Cryptomonnaies : 128 protocoles DeFi pourraient se faire voler leur site web !
La finance décentralisée, comme son nom l’indique, cherche à décentraliser les services financiers. Cependant, bien que le cœur des protocoles soit décentralisé via l’usage de smart contracts, certaines composantes ne le sont pas, créant ainsi des vecteurs d’attaques. C’est notamment le cas des sites web permettant d’interagir avec les protocoles DeFi. Un fait qui nous a douloureusement été rappelé par une récente attaque DNS qui aurait affecté plus de 120 sites crypto.
Une attaque DNS d’envergure
Tout a commencé avec le protocole Celer Network, qui a annoncé sur le réseau social X avoir réussi à contrer une tentative d’interception de leur nom de domaine.
« Grâce à notre surveillance 24/7 de la sécurité des domaines, une tentative de prise de contrôle des domaines Celer a été interceptée avec succès. Tous les enregistrements DNS ont été récupérés. Notre enquête en cours indique que le vecteur d’attaque impliquait probablement des tiers échappant à notre contrôle. »
Dans la foulée, c’est au tour du protocole Compound Finance de faire le même constat. Ainsi, leur site web a également été compromis suite à une attaque. Heureusement, la propriété du nom de domaine a pu être restaurée dans les heures qui ont suivi.
128 protocoles crypto à risque
De son côté, 0xngmi le fondateur de DefiLlama a compilé une liste de 128 protocoles dont les sites internet pourraient être victime de la même attaque. Dans cette liste, nous retrouvons de nombreux protocoles d’envergure tels que dYdX, Pendle, Karak ou encore Aptos Labs.
« Les domaines pour celer et compound viennent d’être piratés, et la principale piste serait qu’il se passe quelque chose dans leur registre ou sur squarespace (peut-être piraté, initié…). Voici une liste de tous les domaines qui partagent ce bureau d’enregistrement, donc ils risquent aussi d’être piratés. »
Selon son analyse, il semblerait que le problème se trouve du côté de l’hébergeur SquareSpace. Reste encore à déterminer s’il s’agit d’une faille ou d’un travail d’initié.
DNS hijacking : qu’est-ce que c’est ?
En pratique, ces sites internet ont été victime d’une attaque appelée DNS hijacking. Ce type d’attaque consiste à voler l’enregistrement DNS d’un site pour remplacer le site par une version frauduleuse.
Pour rappel, le DNS (Domain Name Service) est un service qui fait le lien entre l’URL d’un site et l’IP du serveur sur lequel il est hébergé. Dans le cadre d’un DNS hijacking, l’attaquant va remplacer l’IP du serveur par celle d’un site frauduleux.
De ce fait, lorsqu’un utilisateur visite l’URL du protocole, il se retrouve sans le savoir sur un site malveillant.
En novembre dernier, les protocoles Velodrome et Aerodrome Finance ont été victimes d’une attaque similaire. Cela avait engendré le vol d’au moins 70 000$ en cryptomonnaies.