從項目方及用戶角度，簡析 DNS 被劫持的根本原因_TPS:DNS幣

DNSHijacking(劫持)大家應該都耳濡目染了，歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance，十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我這里做個簡單分享：

DNS可以讓我們訪問目標域名時找到對應的IP：vxhuang33868

Domain->IP_REAL

如果這種指向關系被攻擊者替換了：

Domain->IP_BAD(攻擊者控制)微博小新投資筆記

多鏈NFT市場Hyperspace已在Avalanche上線:9月7日消息，多鏈 NFT 市場和 Launchpad 平臺 Hyperspace 已在 Avalanche 上線。Hyperspace 計劃為 Avalanche 上的 NFT 擁有者和收藏家帶來創新功能和增強的 UI/UX，包括實時交易體驗、集合競標、錢包分析、活動監控、跨鏈交換等。此外，Hyperspace 還將通過其 Launchpad 產品在 Avalanche 上推出 Dokyo 系列 NFT。[2023/9/7 13:23:48]

那這個IP_BAD所在服務器響應的內容，攻擊者就可以任意偽造了。最終對于用戶來說，在瀏覽器里目標域名下的任何內容都可能有問題。DNS劫持其實分為好幾種可能性，比如常見的有兩大類：

Aleo營銷主管：ZK證明有可能重塑整個互聯網:金色財經報道，專注于隱私的基礎設施平臺Aleo營銷主管Brennen Schlueter表示，雖然零知識證明已成為通過ZK Rollup為區塊鏈提供改進的可擴展性的熱門解決方案，但它們有可能重塑整個互聯網。ZK證明使得信息傳輸能夠在兩方之間進行，其中發起者只需向接收者透露相關信息。例如，證明某人達到進入酒吧的年齡，而不向保安透露其實際年齡或身份。Schlueter表示，現代互聯網的建立并不是為了優先考慮用戶的隱私。“當數據需要易手時，當數據需要托管時，我們總是會遇到漏洞，ZK證明不僅解決了Web3的隱私問題，還解決了整個互聯網的隱私問題。ZK證明不僅解決Web3的隱私問題，還能解決整個互聯網的隱私問題。”[2023/7/20 11:06:26]

1.域名控制臺被黑，攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD)，或者直接修改Nameservers為攻擊者控制的DNS服務器；

美國銀行：美聯儲主席鮑威爾要傳達一個具有挑戰性的信息:12月15日消息，美國銀行表示，雖然美國11月CPI報告是一個“明確的好消息”，但美聯儲主席鮑威爾今天的任務可能是提醒市場，還有更多的工作需要完成。美國銀行經濟學家預計，美聯儲將加息50個基點，并預期2024年利率預期中值將上調25個基點。他們表示，11月CPI增加了2023年終端利率相對于9月預測僅上調25個基點的風險，這意味著終端利率為4.75-5%。“這是一個難以傳達的信息，大宗商品價格下跌和供應鏈問題消退不足以讓通脹達到美聯儲的目標，市場可能不會完全接受這一信息。然而，我們預計會聽到美聯儲表示，要實現其目標，仍然需要消除勞動力需求和勞動力供應之間持續的不平衡。”[2022/12/15 21:45:02]

2.在網絡上做粗暴的中間人劫持，強制把目標域名指向IP_BAD。

Solana回應Ping Time異常：系網頁更新導致，非系統性能問題:金色財經報道，今日Solana網絡狀態頁面顯示平均Ping Time時間出現異常，Solana回應稱該異常是網頁的一次線下更新導致，而與系統性能問題沒有關系，也沒有對網絡性能產生影響，目前平均Ping Time指標顯示均已恢復正常。[2022/11/20 22:07:40]

第1點的劫持可以做到靜默劫持，也就是用戶瀏覽器那端不會有任何安全提示，因為此時HTTPS證書，攻擊者是可以簽發另一個合法的。

第2點的劫持，在域名采用HTTPS的情況下就沒法靜默劫持了，會出現HTTPS證書錯誤提示，但用戶可以強制繼續訪問，除非目標域名配置了HSTS安全機制。

重點強調下：如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況)，及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity)，那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛，一定要警惕。

對于項目方來說，除了對自己的域名HTTPS+HSTS配置完備之外，可以常規做如下安全檢查：

1.檢查域名相關DNS記錄(A及NS)是否正常；

2.檢查域名在瀏覽器里的證書顯示是否是自己配置的；

3.檢查域名管理的相關平臺是否開啟了雙因素認證；

4.檢查Web服務請求日志及相關日志是否正常。

對于用戶來說，防御要點好幾條，我一一講解下。

對于關鍵域名，堅決不以HTTP形式訪問，

而應該始終HTTPS形式

如果HTTPS形式，瀏覽器有HTTPS證書報錯，那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。

對于靜默劫持的情況，不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等，其實站在用戶角度來看，最終的體現都一樣。瀏覽器側不會有任何異常，直到有用戶的資產被盜才可能發現。

那么這種情況下用戶如何防御呢？用戶除了保持每一步操作的警惕外。

我推薦一個在Web2時代就非常知名的瀏覽器安全擴展：@noscript(推特雖然很久很久沒更新，不過驚喜發現官網更新了，擴展也更新了)，是@ma1的作品。

NoScript默認攔截植入的JavaScript文件。

但是NoScript有一點的上手習慣門檻，有時候可能會很煩，我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行，其他的盡管在另一個瀏覽器(如Chrome)上進行。

隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的，駕馭后、習慣后，那么一切都還好。

但是這并不能做到完美防御，比如這次@CurveFinance的攻擊，攻擊者更改了其DNSA記錄，指向一個IP_BAD，然后污染了前端頁面的

植入了盜幣有關的惡意代碼。

如果我們之前NoScript信任了Curve，那么這次也可能中招。

可能有人會說了要不要多安裝一些瀏覽器安全擴展，我的看法之前已經提過

這個話題我暫時先介紹到這，目的是盡可能把其中要點進行安全科普。至于其他一些姿勢，后面有機會我再展開。

如果你覺得對你有幫助或有什么要補充的，歡迎參與討論。

Tags：HTTTPSDNSANChtt幣被騙https://etherscan.ioDNS幣ASI.finance

Ethereum