Поставщик блокчейн-узлов Proof-of-Stake (PoS) Ankr стал жертвой взлома в эту пятницу, 1 июля. Шлюзы RPC («Удаленный вызов процедур»), предоставленные компанией для доступа к сетям Polygon и Fantom, были взломаны с целью извлечения средств из своих клиентов. Давайте посмотрим на взлом.
Пользователям Ankr предлагается раскрыть свои посевные фразы
В пятницу, 1 июля, поставщик блокчейн-узлов Proof-of-Stake (PoS) Ankr стал объектом взлома. Хакеру(ам) удалось скомпрометировать RPC для сетей Polygon (MATIC) и Fantom (FTM).
На практике пользователи, пытавшиеся получить доступ к блокчейнам Polygon (MATIC) и Fantom (FTM) через шлюзы RPC, предоставленные Ankr, получали сообщение об ошибке, в котором им предлагалось раскрыть свою «начальную фразу» (также известную как секретная фраза или фраза восстановления). Завладев этой упрощенной версией закрытых ключей жертвы, хакер(ы) мог(ли) получить доступ к их кошелькам, чтобы украсть их средства.
Внимание, пожалуйста, атака на @0xPolygon продолжается прямо сейчас!
Пользователи видят ошибку RPC с просьбой срочно сбросить свои семена на polygonapp net (похоже, что это перехват DNS или одна из форм атаки цепи поставок).
Просто мошенническое всплывающее окно, чтобы привести вас на страницу для размещения вашего семени. pic.twitter.com/fZxtlkKeDN
— Офицер ЦРУ (@officer_cia) 1 июля 2022
За взломом стоит захват доменного имени
По словам Чендлера Сонга (соучредителя Ankr) и Мудита Гупты (руководителя отдела информационной безопасности Polygon), источником взлома считается Gandi, провайдер доменных имен (DNS) Ankr, который передал контроль над учетной записью Ankr хакеру. Пока неизвестно, как он это сделал, но, возможно, ему помог сообщник в Gandy.
Gandi (компрометация клиентского агента?) передал контроль над аккаунтом Ankr злоумышленнику, и это стало первопричиной DNS Hijack.
Ankr действовал быстро и восстановил доступ к аккаунту.https://t.co/UgLPD63rYK
— Mudit Gupta (@Mudit__Gupta) July 1, 2022
Таким образом, путем захвата доменного имени хакеру удалось перенаправить пользователей на мошеннический адрес, затронув RPC Ankr для блокчейнов Polygon (MATIC) и Fantom (FTM), чтобы пользователи платформы попали на это знаменитое сообщение об ошибке с просьбой ввести их seed-фразы.
Использование других RPC для доступа к Polygon (MATIC) и Fantom (FTM)
Проще говоря, RPC позволяют пользователям подключать свои кошельки к блокчейну. Например, когда вы подключаете новый блокчейн к кошельку, такому как Metamask, вы делаете это через RPC. Чтобы лучше понять это, мы предлагаем вам ознакомиться с нашим руководством по подключению блокчейна Avalanche (AVAX) к Metamask.
Как отмечает Уил, эксперт по блокчейну и специалист по фундаментальному анализу нашей частной группы Grille-Pain:
«Существует множество RPC для подключения к каждому блокчейну. Были взломаны только RPC, предоставленные Ankr для доступа к блокчейнам Polygon и Fantom. «
В ожидании прояснения этого вопроса, Ankr отправил своим пользователям новые RPC для доступа к Polygon (MATIC) и Fantom (FTM) через твит, опубликованный сегодня днем.
Мы расследуем некоторые сообщения о проблемах в RPC нашего сообщества @0xPolygon и @FantomFDN
‼️ На данный момент, пожалуйста, используйте https://t.co/LcnNn1OIWH и https://t.co/LrPIztRL1y
— Ankr (@ankr) 1 июля 2022
Ранним вечером компания снова написала в Твиттере, что RPC сетей Polygon (MATIC) и Fantom (FTM) были полностью восстановлены, добавив, что все их услуги работают нормально. Компания Ankr воспользовалась возможностью подтвердить, что она действительно стала жертвой атаки службы доменных имен (DNS).
Это произошло потому, что сторонняя компания, которую мы используем для DNS, получила доступ к способу изменения некоторых параметров наших учетных записей.
DNS, к сожалению, не является децентрализованным.Более того ‼️ RPCs из https://t.co/Q8fL5Y3bS2 никогда не были затронуты.
— Ankr (@ankr) 1 июля 2022
При желании можно также безопасно подключиться к обоим блокчейнам с помощью RPC, предоставляемых другими компаниями, например Chainlist.
Polygon также подчеркнул, что взлом не повлиял на блокчейн Proof-of-Stake — решение второго уровня, используемое широкой публикой.
Цепочка Polygon PoS работает без сбоев. Вот некоторые обновления.
[1/2]
— Полигон — MATIC (@0xPolygon) 1 июля 2022
Эта DNS-атака напоминает ту, которая поразила Convex и другие протоколы DeFI несколько дней назад. В любом случае, это хорошее напоминание для всех пользователей криптовалют. В будущем никогда не делитесь своей фразой о семенах в интернете, особенно если кто-то просит вас об этом.