أعلنت بورصة dYdX، وهي بورصة بارزة لتداول العملات المشفرة، في 23 يوليو أن موقعها الإلكتروني الإصدار 3.0 قد تعرض للاختراق.
تم نصح المستخدمين بتجنب زيارة موقع الإصدار 3.0 أو النقر على أي روابط حتى إشعار آخر. ومع ذلك، أكد الفريق للمستخدمين أن الإصدار 4.0 لم يتأثر ويعمل بشكل طبيعي.
dYdX لديه أصدر تقريرًا تفصيليًا بعد الوفاة حول اختراق حساب Squarespace، يوضح الأحداث وردود الأفعال. قررت البورصة تغيير مسجلي النطاقات وتواصل العمل مع SEAL والشركاء الآخرين لمنع وقوع حوادث مستقبلية.
تعرض موقع dYdX Exchange للاختراق بسبب هجوم الهندسة الاجتماعية
أكد مسجل النطاق https://t.co/Ym1dFLMmm5 (Squarespace سابقًا) أنه في 23 يوليو، تم الوصول إلى حساب Squarespace الخاص بشركة dYdX Trading من قبل أفراد غير مصرح لهم بعد نجاحهم في هندسة دعم عملاء Squarespace اجتماعيًا.
— dYdX (@dYdX) 25 يوليو 2024
وفقًا للتشريح، حدث الاختراق بعد أن تمكن أفراد غير مصرح لهم من الوصول إلى حساب Squarespace الخاص بشركة dYdX Trading من خلال هجوم هندسي اجتماعي على دعم عملاء Squarespace.
خلال عملية اختطاف الطائرة التي استمرت ساعتين مجال التبادلخسر مستخدمان أموالاً تصل قيمتها الإجمالية إلى حوالي 31000 دولار. وتتواصل شركة dYdX Trading مع المستخدمين المتضررين لضمان حصولهم على تعويضات.
في عام 2023، Squarespace استحوذت على جميع المجالات من نطاقات Google التي لم تعد موجودة الآن، ونقلها على مدار عدة أشهر. تم نقل نطاق dydx.exchange، المملوك لشركة dYdX Trading، إلى Squarespace في 15 يونيو 2024.
في 9 يوليو، تمكن المهاجمون من الوصول إلى نطاق dydx.exchange وقاموا بتعديل خوادم أسماء DNS من Cloudflare إلى DDoS-Guard.
تم التخفيف من حدة هذا الهجوم الأولي من خلال إعدادات DNSSEC، والتي منعت المستخدمين من الوصول إلى الموقع المخترق. وقد حلت DYdX المشكلة بسرعة من خلال تبديل كلمة المرور والمصادقة الثنائية (2FA).
بعد رتقارير عن هجمات مماثلة في المجالات الخاصة بالعملات المشفرة، SEAL، وهو فريق أمني يركز على العملات المشفرة، بدأ التحقيقتم اكتشاف أنه تم استغلال ثغرة OAuth على Squarespace، والتي تم اختراقها بواسطة Squarespace. تم معالجتها وإصلاحها في 12 يوليو.
على الرغم من ذلك، تم اختراق نطاق dydx.exchange مرة أخرى في 23 يوليو. تمكن المهاجمون من تغيير خوادم أسماء DNS وإزالة إعدادات DNSSEC، واستضافة موقع ضار خدع المستخدمين في نقل رموز Ethereum وERC20.
خلال هذه الفترة، تعاونت dYdX مع SEAL وشركاء آخرين لحظر المواقع الضارة على محافظ العملات المشفرة الشهيرة مثل Metamask وPhantom. وعلى الرغم من هذه الجهود، فقد خسر مستخدمان 31000 دولار خلال الهجوم.
استعادة موقع dYdX Exchange بعد اختراق حساب Squarespace
يرجى الاطلاع على تقرير ما بعد الوفاة الكامل أدناه. https://t.co/vHSGRZpzpx
— dYdX (@dYdX) 25 يوليو 2024
وكشف تشريح الجثة أيضًا أن المهاجم قام بتعيين البريد الإلكتروني لمسؤول المجال إلى عنوان ينتهي بـ outlook.com، مع اسم مستخدم مشابه للاسم القانوني لمسؤول الفواتير على حساب dYdX. هذا اقترح هجومًا هندسيًا اجتماعيًا، حيث استخدم المهاجم عنوان بريد إلكتروني معقولًا.
وبحسب شركة dYdX، فإن اتصالاتها مع Squarespace كشفت عن حدوث خطأ بشري أدى إلى بدء عملية الاستحواذ أثناء عملية استرداد الحساب.
تجاوز المهاجم المصادقة الثنائية وقام بتعديل البريد الإلكتروني للحساب دون تقديم بيانات اعتماد أمان صالحة. ولم تحاول خدمة عملاء Squarespace الاتصال بأي مسؤولين آخرين مدرجين على النطاق قبل إجراء هذه التغييرات.
ردًا على الهجوم، نقلت شركة dYdX تسجيل نطاقها إلى Cloudflare لتعزيز الأمان. وتم تسريع عملية النقل واكتملت في غضون ست ساعات.
وأكدت شركة dYdX عدم وجود مشكلات أمنية مع عقودها الذكية أو أنظمة الواجهة الخلفية أو سلسلة dYdX نتيجة للحوادث.
تم استعادة موقع https://t.co/Ym1dFLLOwx بواسطة dYdX Trading Inc. 🙏
يرجى ملاحظة أن جهازك قد لا يزال يقوم بتخزين الموقع المخترق.
تأكد من مسح ذاكرة التخزين المؤقت وإعادة تشغيل المتصفح قبل الاتصال بالموقع.
— dYdX (@dYdX) 23 يوليو 2024
فريق dYdX صرحت وسائل التواصل الاجتماعي Xتنصح المستخدمين بمسح ذاكرة التخزين المؤقت للمتصفح وإعادة تشغيله قبل إعادة الاتصال بالموقع الإلكتروني للتأكد من عدم وصولهم إلى الموقع المخترق.