Dostawca węzłów Proof-of-Stake (PoS) blockchain Ankr padł ofiarą włamania w ten piątek, 1 lipca. Bramki RPC („Remote Procedure Call”) dostarczone przez firmę w celu uzyskania dostępu do sieci Polygon i Fantom zostały porwane w celu wyciągnięcia funduszy od jej klientów. Spójrzmy na ten hack.
Użytkownicy Ankr zachęcani do ujawniania swoich fraz seedowych
W piątek, 1 lipca, dostawca węzłów Proof-of-Stake (PoS) blockchain Ankr stał się celem włamania. Hakerowi (hakerom) udało się skompromitować RPC dla sieci Polygon (MATIC) i Fantom (FTM).
W praktyce użytkownicy próbujący uzyskać dostęp do blockchainów Polygon (MATIC) i Fantom (FTM) za pośrednictwem bramek RPC dostarczonych przez Ankr, otrzymywali komunikat o błędzie zachęcający ich do ujawnienia ich „frazy nasiennej” (znanej również jako tajna fraza lub fraza odzyskiwania). Po wejściu w posiadanie tej uproszczonej wersji kluczy prywatnych ofiar, haker(ka) mógł(a) uzyskać dostęp do ich portfeli, aby ukraść ich fundusze.
Uwaga proszę, atak na @0xPolygon trwa w tej chwili!
Użytkownicy widzą błąd RPC z prośbą o pilne zresetowanie swoich nasion na polygonapp net (wygląda na to, że jest to wether DNS hijack lub forma ataku łańcucha dostaw).
To tylko wyskakujące okienko, które ma Cię przenieść na stronę, na której umieścisz swoje nasiona. pic.twitter.com/fZxtlkKeDN
– Oficer CIA (@officer_cia) 1 lipca 2022
Domain name hijacking behind the hack
Według Chandlera Songa (współzałożyciela Ankr) i Mudita Gupty (szefa bezpieczeństwa IT w Polygonie), za źródło włamania uważa się Gandi, dostawcę nazwy domeny (DNS) Ankr, który przekazał hakerowi kontrolę nad kontem Ankr. Nie wiadomo jeszcze jak to zrobił, ale być może miał pomoc wspólnika w Gandy.
Gandi (customer agent compromise?) przekazał kontrolę nad kontem Ankr napastnikowi i to było główną przyczyną DNS Hijack.
Ankr zadziałał szybko i odzyskał dostęp do konta.https://t.co/UgLPD63rYK
– Mudit Gupta (@Mudit__Gupta) 1 lipca 2022
To właśnie dzięki porwaniu domeny hakerowi udałoby się przekierować użytkowników na oszukańczy adres mający wpływ na RPC Ankr dla blockchainów Polygon (MATIC) i Fantom (FTM), przez co użytkownicy platformy wpadają na ten słynny komunikat o błędzie z prośbą o podanie fraz seed.
Użyj innych RPC, aby uzyskać dostęp do Polygonu (MATIC) i Fantomu (FTM)
Mówiąc najprościej, RPC pozwalają użytkownikom podłączyć swoje portfele do blockchaina. Na przykład, gdy podłączasz nowy blockchain do portfela takiego jak Metamask, robisz to za pośrednictwem RPC. Aby lepiej to zrozumieć, zapraszamy do zapoznania się z naszym tutorialem dotyczącym podłączenia blockchaina Avalanche (AVAX) do Metamask.
Jak zaznacza Wil, ekspert blockchain i specjalista od analizy fundamentalnej w naszej prywatnej grupie the Grille-Pain:
„Istnieje mnóstwo RPC do łączenia się z każdym blockchainem. Naruszone zostały jedynie RPC udostępnione przez Ankr w celu uzyskania dostępu do blockchaina Polygon i Fantom. „
Czekając na wyjaśnienie tej sprawy, Ankr za pośrednictwem tweeta zamieszczonego dziś po południu wysłał swoim użytkownikom nowe RPC umożliwiające dostęp do Polygonu (MATIC) i Fantomu (FTM).
Badamy niektóre zgłoszone problemy z naszymi RPC @0xPolygon i @FantomFDN
‼️Na razie proszę używać https://t.co/LcnNn1OIWH i https://t.co/LrPIztRL1y
– Ankr (@ankr) 1 lipca 2022
Wczesnym wieczorem firma ponownie zatweetowała, aby powiedzieć, że RPC sieci Polygon (MATIC) i Fantom (FTM) zostały w pełni przywrócone, dodając, że wszystkie ich usługi działają prawidłowo. Ankr skorzystał z okazji, aby potwierdzić, że rzeczywiście padł ofiarą ataku na usługę nazw domen (DNS).
Stało się tak, ponieważ strona trzecia, z której korzystamy do obsługi DNS, uzyskała dostęp do sposobu modyfikacji niektórych ustawień na naszych kontach.
DNS niestety nie jest zdecentralizowany.Ponadto ‼️ RPC z https://t.co/Q8fL5Y3bS2 nigdy nie zostało dotknięte.
– Ankr (@ankr) July 1, 2022
Jeśli wolisz, możliwe jest również bezpieczne połączenie się z oboma blockchainami za pomocą RPC dostarczanych przez inne firmy, takie jak Chainlist.
Polygon chciał również podkreślić, że włamanie nie miało wpływu na blockchain Proof-of-Stake, czyli rozwiązanie drugiej warstwy wykorzystywane przez ogół społeczeństwa.
Sieć Polygon PoS działa bez zarzutu. Oto kilka aktualizacji.
[1/2]
– Poligon – MATIC (@0xPolygon) 1 lipca 2022
Ten atak DNS przypomina ten, który kilka dni temu uderzył w Convexa i inne protokoły DeFI. W każdym razie jest to dobre przypomnienie dla wszystkich użytkowników kryptowalut. W przyszłości nigdy nie dziel się swoją frazą seed w Internecie, zwłaszcza jeśli ktoś cię o nią poprosi.