Op 21 november werden de gecentraliseerde domeinen van zowel Velodrome als Aerodrome gekaapt en naar kwaadaardige inhoud geleid. Deze aanval werd snel opgemerkt en verholpen met de steun van onze beveiligingspartners — en een plan voor hoe verder te gaan is nu klaar. 👇

TL;DR • De oorzaak was een interne beveiligingsinbreuk bij NameSilo • Gedecentraliseerde domeinen blijven veilig en operationeel • Gecentraliseerde domeinen met nieuwe infrastructuur gaan volgende week live • Vijf toonaangevende beveiligingsbedrijven zijn geraadpleegd • Gebruikers die getroffen zijn door kwaadaardige domeinen komen in aanmerking voor subsidies

Naarmate de industrie is gegroeid, zijn aanvallen op de gecentraliseerde domeininfrastructuur van DeFi-protocollen tragisch gebruikelijk geworden. In de afgelopen jaren hebben tientallen topprojecten geleden onder gecentraliseerde domeinaanvallen van bedreigingsactoren.

De meest voorkomende vector voor DNS-aanvallen is sociale engineering, of het compromitteren, van gecentraliseerde domeinbeheerdiensten. Dat is de reden waarom we, na overleg met leiders uit de industrie, hebben gekozen voor 3DNS, dat is ontworpen om dergelijke vectoren te beperken via multisig-controle.

Hoewel dit een beveiligingsupgrade had moeten zijn ten opzichte van zelfs de meest robuuste gecentraliseerde diensten, die alleen zo sterk zijn als hun zwakste menselijke schakel, is het nu duidelijk dat de aanvalsvectoren in dit model aanwezig bleven.

Volgens onze partners bij 3DNS en NameSilo, die nog steeds actief onderzoek doen, werd de multisig controle omzeild. DNSSEC werd van beide domeinen verwijderd en een gecompromitteerde insider bij NameSilo kon de domeinen omleiden naar kwaadaardige pagina's.

Dankzij de snelle acties van @Blockaid_, @0xGroomLake, @_SEAL_Org en @FTIConsulting, werden de aanvallen snel gemitigeerd. Binnen 2 minuten na de eerste bekende kwaadaardige transactie, toonden grote wallets zoals Metamask en Coinbase Wallet waarschuwingen.

Rekening houdend met de verschillende propagatietijden van fixes, werd de aanval volledig verholpen in minder dan 4 uur - en de impact was beperkt tot ongeveer $700.000 verloren door gebruikers die verbonden waren en transacties ondertekenden op de kwaadaardige site terwijl deze nog actief was.

Sinds de aanval zijn 3DNS en NameSilo zowel coöperatief als transparant geweest - en ze blijven de oorzaken en herzieningen van hun eigen praktijken onderzoeken om toekomstige problemen te voorkomen. We blijven geloven in de toekomst van een robuuste en veilige gedecentraliseerde domeinstructuur.

Echter, op advies van onze beveiligingspartners hebben we ervoor gekozen om de gecentraliseerde domeinen niet opnieuw op dezelfde infrastructuur op te zetten. We waarderen de geduld van de gebruikers van Velodrome en Aerodrome hier.

Momenteel werken we samen met onze beveiligingsadviseurs en leidinggevenden van enkele van de beste bedrijfsregistrars om een oplossing te bieden die voldoet aan de unieke vereisten van een van de meest prominente toepassingen van DeFi. We verwachten dat domeinen volgende week zullen migreren en opnieuw geopend worden.

We plannen ook om beveiligingsgerichte teams de optie te geven om de dApps volledig zelf-gehost te downloaden en uit te voeren. Dit betekent dat gebruikers Velodrome en Aerodrome achter firewalled en privé netwerken kunnen gebruiken met hun eigen RPC-eindpunten.

Daarnaast werken de Aero + Velo Foundations aan een plan om subsidies aan te bieden aan gebruikers, proportioneel aan hun verliezen bij het ondertekenen van kwaadaardige transacties. Deze programma's zullen onderhevig zijn aan verificatie-eisen. Als je momenteel bent getroffen, open dan alsjeblieft een ticket in Discord.

Voor een volledige tijdlijn van de aanval, bekijk alstublieft het volledige rapport dat hieronder is gelinkt en gehost op IPFS: