Vários aplicativos de finanças descentralizadas (DeFi) foram alvo de um ataque ao registro de domínio em 11 de julho, de acordo com uma postagem no X da plataforma de segurança blockchain Blockaid. O invasor assumiu o controle do registro DNS da Compound Finance e tentou — mas falhou — assumir o controle do registro da Celer Network.
Após uma investigação preliminar, a Blockaid concluiu que o invasor está mirando nomes de domínio fornecidos pela Squarespace, potencialmente colocando em risco qualquer aplicativo DeFi com um domínio Squarespace.
Os pesquisadores de segurança tomaram conhecimento do ataque quando a interface da Compound em compound.finance começou a redirecionar para um site malicioso. O site malicioso estava equipado com um aplicativo de drenagem que tentava roubar os tokens dos usuários.
Às 13:38 UTC, a rede Celer anunciou que também havia sido atacada. No entanto, neste caso, a Celer afirmou que seu sistema de monitoramento de domínio detectou a tentativa de tomada e a interceptou antes que pudesse ter sucesso.
Às 15:38 UTC, a Blockaid anunciou que "várias interfaces front-end de DeFi estão em risco de sequestro, com alguns incidentes já ocorrendo". "Pela avaliação inicial, parece que os invasores estão operando sequestrando registros DNS de projetos hospedados na SquareSpace", afirmou.
0xngmi, um desenvolvedor da plataforma de análise blockchain DefiLlama, postou uma lista de domínios que podem ser afetados pelo ataque. A lista inclui mais de 100 protocolos DeFi, incluindo Pendle Finance, dYdX, Polymarket, Satoshi Protocol, Nirvana, LooksRare e muitos outros.
A carteira Web3 MetaMask anunciou que está tentando avisar os usuários sobre aplicativos possivelmente comprometidos associados ao ataque. "Para aqueles que usam MetaMask, vocês verão um aviso fornecido pela @blockaid_ se tentarem transacionar em qualquer site conhecido que esteja envolvido neste ataque atual", afirmou.
O sequestro de nomes de domínio foi um dos vários ataques contra a indústria Web3 no ano passado. Em dezembro, um invasor injetou código malicioso na biblioteca Ledger Connect, que a maioria dos aplicativos Web3 usa para conexões de carteira, afetando quase todo o ecossistema da Ethereum Virtual Machine.