15 марта 2021 года DeFi-проект Cream Finance и децентрализованная биржа PancakeSwap подверглись атакам на подмену DNS. В результате посетители попадали на фейковые сайты, где мошенники пытались выведать их seed-фразы и приватные ключи, чтобы получить доступ к кошелькам и похитить средства.

Обнаружив атаки, обе компании сообщили о проблемах в Twitter и призвали пользователей временно воздержаться от посещения их сайтов, подчеркнув, что сами сайты не скомпрометированы. Также администрация Cream Finance и PancakeSwap просила пользователей не вводить seed-фразы и приватные ключи на фишинговых сайтах злоумышленников во избежание проблем.

По мнению ИБ-специалистов, за этими атаками явно стоит один и тот же злоумышленник, поскольку записи DNS для обоих сайтов были изменены с интервалом в одну минуту.

Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, но, как отмечает MalwareHunterTeam, обе компании управляли своими записями DNS через хостинговую компанию GoDaddy.

Хотя теоретически атакующие могли скомпрометировать хостинговые аккаунты обеих компаний, также есть вероятность, что атаке подвергся сотрудник GoDaddy. Дело в том, что это будет уже не первый инцидент такого рода: в марте и ноябре прошлого года работники GoDaddy уже становились жертвами фишеров. Тогда злоумышленники проникли в систему и изменили DNS для ряда ресурсов, связанных с криптовалютой и хостингом, в том числе Escrow.com, Liquid.com, NiceHash.com, Bibox.com, Celsius.network и Wirex.app.

В настоящее время представители Cream Finance и PancakeSwap сообщают, что уже почти восстановили контроль над доменами, и для большинства пользователей посещение сайтов безопасно.

Оставить мнение