Une vague d'attaques coordonnées de piratage DNS cible les domaines de crypto-monnaie de la finance décentralisée (DeFi) utilisant le registraire Squarespace, redirigeant les visiteurs vers des sites de phishing hébergeant des draineurs de portefeuille.

Le détournement DNS se produit lorsqu'un attaquant modifie les enregistrements du système de noms de domaine d'une cible pour rediriger le trafic d'un site Web légitime vers un site sous son contrôle, comme les pages de phishing. Ces attaques sont généralement menées en compromettant un serveur DNS ou le compte de la cible chez un fournisseur de services DNS et en apportant des modifications aux enregistrements DNS.

Les détournements DNS ciblent les plateformes de crypto-monnaie

Hier, de nombreuses plateformes DeFi ont averti que leurs domaines de sites Web redirigeaient les utilisateurs vers des sites de phishing qui utilisaient des draineurs de portefeuille pour voler des cryptomonnaies et des NFT à partir de portefeuilles connectés. Tous ces domaines partageaient un registraire commun, Squarespace.

La plateforme DeFi Compound Finance a averti hier que son domaine principal avait été repris pour afficher une page de phishing.

La plateforme a averti les utilisateurs de ne pas visiter son site Web et a proposé une alternative sécurisée à la place. Elle a également conseillé à toute personne interagissant avec les dApps Compound de révoquer son accès.

Celer Network, une plateforme spécialisée dans les solutions de mise à l'échelle de couche 2 pour les applications blockchain, a également annoncé avoir été la cible d'un piratage DNS. Cependant, elle affirme avoir intercepté la tentative et avoir rapidement récupéré ses enregistrements DNS.

« Notre enquête en cours indique que le vecteur d'attaque impliquait probablement des tiers indépendants de notre volonté », a déclaré Celer sur X.

Enfin, Pendle, un protocole DeFi pour le trading de rendements futurs tokenisés, a rencontré des problèmes similaires. Il a conseillé aux utilisateurs de révoquer immédiatement les approbations de ses contrats intelligents et de vider le cache de leur navigateur pour s'assurer qu'ils ne sont pas redirigés ailleurs.

Les trois plateformes ont assuré aux utilisateurs que ces détournements DNS n'avaient pas compromis leurs protocoles et que les fonds des utilisateurs étaient en sécurité.

Néanmoins, ceux qui ont saisi leurs informations sur les sites de phishing doivent prendre des mesures immédiates pour atténuer les risques, notamment en révoquant les approbations de contrats intelligents, en modifiant les mots de passe et en transférant des fonds vers un nouveau portefeuille.

Aujourd'hui, Domaines imparables ils ont également signalé que leurs domaines avaient été piratés et qu'ils avaient du mal à contacter SquareSpace pour résoudre le problème.

Attaques liées au registraire SquareSpace

Bien que la cause exacte de la compromission n'ait pas encore été déterminée, les domaines compromis étaient tous initialement enregistrés chez Google Domains, qui ont ensuite été transférés de force vers Squarespace en 2023 dans le cadre d'un accord d'achat d'actifs avec Google.

Depuis lors, Squarespace a commencé à migrer les domaines vers son service, et les domaines récemment compromis sont désormais enregistrés auprès de l'entreprise.

« Pour le contexte – Squarespace a acheté tous les enregistrements de domaine et les comptes clients associés à Google Domains en juin 2023, ce qui a forcé la migration des domaines », Pendle a tweeté.

« Récemment, des pirates ont exploité une vulnérabilité de Squarespace, détournant des domaines hébergés sur leur plateforme. Les experts en sécurité travaillent encore sur le mécanisme exact des attaques de détournement, mais de nombreux domaines (y compris celui de Pendle) qui ont été migrés de Google vers Squarespace ont été affectés. »

Cependant, dans le cadre de la transition vers Squarespace, l'authentification multifacteur a été désactivée sur les comptes. Sujet d'assistance Squarespace à propos de la migration de Google Domains, Google a averti les propriétaires de domaines d'activer l'authentification multifacteur pour sécuriser davantage les domaines.

On ne sait pas comment les acteurs de la menace détournent les domaines, mais un rapport Les chercheurs en sécurité cryptographique Samczsun, Taylor Monahan et Andrew Mohawk indiquent que cela pourrait être lié à la désactivation de l'authentification multifacteur pendant le processus de migration et à la création automatique de comptes pour les utilisateurs associés aux domaines.

Les clients qui se sont abonnés à Google Workspace via Google Domains auraient eu leur service migré vers Squarespacequi est également un revendeur de Workspace. Les chercheurs pensent que les acteurs de la menace utilisent l'accès revendeur et les comptes nouvellement créés pour créer de nouveaux comptes Workspace ou locataires associés aux domaines.

D'autres clients de Squarespace ont également signalé recevoir des e-mails suspects de réinitialisation de mot de passece qui pourrait indiquer qu'il s'agit d'une attaque d'identification plus large sur les comptes SquareSpace.

Les chercheurs ont compilé une liste des domaines des projets liés aux cryptomonnaies et à la DeFi gérés par Squarespace qui pourraient avoir été impactés. Il est recommandé aux personnes d'être vigilantes lorsqu'elles interagissent avec ces plateformes jusqu'à ce que la situation s'améliore.

BleepingComputer a contacté Squarespace pour un commentaire sur la situation, mais nous attendons toujours une réponse.