O fornecedor de nós de cadeia de bloqueio de prova de compra (PoS) Ankr foi vítima de um hack esta sexta-feira, 1 de Julho. As gateways RPC (“Remote Procedure Call”) fornecidas pela empresa para aceder às redes Polygon e Fantom foram desviadas a fim de extrair fundos dos seus clientes. Vejamos o hack.
Utilizadores Ankr encorajados a revelar as suas frases de sementes
Na sexta-feira, 1 de Julho, o fornecedor do nó de cadeia de bloqueio Prova de Tomada (PoS) Ankr foi o alvo de um hack. O(s) hacker(s) conseguiu comprometer os RPCs para as redes Polygon (MATIC) e Fantom (FTM).
Na prática, os utilizadores que tentavam aceder às cadeias de bloqueio do Polygon (MATIC) e Fantom (FTM) através dos gateways RPC fornecidos pela Ankr foram presenteados com uma mensagem de erro encorajando-os a revelar a sua “frase semente” (também conhecida como a frase secreta ou frase de recuperação). Uma vez na posse desta versão simplificada das chaves privadas da vítima, o(s) hacker(s) poderia(m) aceder às suas carteiras para roubar os seus fundos.
Attenção por favor, o ataque a @0xPolygon está em curso neste momento!
Os utilizadores vêem um erro RPC a pedir aos utilizadores que reiniciem urgentemente a sua semente na rede polygonapp (parece que isto é um sequestro de DNS ou uma forma de ataque de cadeia de fornecimento).
Apenas um popup fraudulento para o levar a uma página para colocar a sua semente. pic.twitter.com/fZxtlkKeDN
– Oficial da CIA (@officer_cia) WJulho 1, 2022
Sequestro de nome de domínio por detrás do hack
De acordo com Chandler Song (co-fundador da Ankr) e Mudit Gupta (chefe da segurança informática do Polygon), acredita-se que a fonte do hack seja Gandi, o fornecedor do nome de domínio (DNS) da Ankr, que transferiu o controlo da conta da Ankr para o hacker. Ainda não se sabe como o fez, mas pode ter tido a ajuda de um cúmplice em Gandy.
Gandi (agente de clientes comprometido?) transferiu o controlo da conta da Ankr para o atacante e essa foi a causa raiz do Hijack DNS.
A Ankr agiu rapidamente e recuperou o acesso à conta.https://t.co/UgLPD63rYK
– Mudit Gupta (@Mudit__Gupta) Julho 1, 2022
É assim por um sequestro de nome de domínio que o hacker teria conseguido redireccionar os utilizadores para um endereço fraudulento, tendo afectado as cadeias de bloqueio do Ankr para o Polygon (MATIC) e Fantom (FTM), de modo que os utilizadores da plataforma caiam nesta famosa mensagem de erro pedindo-lhes as suas frases de sementes.
Utilizar outros RPCs para aceder ao Polygon (MATIC) e Fantom (FTM)
Em termos simples, os RPCs permitem aos utilizadores ligar as suas carteiras a uma cadeia de bloqueio. Por exemplo, quando se liga uma nova cadeia de bloqueio a uma carteira como a Metamask, fá-lo através de um RPC. Para melhor compreender isto, convidamo-lo a ler o nosso tutorial sobre como ligar a cadeia de bloqueio Avalanche (AVAX) ao Metamask.
Como Wil, especialista em blockchain e especialista em análise fundamental para o nosso grupo privado, o Grille-Pain aponta:
“Há uma multidão de RPCs a ligar a cada cadeia de blocos. Apenas os RPCs fornecidos pela Ankr para aceder ao Polígono e às cadeias de bloqueio Fantom foram comprometidos. “
A Ankr enviou aos seus utilizadores novos RPCs para acederem ao Polygon (MATIC) e Fantom (FTM) através de um tweet postado esta tarde.
Estamos a investigar alguns problemas relatados na nossa comunidade @0xPolygon e @FantomFDN RPCs.
‼️For por agora, por favor use https://t.co/LcnNn1OIWH e https://t.co/LrPIztRL1y
– Ankr (@ankr) Julho 1, 2022
No início da noite, a empresa tweeted novamente para dizer que os RPCs das redes Polygon (MATIC) e Fantom (FTM) tinham sido totalmente restaurados, acrescentando que todos os seus serviços estavam a funcionar correctamente. A Ankr aproveitou a oportunidade para confirmar que tinha sido de facto vítima de um ataque do serviço de nomes de domínio (DNS).
Isto aconteceu porque um terceiro que usamos para o DNS ganhou acesso a uma forma de modificar algumas definições nas nossas contas.
O DNS, infelizmente, não é descentralizado.Além disso ‼️The RPCs de https://t.co/Q8fL5Y3bS2 nunca foi afectado.
– Ankr (@ankr) Julho 1, 2022
Se preferir, é também possível ligar-se com segurança a ambas as cadeias de bloqueio utilizando RPCs fornecidos por outras empresas, tais como a Chainlist.
O Polygon também fez questão de salientar que o hack não afectou a cadeia de bloqueio da prova de tomada, a solução de segunda camada utilizada pelo público em geral.
A cadeia Polygon PoS está a funcionar sem problemas. Aqui estão algumas actualizações.
[1/2]
– Polígono – MATIC (@0xPolygon) Julho 1, 2022
Este ataque DNS faz lembrar o que atingiu o Convex e outros protocolos DeFI há alguns dias atrás. Em qualquer caso, é um bom lembrete para todos os utilizadores de moedas criptográficas. No futuro, nunca partilhe a sua frase semente na Internet, especialmente se alguém lhe pedir.