Доставчикът на Proof-of-Stake (PoS) блокчейн възли Ankr стана жертва на хакерска атака този петък, 1 юли. Предоставените от дружеството шлюзове RPC („Remote Procedure Call“) за достъп до мрежите Polygon и Fantom са били отвлечени, за да се изтеглят средства от клиентите. Да разгледаме хака.
Потребителите на Ankr се насърчават да разкрият своите фрази за семена
В петък, 1 юли, доставчикът на блокчейн възли Proof-of-Stake (PoS) Ankr стана обект на хакерска атака. Хакерът(ите) е(са) успял(и) да компрометира(и) RPC за мрежите Polygon (MATIC) и Fantom (FTM).
На практика потребителите, които се опитваха да получат достъп до блокчейн веригите Polygon (MATIC) и Fantom (FTM) чрез предоставените от Ankr RPC шлюзове, получаваха съобщение за грешка, което ги приканваше да разкрият своята „семенна фраза“ (известна също като тайна фраза или фраза за възстановяване). След като се сдобие с тази опростена версия на частните ключове на жертвата, хакерът (хакерите) може да получи достъп до портфейлите ѝ, за да открадне средствата ѝ.
Внимание, моля, атаката на @0xPolygon продължава в момента!
Потребителите виждат грешка в RPC, която ги моли спешно да нулират семената си в мрежата на polygonapp (изглежда, че това е мокро отвличане на DNS или форма на атака по веригата за доставки).
Просто изскачащ прозорец за измама, за да ви отведе до страница, на която да поставите семената си. pic.twitter.com/fZxtlkKeDN
– Офицер на ЦРУ (@officer_cia) 1 юли 2022 г.
Отвличане на имена на домейни зад хакерската атака
Според Чандлър Сонг (съосновател на Ankr) и Мудит Гупта (ръководител на ИТ сигурността на Polygon) източникът на хакерската атака се смята за Gandi, доставчик на име на домейн (DNS) на Ankr, който прехвърля контрола над акаунта на Ankr на хакера. Все още не е известно как го е направил, но е възможно да е имал помощ от съучастник в Ганди.
Gandi (компрометиране на агента на клиента?) прехвърли контрола над акаунта на Ankr на нападателя и това беше основната причина за отвличането на DNS.
Ankr е действал бързо и е възстановил достъпа до акаунта.https://t.co/UgLPD63rYK
– Mudit Gupta (@Mudit__Gupta) July 1, 2022
По този начин чрез отвличане на име на домейн хакерът е успял да пренасочи потребителите към фалшив адрес, който е засегнал RPC на Ankr за блокчейна Polygon (MATIC) и Fantom (FTM), така че потребителите на платформата да попаднат на това известно съобщение за грешка, което ги пита за техните семенни фрази.
Използване на други RPC за достъп до Polygon (MATIC) и Fantom (FTM)
Казано по-просто, RPC позволяват на потребителите да свързват портфейлите си с блокчейн. Например, когато свързвате нова блокчейн верига с портфейл като Metamask, го правите чрез RPC. За да разберете по-добре това, ви каним да прочетете нашия урок за това как да свържете блокчейна Avalanche (AVAX) с Metamask.
Както посочва Уил, експерт по блокчейн и специалист по фундаментален анализ в нашата частна група Grille-Pain:
„Съществуват множество RPC за свързване към всяка блокчейн. Компрометирани са само RPC, предоставени от Ankr за достъп до блокчейн на Polygon и Fantom. „
В очакване на изясняване на този въпрос Ankr изпрати на потребителите си нови RPC за достъп до Polygon (MATIC) и Fantom (FTM) чрез туит, публикуван този следобед.
Проучваме някои докладвани проблеми в нашите RPC на общността @0xPolygon и @FantomFDN
‼️Засега, моля, използвайте https://t.co/LcnNn1OIWH и https://t.co/LrPIztRL1y
– Ankr (@ankr) July 1, 2022
В началото на вечерта компанията отново съобщи в Twitter, че RPC на мрежите Polygon (MATIC) и Fantom (FTM) са напълно възстановени, като добави, че всички техни услуги работят правилно. Ankr се възползва от възможността да потвърди, че наистина е станала жертва на атака на услугата за имена на домейни (DNS).
Това се е случило, защото трета страна, която използваме за DNS, е получила достъп до начин за промяна на някои настройки в нашите акаунти.
За съжаление DNS не е децентрализиран.Освен това ‼️Никога не са били засегнати RPC от https://t.co/Q8fL5Y3bS2
– Ankr (@ankr) July 1, 2022
Ако предпочитате, възможно е също така да се свържете сигурно с двете блокчейн вериги, като използвате RPC, предоставени от други компании, като Chainlist.
Polygon също така искаше да подчертае, че хакването не е засегнало блокчейна Proof-of-Stake – решението от второ ниво, използвано от широката общественост.
Виригата на Polygon PoS работи безпроблемно. Ето някои актуализации.
[1/2]
– Polygon – MATIC (@0xPolygon) July 1, 2022
Тази DNS атака напомня на атаката, която преди няколко дни засегна Convex и други DeFI протоколи. Във всеки случай това е добро напомняне за всички потребители на криптовалути. Занапред никога не споделяйте в интернет фразата на семената си, особено ако някой ви попита за нея.
