dYdX Exchange、ハッキングで失われた31,000ドル相当のSquarespaceアカウントに関する事後分析を発表
著名な暗号通貨取引所dYdXは7月23日、バージョン3.0のウェブサイトが侵害されたと発表しました。
ユーザーには、追って通知があるまでバージョン3.0のサイトにアクセスしたりリンクをクリックしたりしないようにアドバイスされています。ただし、チームは、バージョン4.0は影響を受けず、正常に機能しているとユーザーに保証しています。
dYdXは、Squarespaceアカウントのハッキングに関する詳細な事後分析を発表し、事件の概要と対応を説明しています。同取引所はドメイン登録業者を変更することを決定し、SEALやその他のパートナーと協力して今後の事件を防止し続けています。
dYdX Exchangeウェブサイトがソーシャルエンジニアリング攻撃により侵害される
事後検証によると、この侵害は、Squarespaceカスタマーサポートに対するソーシャルエンジニアリング攻撃を通じて、権限のない個人がdYdX TradingのSquarespaceアカウントにアクセスした後に発生したとのことです。
取引所ドメインの2時間にわたるハイジャックにより、2人のユーザーが合計約31,000ドルの資金を失いました。dYdX Tradingは、被害を受けたユーザーと連絡を取り、補償を確実に受けられるようにしています。
2023年、Squarespaceは現在廃止されたGoogle Domainsからすべてのドメインを取得し、数か月かけて移行しました。dYdX Tradingが所有するdydx.exchangeドメインは、2024年6月15日にSquarespaceに移行されました。
7月9日、攻撃者はdydx.exchangeドメインにアクセスし、DNSネームサーバーをCloudflareからDDoS-Guardに変更しました。
この最初の攻撃はDNSSEC設定によって軽減され、ユーザーは侵害されたサイトにアクセスできなくなりました。DYdXは、パスワードと2要素認証(2FA)のローテーションを通じて、すぐに問題を解決しました。
暗号資産に特化したドメインに対する同様の攻撃の報告を受けて、暗号資産に特化したセキュリティチームであるSEALが調査を開始しました。SquarespaceのOAuthの脆弱性が悪用されたことが判明し、Squarespaceは7月12日にこれに対応して修正しました。
それにもかかわらず、7月23日にdydx.exchangeドメインは再び侵害されました。攻撃者はDNSネームサーバーを変更し、DNSSEC設定を削除して、ユーザーを騙してイーサリアムとERC20トークンを転送させる悪質なサイトをホストしました。
この期間中、dYdXはSEALや他のパートナーと協力し、MetamaskやPhantomなどの人気の暗号通貨ウォレット上の悪質なサイトをブロックしました。これらの努力にもかかわらず、攻撃中に2人のユーザーが31,000ドルを失いました。
dYdX Exchange、Squarespaceアカウントのハッキング後にウェブサイトを復旧
さらに事後検証により、攻撃者がドメイン管理者のメールアドレスをoutlook.comで終わるアドレスに設定し、ユーザー名をdYdXアカウントの課金管理者の正式名に類似させていたことが明らかになりました。攻撃者が信頼できるメールアドレスを使用していたことから、ソーシャルエンジニアリング攻撃が行われた可能性が示唆されました。
dYdXによると、Squarespaceとの通信により、アカウント回復プロセス中に人為的ミスによって乗っ取りが始まったことが明らかになったといいます。
攻撃者は2FAを回避し、有効なセキュリティ認証情報を提供せずにアカウントのメールアドレスを変更しました。Squarespaceのカスタマーサービスは、これらの変更を行う前に、ドメインに登録されている他の管理者に連絡を取ろうとしませんでした。
dYdXは攻撃に対応して、セキュリティを強化するためにドメイン登録をCloudflareに移管しました。移管は迅速に行われ、6時間以内に完了しました。
dYdXは、これらのインシデントの結果、スマートコントラクト、バックエンドシステム、dYdXチェーンにセキュリティ上の問題は発生していないことを確認しました。
dYdXチームは、ソーシャルメディアXで、侵害されたサイトにアクセスしていないことを確認するために、ウェブサイトに再接続する前にブラウザのキャッシュをクリアしてブラウザを再起動するようユーザーにアドバイスしました。