原文作者:余弦,慢霧科技創始人
DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享。
DNS可以讓我們訪問目標域名時找到對應的IP:
Domain->IP_REAL
如果這種指向關系被攻擊者替換了:
Domain->IP_BAD(攻擊者控制)
火幣更新8月默克爾樹資產證明,新增stUSDT、stETH等資產數據:據官方最新消息,火幣更新8月默克爾樹資產證明數據,除過往披露資產外,此次新增ETH包括了stETH,USDT包括stUSDT和仍獨立在鏈外存在的T-Bills資產。
此次具體儲備金率:USDT 102%(火幣資產662,404,586)、BTC 101%(火幣資產25,410)、ETH 104%(火幣資產139,523)、HT 103%(火幣資產191,815,856)、TRX 103%(火幣資產9,702,620,024)。其中USDT和ETH數據已包含stUSDT及stETH。
火幣團隊表示:“為保障數據的透明度及準確性,目前資產審計頁面的相關儲備金數據為每個月更新一次,快照日期一般為每月月初,默克樹數據更新一般在每月第一周完成。后續還將優化相關技術模塊,并對接更多技術服務商,以技術為核心,提供更為安全透明的交易所服務。不斷踐行火幣‘全球合規’發展戰略,推動加密行業良性發展。”[2023/8/11 16:20:53]
那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。
Band Protocol集成Axelar,以將EVM鏈引入Cosmos生態系統:6月15日消息,去中心化預言機項目Band Protocol宣布與跨鏈互操作性協議Axelar集成,通過這種集成,在Axelar網絡覆蓋范圍支持的40多個互連區塊鏈上運行的DApp可以訪問Band的鏈下數據服務套件,該集成將以去中心化的方式提供EVM和Cosmos生態系統之間的無縫連接和跨鏈互操作性。[2023/6/15 21:40:21]
DNS劫持其實分為好幾種可能性,比如常見的有兩大類:
域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;
Celsius債權人委員會反對股東成立單獨委員會的動議:9月29日消息,據外媒報道,加密借貸平臺Celsius無擔保債權人委員會表示,它計劃反對股東提出的成立一個單獨的委員會的動議,并預計Celsius和其他債權人團體也采取一致行動。
此前報道,據Celsius股東律師提交的文件顯示,Celsius股東提出動議要求成立一個委員會,以確保他們在公司的破產程序中得到充分的代表。該文件表示目前存在一個無擔保債權人委員會“專注于為客戶實現價值最大化”,但“目前沒有任何利益相關者主張股權持有人的利益”。關于此事的聽證會定于10月6日舉行。(TheBlock)[2022/9/29 22:38:46]
在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。
Circle CEO:Circle目前在財務上處于歷史最佳水平,并將繼續提高透明度:7月4日消息,Circle創始人兼首席執行官Jeremy Allaire7月2日在其個人社交平臺上發布了一系列聲明并鏈接了博客文章,以澄清有關該公司發行的Stablecoin USDC在加密市場低迷期間幾近崩潰的傳言。
Allaire表示,Circle一直試圖讓自己達到所能承受的最高標準,以使得我們與監管機構、頂級保險公司和領先的金融機構合作,Circle目前在財務上處于有史以來最強大的水平,并將繼續提高透明度。[2022/7/4 1:48:47]
第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。
第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。
重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。
對于項目方來說,除了對自己的域名HTTPSHSTS配置完備之外,可以常規做如下安全檢查:
檢查域名相關DNS記錄(A及NS)是否正常;
檢查域名在瀏覽器里的證書顯示是否是自己配置的;
檢查域名管理的相關平臺是否開啟了雙因素認證;
檢查Web服務請求日志及相關日志是否正常。
對于用戶來說,防御要點好幾條,我一一講解下。
對于關鍵域名,堅決不以HTTP形式訪問,比如:
http://examplecom
而應該始終HTTPS形式:
https://examplecom
如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。
對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。
那么這種情況下用戶如何防御呢?
用戶除了保持每一步操作的警惕外。
我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。
NoScript默認攔截植入的JavaScript文件。
但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。
隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。
但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的:
https://curvefi/js/app.ca2e5d81.js
植入了盜幣有關的惡意代碼。
如果我們之前NoScript信任了Curve,那么這次也可能中招。
可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過:
這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。
JOYBIT是一家全球領先的加密貨幣合約交易平臺,截至目前已正式面向去全球用戶開放服務近3個月,期間憑借良好的操作體驗、安全的交易環境以及豐富的平臺活動,受到了用戶們的廣泛好評.
1900/1/1 0:00:00關于為什么好的項目不會為其代幣增值的原因,在行業內發生了很多討論,所有人都在思考它,并圍繞為什么會這樣得出的結論.
1900/1/1 0:00:00在當前的熊市中,加密期權交易一直是一個罕見的亮點,即使在加密價格暴跌的情況下也能形成勢頭。許多加密貨幣交易所在今年早些時候達到低點后注意到交易量上升.
1900/1/1 0:00:00??比特幣未平倉合約提供了對流入和流出比特幣衍生品市場的資金量的洞察。交易者使用比特幣期貨和永久掉期等衍生品來推測比特幣的價格是否會上漲或下跌,而無需擁有數字資產.
1900/1/1 0:00:00比特幣由化名程序員中本聰于2009年推出,被加密愛好者和普通用戶認為是第一個加密貨幣。它的底層區塊鏈技術獲得了相當大的關注,亞馬遜、Facebook和微軟等科技巨頭甚至在構建和銷售基于區塊鏈的服.
1900/1/1 0:00:00七夕好禮傳心意天天獎勵送不停活動時間:2022/07/2712:00至2022/08/0911:59 活動七:跟單交易加碼贈 活動方式: Mechanism Capital合伙人今日買入價值20.
1900/1/1 0:00:00