Nakompromiso ng DNS Hijack ang Mga Serbisyo ng Ankr para sa Polygon at Fantom

Ang Web3 infrastructure firm na Ankr ay kilala sa pag-aalok ng mga node endpoint, staking services, at iba pang produkto sa proof-of-stake blockchains. Noong Biyernes, na-forfeit ng isang hacker ang isang pop-up na tulad ng scam sa Polygon at Fantom network sa pamamagitan ng pag-hijack sa domain name system (DNS) ng Ankr upang nakawin ang mga seed phase ng mga user. Hindi nagtagal ay nabawi ng proyekto ang mga pagkakamaling ginawa ng tao at sinabing walang nawalang pondo dahil sa insidenteng ito.

Attack Targeting Gateways sa Polygon at Fantom

Sa lalong madaling panahon pagkatapos ng independiyenteng pananaliksik sa seguridad "Opisyal ng CIA" muna napakita ang pag-atake, muli itong dinala ng Polygon CTO Mudit Gupta sa Twitter, na hinihimok ang mga user na gumamit ng mga alternatibong serbisyo habang inaayos ang mga bagay. Samantala, tinukoy niya ang nangungunang manlalaro na responsable para sa naturang insidente ng pagkabigo sa imprastraktura:

Makikipagtulungan kami sa Ankr upang matiyak na hindi na ito mauulit.

Gumagawa din kami ng isang mas desentralisadong alternatibo bilang isang proyekto sa pananaliksik at isang foundation na pagmamay-ari ng RPC node para sa higit na pagiging maaasahan.

- Mudit Gupta (@Mudit__Gupta) Hulyo 1, 2022

Ilang oras lamang matapos ikompromiso ng mga hacker ang mga gateway sa Fantom at Polygon, Ankr pinalaya isang buong pahayag sa Twitter, na tinitiyak sa mga user na ang pag-atake ay mabilis na "neutralize." Bilang karagdagan, ang lahat ng mga pangunahing serbisyo ay hindi naapektuhan, at dalawang libreng gamitin na pampublikong remote procedure call (RPC) na interface para sa Fantom at Polygon sa isang panlabas na site ang nalabag sa ilang sandali, ayon sa kompanya.

Nagsimula ang pagsasamantala sa isang panlilinlang na nag-target sa sentralisadong entity ng Ankr nang ang may kasalanan ay naiulat na nilinlang ang isang third-party na DNS provider upang bigyan ang hacker ng access sa mga domain ng Polygon at Fantom. Ang web service provider ng Ankr na nagngangalang Gandi ay naiulat na nalinlang ng pekeng pagkakakilanlan ng hacker, kaya pumayag na baguhin ang email address para sa domain registrar account.

Sa pamamagitan nito, ang mga user na naka-access sa mga blockchain sa pamamagitan ng mga endpoint ng Ankr ay makakatanggap ng isang phishing phase na humiling sa kanila na agarang i-reset ang kanilang seed sa PolygonApp. Maaaring nakawin ng mga hacker ang kanilang mga pondo sa pamamagitan ng pagkakaroon ng mga apektadong bahagi ng binhi ng mga user.

Kahit na ang buong paliwanag sa likod ng naturang pagsasamantala ay nananatiling hindi alam dahil sinusubukan pa rin ni Ankr na maunawaan kung ano ang tinanggap ni Gandi bilang patunay para sa pagbabagong ito, ipinahayag nito na ang kompromiso ay maaaring may kinalaman sa mga domain nito bilang "isang sentralisadong punto ng kabiguan."

3/ Kasalukuyang katayuan:

Sa sandaling ito, ganap na nabawi ng Ankr ang access sa aming Domain account, at naibalik ang aming mga serbisyo. Wala sa mga sistema ng Ankr ang naapektuhan.

- Ankr (@ankr) Hulyo 1, 2022

Paglabag sa seguridad

Hindi na karaniwan na ang error ng isang third-party ay humahantong sa mga crypto platform na nakompromiso. Ilang araw lang ang nakalipas, ang pinakamalaking NFT marketplace, ang OpenSea, iniulat isang paglabag sa data, na binabanggit ang isang empleyado ng Customer.io, isang third-party na platform na inupahan ng kumpanya, bilang responsable para sa naturang error.

Dahil sa pagtagas ng data tungkol sa mga customer nito na nakatanggap ng mga kahina-hinalang email, tawag sa telepono, at mensahe mula sa mga scammer, binalaan ng OpenSea ang mga customer nito na manatiling mapagbantay at magpadala ng mga email na may kasamang mga kasanayan sa anti-phishing.