Principal DEX da Base, Aerodrome, atingido por uma suspeita violação de segurança no frontend

A Aerodrome Finance, a principal exchange descentralizada na rede Base, confirmou que está a investigar um suspeito ataque de sequestro de endereço DNS que comprometeu os seus domínios centralizados.

O protocolo alertou os utilizadores para evitarem aceder aos seus domínios primários .finance e .box e, em vez disso, utilizarem dois espelhos descentralizados seguros alojados na infraestrutura ENS.

O ataque desenrolou-se rapidamente, com utilizadores afetados a relatarem pedidos de assinatura maliciosos concebidos para drenar múltiplos ativos, incluindo NFTs, ETH e USDC, através de prompts de aprovação ilimitados.

Embora a equipa mantenha que todos os contratos inteligentes permanecem seguros, o comprometimento do frontend expôs os utilizadores a sofisticadas tentativas de phishing que poderiam ter drenado carteiras para aqueles que não estavam a monitorizar cuidadosamente as aprovações de transações.

Sequestro de DNS Força Bloqueio de Emergência do Protocolo

A investigação da Aerodrome começou quando a equipa detetou atividade incomum na sua infraestrutura de domínio primário aproximadamente seis horas antes de emitir avisos públicos.

O protocolo sinalizou imediatamente o seu fornecedor de domínio, Box Domains, como potencialmente comprometido e instou o serviço a entrar em contacto urgentemente.

Em poucas horas, a equipa confirmou que ambos os domínios centralizados, .finance e .box, tinham sido sequestrados e permaneciam sob controlo do atacante.

O protocolo respondeu desligando o acesso a todos os URLs primários enquanto estabelecia duas alternativas seguras verificadas: aero.drome.eth.limo e aero.drome.eth.link.

Estes espelhos descentralizados aproveitam o Ethereum Name Service, que opera independentemente dos sistemas DNS tradicionais que são vulneráveis a sequestro.

A equipa enfatizou que a segurança do contrato inteligente permaneceu intacta durante todo o incidente, contendo a violação exclusivamente nos pontos de acesso frontend.

O protocolo irmão Velodrome enfrentou ameaças semelhantes, levando a sua equipa a emitir avisos paralelos sobre segurança de domínio.

A natureza coordenada dos avisos sugeriu que os atacantes podem ter visado sistematicamente a infraestrutura da Box Domains para comprometer múltiplas plataformas DeFi simultaneamente.

Utilizadores Relatam Tentativas Agressivas de Drenagem Multi-Ativos

Um utilizador afetado descreveu ter encontrado a interface maliciosa antes dos avisos oficiais circularem, detalhando como o site comprometido implementou um ataque enganoso em duas fases.

O frontend sequestrado primeiro solicitou o que parecia ser uma assinatura inofensiva contendo apenas o número "1", estabelecendo a conexão inicial da carteira.

Imediatamente após este pedido aparentemente inócuo, a interface desencadeou um número ilimitado de prompts de aprovação para NFTs, ETH, USDC e WETH.

"Pediu uma assinatura simples, depois tentou instantaneamente aprovações ilimitadas para drenar NFTs, ETH e USDC", relatou o utilizador. "Se não estivesse a prestar atenção, poderia ter perdido tudo."

A vítima documentou o ataque através de capturas de ecrã e gravações de vídeo, capturando a progressão desde o pedido de assinatura inicial até às múltiplas tentativas de drenagem.

A sua investigação, conduzida com assistência de IA, examinou configurações do navegador, extensões, configurações DNS e endpoints RPC antes de concluir que o padrão de ataque estava alinhado com a metodologia de sequestro de DNS.

Outro membro da comunidade partilhou uma experiência com um incidente de drenagem separado recentemente, descrevendo-se como um veterano experiente e desenvolvedor full-stack que ainda caiu vítima de ataques sofisticados.

Apesar da experiência técnica, o utilizador perdeu fundos significativos e passou 3 dias a desenvolver um script baseado em pacotes Jito para recuperar aproximadamente 10-15% dos ativos roubados através de operações furtivas on-chain.

Outubro Regista as Menores Perdas por Hacks Cripto do Ano

O incidente da Aerodrome surgiu durante o marco de segurança inesperado de outubro, quando o mercado cripto experimentou as suas menores perdas mensais por hacks do ano.

Dados da empresa de segurança blockchain PeckShield mostram que apenas 18,18 milhões de dólares foram roubados em 15 incidentes separados, representando um declínio acentuado de 85,7% em relação aos 127,06 milhões de dólares de setembro.

Sem o exploit da Garden Finance no final do mês, as perdas totais teriam ficado perto de 7,18 milhões de dólares, o valor mensal mais baixo desde o início de 2023.

Os maiores incidentes ocorreram na Garden Finance, Typus Finance e Abracadabra, que coletivamente representaram 16,2 milhões de dólares do total de fundos roubados.

A Garden Finance, um protocolo peer-to-peer Bitcoin, divulgou em 30 de outubro que tinha sido explorada em mais de 10 milhões de dólares depois de um dos seus solucionadores ter sido comprometido, com a violação afetando apenas o inventário do próprio solucionador.

A Typus Finance sofreu um ataque de manipulação de oracle em 15 de outubro que drenou aproximadamente 3,4 milhões de dólares dos seus pools de liquidez, rastreado até uma falha num dos seus contratos TLP que causou a queda do token nativo do projeto em cerca de 35%.

A plataforma de empréstimo DeFi Abracadabra sofreu o seu terceiro exploit desde o lançamento por volta da mesma altura, resultando em aproximadamente 1,8 milhões de dólares em perdas de stablecoin MIM depois de hackers contornarem verificações de solvência através de uma vulnerabilidade de contrato inteligente.