Xakep #305. Многошаговые SQL-инъекции
15 марта 2021 года DeFi-проект Cream Finance и децентрализованная биржа PancakeSwap подверглись атакам на подмену DNS. В результате посетители попадали на фейковые сайты, где мошенники пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.
don't do this pic.twitter.com/9tjUn0sdoh
— icebergy ❄️ (@icebergy_) March 15, 2021
Обнаружив атаки, обе компании сообщили о проблемах в Twitter и призвали пользователей временно воздержаться от посещения их сайтов, подчеркнув, что сами сайты не скомпрометированы. Также администрация Cream Finance и PancakeSwap просила пользователей не вводить seed-фразы и приватные ключи на фишинговых сайтах злоумышленников во избежание проблем.
Our DNS has been compromised by a third party; some users are seeing requests for seed phrase on https://t.co/Hr6S4Fqodo. DO NOT enter your seed phrase.
— Cream Finance ? (@CreamdotFinance) March 15, 2021
We will never ask you to submit any private key or seed phrases.
There is a chance we have been DNS hijacked, the same as @CreamdotFinance.
— PancakeSwap ? #BSC (@PancakeSwap) March 15, 2021
Until we are able to confirm this is not the case, do not use the site.
We will confirm ASAP.
In the meantime, better safe than sorry.
Please retweet for visibility! https://t.co/keLsiPFcOh
По мнению ИБ-специалистов, за этими атаками явно стоит один и тот же злоумышленник, поскольку записи DNS для обоих сайтов были изменены с интервалом в одну минуту.
Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, но, как отмечает MalwareHunterTeam, обе компании управляли своими записями DNS через хостинговую компанию GoDaddy.
Both @CreamdotFinance and @PancakeSwap have their domains registered by GoDaddy...
— MalwareHunterTeam (@malwrhunterteam) March 15, 2021
So, if someone somehow not phished both companies' people at the same time, it's again time to say thanks to GoDaddy. pic.twitter.com/LEFd40HqtI
Хотя теоретически атакующие могли скомпрометировать хостинговые аккаунты обеих компаний, также есть вероятность, что атаке подвергся сотрудник GoDaddy. Дело в том, что это будет уже не первый инцидент такого рода: в марте и ноябре прошлого года работники GoDaddy уже становились жертвами фишеров. Тогда злоумышленники проникли в систему и изменили DNS для ряда ресурсов, связанных с криптовалютой и хостингом, в том числе Escrow.com, Liquid.com, NiceHash.com, Bibox.com, Celsius.network и Wirex.app.
В настоящее время представители Cream Finance и PancakeSwap сообщают, что уже почти восстановили контроль над доменами, и для большинства пользователей посещение сайтов безопасно.
? We have regained control of DNS and everything is back to normal on https://t.co/Tz2zo7WsXd and https://t.co/JmBbwhWu4h
— Cream Finance ? (@CreamdotFinance) March 15, 2021
These sites are now safe to use.
Thank you for your patience as we are continue to monitor this situation. ??♀️?♂️
We have regained access to the DNS.
— PancakeSwap ? #BSC (@PancakeSwap) March 15, 2021
Some users might still be affected, depending on their DNS resolution as some propagation time may be needed.
Will send another update shortly.
Thanks for waiting.
Still a couple of areas left.https://t.co/ynfEfVQRy8 https://t.co/MuhDgiGX2l
— PancakeSwap ? #BSC (@PancakeSwap) March 16, 2021
