Den 21. november ble de sentraliserte domenene til både Velodrome og Aerodrome kapret og omdirigert til ondsinnet innhold. Dette angrepet ble oppdaget og avverget raskt med støtte fra våre sikkerhetspartnere — og en plan for hvordan vi skal gå videre er nå klar. 👇

TL; DR • Årsaken var et internt sikkerhetsbrudd hos NameSilo • Desentraliserte domener forblir sikre og operative • Sentraliserte domener med ny infrastruktur går live neste uke • Fem ledende sikkerhetsfirmaer ble konsultert • Brukere berørt av ondsinnede domener kvalifiserer for tilskudd

Etter hvert som bransjen har vokst, har angrep på den sentraliserte domeneinfrastrukturen til DeFi-protokoller blitt tragisk vanlige. Bare de siste årene har dusinvis av toppprosjekter blitt utsatt for angrep på sentraliserte domener fra trusselaktører.

Den vanligste vektoren for DNS-angrep er sosial ingeniørkunst, eller kompromittering, av sentraliserte domeneadministrasjonstjenester. Derfor valgte vi, etter å ha rådført oss med bransjeledere, å bruke 3DNS, som var designet for å begrense slike vektorer via multisig-kontroll.

Selv om dette burde vært en sikkerhetsoppgradering sammenlignet med selv de mest robuste sentraliserte tjenestene, som bare er så sterke som sitt svakeste menneskelige ledd, er det nå klart at angrepsvektorene i denne modellen fortsatt var til stede.

Ifølge våre partnere hos 3DNS og NameSilo, som fortsatt aktivt etterforsker, ble multisig-kontrollen omgått. DNSSEC ble fjernet fra begge domenene, og en kompromittert insider hos NameSilo klarte å omdirigere domenene til ondsinnede sider.

Takket være raske tiltak fra @Blockaid_, @0xGroomLake, @_SEAL_Org og @FTIConsulting, ble angrepene raskt dempet. Innen 2 minutter etter den første kjente ondsinnede transaksjonen, viste store lommebøker som Metamask og Coinbase Wallet advarsler.

Med tanke på de varierende spredningstidene for rettelsene, ble angrepet fullstendig avverget på under 4 timer – og virkningen var begrenset til omtrent 700 000 dollar tapt for brukere som koblet til og signerte transaksjoner på det ondsinnede nettstedet mens det fortsatt var aktivt.

Siden angrepet har 3DNS og NameSilo vært både samarbeidsvillige og transparente – og de fortsetter å undersøke grunnårsakene og endre sine egne praksiser for å forhindre fremtidige problemer. Vi fortsetter å tro på fremtiden for en robust og sikker desentralisert domenestakk.

Men på råd fra våre sikkerhetspartnere har vi valgt å ikke ta opp de sentraliserte domenene på samme infrastruktur. Vi setter pris på tålmodigheten til brukere av Velodrome og Aerodrome her.

For øyeblikket samarbeider vi med våre sikkerhetsrådgivere og ledere i noen av de beste bedriftsregistrarene for å levere en løsning som oppfyller de unike kravene til en av DeFis mest fremtredende applikasjoner. Vi forventer at domener migrerer og åpner igjen neste uke.

Vi planlegger også å gi sikkerhetsfokuserte team muligheten til å laste ned og kjøre dApps på en fullstendig selvhostet måte. Dette betyr at brukere vil kunne bruke Velodrome og Aerodrome bak brannmurte og private nettverk med egne RPC-endepunkter.

I tillegg jobber Aero + Velo Foundations med en plan om å tilby tilskudd til brukere proporsjonalt med deres tap ved å signere ondsinnede transaksjoner. Disse programmene vil være underlagt verifiseringskrav. For nå, hvis du ble påvirket, vennligst åpne en sak på Discord.

For en fullstendig tidslinje for angrepet, vennligst se hele rapporten som er tilgjengelig på IPFS og som er lenket nedenfor: