el escenario con su cuenta de GoDaddy, registrándose con su cuenta de Google.

Un cambio de dirección de correo electrónico debería producir un registro, pero el equipo no lo experimentó. Solo podían acceder a parte del registro de actividad en GoDaddy. Intentaron acceder a todo, pero desencadenó un «error inesperado». Confirmaron que la dirección IP de su atacante era la misma que la de los registros de actividad de PancakeSwap, que también usa GoDaddy.

Cream actualizará su publicación en los medios a medida que haya más información disponible.

Los fondos de los usuarios se mantuvieron seguros durante todo el ataque.

Los contratos inteligentes y los fondos de los usuarios de Cream se mantuvieron seguros ya que el secuestro de DNS solo afectó a su sitio web. Han implementado una interfaz descentralizada en IPFS, lo que garantiza que los usuarios puedan acceder a los servicios implementados por la plataforma. El equipo dijo que tienen control total sobre su archivo ENS, evitando tales ataques en el futuro.

Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni tiene la intención de ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.