Изучите опыт DNS-атаки на Aerodrome в сети Base. Узнайте, как уязвимости фронтенда создают риски для криптоактивов, ознакомьтесь с реальными случаями фишинга и ключевыми рекомендациями по безопасности в DeFi для защиты цифровых активов от сложных атак.
Атака DNS-хищения вынудила провести экстренную блокировку протокола
Aerodrome Finance — ведущая децентрализованная биржа (DEX) на блокчейне Base — подверглась сложной атаке DNS-хищения, которая нарушила работу централизованной доменной инфраструктуры. В результате пользователи столкнулись с фишинговыми попытками, нацеленными на NFT, ETH и USDC через вредоносные запросы подписи, внедрённые в захваченную фронтенд-часть платформы.
Техническая команда Aerodrome начала расследование инцидента после обнаружения необычной активности на основном домене примерно за шесть часов до публикации предупреждения для сообщества. Оперативное обнаружение позволило минимизировать ущерб: команда успела запустить экстренные меры до того, как атака достигла максимального масштаба.
Осознав серьёзность угрозы, протокол немедленно отметил своего доменного провайдера Box Domains как потенциально скомпрометированного и призвал сервис срочно разобраться и принять меры. DNS-хищение — один из наиболее опасных векторов атаки в DeFi, поскольку злоумышленники могут незаметно перенаправлять пользователей на вредоносные сайты, обходя стандартные средства защиты.
В течение нескольких часов команда подтвердила, что оба централизованных домена — с расширениями .finance и .box — были захвачены и оставались под контролем атакующих. Одновременное взлом двух доменов указывал на системную атаку на инфраструктуру Box Domains, а не на единичный случай.
Протокол принял решительные меры, полностью отключив доступ ко всем основным URL, чтобы исключить дальнейшее взаимодействие пользователей с вредоносным интерфейсом. Параллельно команда предоставила два надёжных альтернативных адреса: aero.drome.eth.limo и aero.drome.eth.link. Эти децентрализованные зеркала работают на Ethereum Name Service (ENS), который независим от традиционных DNS-систем и защищён от подобных атак на централизованные домены.
На протяжении инцидента команда подчёркивала принципиальный момент: безопасность смарт-контрактов осталась полностью сохранена. Взлом затронул только фронтенд, поэтому логика протокола и средства пользователей в смарт-контрактах не подвергались риску. Это различие важно для понимания разницы между атаками на фронтенд и эксплойтами смарт-контрактов.
Дополнительно, Velodrome — дочерний протокол Aerodrome — столкнулся с аналогичными угрозами в тот же период, что побудило его команду опубликовать параллельные предупреждения о безопасности доменов. Согласованность этих сообщений говорит о целенаправленной атаке на инфраструктуру Box Domains, направленной на компрометацию нескольких DeFi-платформ и потенциально угрожающей более широкой экосистеме проектов, использующих этого доменного провайдера.
Пользователи сообщают об агрессивных попытках хищения разных активов
О реальном воздействии атаки DNS-хищения стало известно из подробных пользовательских отчётов о взаимодействии с вредоносным интерфейсом. Один из пострадавших предоставил детальное описание своего опыта, случившегося до официальных предупреждений. Его рассказ показал высокий уровень сложности применяемой злоумышленниками схемы.
Скомпрометированный фронтенд реализовал двухэтапную атаку, использующую доверие пользователей к знакомому интерфейсу. Сначала захваченный сайт запрашивал безобидную подпись с числом «1». Такой запрос позволял установить начальное соединение с кошельком и снижал бдительность пользователя, создавая видимость легитимности.
Сразу после одобрения подписи вредоносный интерфейс запускал серию запросов на неограниченное одобрение для разных активов: NFT, ETH, USDC и WETH. Быстрые и многочисленные запросы должны были сбить пользователя с толку и воспользоваться доверительным отношением, сформированным первым безобидным шагом — это распространённая тактика социальной инженерии в сложных фишинговых атаках.
Потерпевший проявил высокую осмотрительность, зафиксировав весь ход атаки с помощью скриншотов и видео. Эти материалы отобразили процесс от начального запроса подписи до множества попыток вывода активов, предоставив ценные доказательства для расследования команды Aerodrome и информирования сообщества.
Учитывая техническую сложность атаки, пользователь провёл собственное расследование с помощью ИИ, последовательно изучив конфигурацию браузера, установленные расширения, настройки DNS и RPC-эндпоинты. Такой анализ исключил другие возможные векторы атаки и позволил установить, что инцидент соответствует схеме DNS-хищения, а не вредоносному ПО, взлому браузера или другим угрозам безопасности.
Инцидент вызвал отклик у другого участника сообщества, который поделился своим недавним опытом отдельного хищения, отметив себя как опытного крипто-инвестора и full-stack разработчика. Этот пример подчёркивает важный факт: даже технически продвинутые пользователи с высоким уровнем осведомлённости могут стать жертвами сложных атак, использующих малозаметные уязвимости интерфейса.
Несмотря на опыт, пользователь потерял значительные средства и потратил три дня на разработку скрипта на основе Jito bundle для возврата украденных активов через скрытые on-chain операции. Благодаря этим техническим мерам ему удалось вернуть примерно 10–15% похищенного, что демонстрирует трудности восстановления и потенциал технических решений при наличии эксплуатируемых закономерностей в действиях злоумышленников.
Эти истории пользователей показывают рост сложности атак на фронтенд и важность постоянной бдительности даже при работе с привычными платформами. Они также отражают ценность обмена опытом внутри сообщества для выявления и противодействия новым угрозам безопасности в DeFi.
В прошлом месяце зафиксированы минимальные убытки от криптовзломов за год
Инцидент с Aerodrome совпал с неожиданным положительным моментом для всего криптовалютного рынка: за отчётный месяц индустрия зафиксировала минимальные потери от взломов за год. Такая динамика даёт дополнительный контекст для оценки серьёзности отдельных событий на фоне общего укрепления безопасности экосистемы.
Согласно данным компании PeckShield, занимающейся блокчейн-безопасностью, за месяц было похищено всего $18,18 млн в 15 отдельных инцидентах, что означает снижение на 85,7% по сравнению с предыдущим месяцем ($127,06 млн). Столь резкое сокращение указывает на улучшение практик защиты, более эффективное реагирование на инциденты и, возможно, снижение активности атакующих.
PeckShield отмечает, что без единственного крупного эксплойта в конце месяца, направленного на Garden Finance, общие потери за период составили бы около $7,18 млн — это был бы рекордно низкий показатель с начала 2023 года, что может свидетельствовать о важном сдвиге в борьбе отрасли с угрозами безопасности.
Статистика показывает, что три серьёзных инцидента — Garden Finance, Typus Finance и Abracadabra — обеспечили основную часть убытков: $16,2 млн. Это демонстрирует, как всего несколько крупных эксплойтов определяют картину безопасности за месяц.
Garden Finance — протокол peer-to-peer для Bitcoin — сообщил о взломе на сумму более $10 млн. Атака произошла после компрометации одного из солверов — специализированных участников, обеспечивающих работу протокола. Важно, что проект уточнил: взлом затронул только активы самого солвера, а средства пользователей в смарт-контрактах остались в безопасности, что ограничило масштаб потерь.
Typus Finance подвергся атаке манипуляции оракулом в середине месяца, вследствие чего из пулов ликвидности было выведено около $3,4 млн. Команда безопасности установила, что эксплойт стал возможен из-за критической уязвимости в одном из контрактов TLP (Token Liquidity Pool). Последствия были значительны: собственный токен проекта снизился примерно на 35% после распространения информации об атаке среди трейдеров. Атаки манипуляции оракулом особенно опасны для DeFi, поскольку подрывают механизм ценообразования, на который опираются протоколы.
DeFi-платформа Abracadabra подверглась третьей атаке с момента запуска, потеряв примерно $1,8 млн стейблкоина MIM. Взлом стал возможен из-за обнаружения уязвимости смарт-контракта, позволяющей обойти проверки платёжеспособности. Повторяющиеся эксплойты на этой платформе вызывают вопросы по качеству аудита и сложности поддержания безопасности кода в сложных DeFi-протоколах.
Хотя эти инциденты привели к значительным индивидуальным потерям, в совокупности они демонстрируют широкий спектр угроз для DeFi — от манипуляций оракулом и уязвимостей смарт-контрактов до компрометации солверов и атак на фронтенд. Относительно низкая общая сумма потерь говорит о прогрессе в безопасности, но продолжение крупных эксплойтов показывает, что экосистема всё ещё нуждается в усилении защиты.
FAQ
Что такое Aerodrome и какую роль он играет в блокчейне Base?
Aerodrome — ведущая децентрализованная биржа (DEX) сети Base, обеспечивающая обмен токенов, предоставление ликвидности и фарминг доходности. Биржа способствует эффективной торговле и размещению капитала во всей экосистеме Base благодаря механизму автоматизированного маркетмейкера.
В чём заключалась конкретная уязвимость фронтенда и как она повлияла на безопасность средств пользователей?
Взлом затронул интерфейс DEX, потенциально раскрывая данные сессий и детали транзакций пользователей. Однако средства пользователей были надёжно защищены в смарт-контрактах, так как уязвимость не позволяла получить доступ к блокчейн-уровню. Пользователи столкнулись с временными перебоями в работе, но прямых потерь активов не произошло.
Какие экстренные меры должны принять пользователи Aerodrome для защиты средств?
Немедленно отключить кошельки от платформы, отозвать разрешения на токены через блокчейн-эксплореры, перевести активы на защищённые индивидуальные кошельки, включить мультиподпись, отслеживать несанкционированные транзакции и избегать использования скомпрометированного интерфейса до подтверждения установки патчей.
В чём разница между уязвимостями фронтенда и смарт-контрактов? Какие из них опаснее?
Уязвимости фронтенда затрагивают пользовательские интерфейсы и могут привести к фишингу или утечке данных. Уязвимости смарт-контрактов непосредственно угрожают средствам и транзакциям на блокчейне. Смарт-контрактные уязвимости опаснее, поскольку могут привести к безвозвратной потере активов, тогда как проблемы фронтенда обычно затрагивают только информацию, а не сами блокчейн-активы.
Случались ли подобные атаки на фронтенд DEX ранее? Как их предотвратить?
Да, атаки на фронтенд уже затрагивали различные DEX. Для предотвращения следует использовать аппаратные кошельки, тщательно проверять адреса сайтов, включать расширения для проверки домена, сверять DNS-записи и пользоваться исключительно официальными ссылками приложения. Мультиподпись и регулярные аудиты также повышают защиту от подобных атак.
Инцидент подчёркивает ключевую важность фронтенд-аудита для всех DEX-платформ сети Base. Другим платформам следует усилить меры безопасности, внедрять многоуровневую защиту и регулярно проводить проверки, чтобы предотвратить подобные атаки на интерфейс и обеспечить сохранность пользовательских активов.
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.
