Дізнайтеся про DNS-атаку із захопленням домену Aerodrome в мережі Base. З’ясуйте, як уразливості фронтенду можуть наражати на ризик криптоактиви, ознайомтеся з реальними прикладами фішингових спроб щодо користувачів та з основними практиками безпеки DeFi, які допоможуть убезпечити цифрові активи від складних атак.
DNS-атака спричинила екстрене блокування протоколу
Aerodrome Finance, провідна децентралізована біржа (DEX) на блокчейні Base, нещодавно стала жертвою складної DNS-атаки, яка порушила централізовану доменну інфраструктуру. Внаслідок цієї атаки користувачі піддавалися фішинговим спробам, спрямованим на NFT, ETH та USDC через шкідливі запити на підпис у захопленому інтерфейсі фронтенду.
Розслідування інциденту розпочалося, коли технічна команда Aerodrome зафіксувала аномальну активність на основній доменній інфраструктурі приблизно за шість годин до публічного попередження спільноти. Це раннє виявлення відіграло ключову роль у мінімізації потенційних збитків, оскільки команда встигла впровадити екстрені заходи реагування до того, як атака досягла піку.
Усвідомивши серйозність ситуації, протокол негайно позначив свого доменного провайдера Box Domains як потенційно скомпрометованого та закликав сервіс терміново провести розслідування й вжити заходів. DNS-атаки залишаються одними з найнебезпечніших векторів у DeFi-екосистемі, оскільки дозволяють зловмисникам непомітно перенаправляти користувачів на шкідливі сайти, оминаючи більшість традиційних засобів захисту.
Упродовж кількох годин після першого виявлення команда підтвердила, що обидва централізовані домени — розширення .finance та .box — були успішно захоплені й залишалися під контролем зловмисників. Такий подвійний компроміс свідчив про системну атаку на інфраструктуру Box Domains, а не про одиничний випадок на окремій платформі.
Протокол відреагував рішуче, відключивши доступ до всіх основних URL-адрес, щоб запобігти подальшому контакту користувачів із шкідливим інтерфейсом. Одночасно команда надала дві підтверджені безпечні альтернативи для доступу до платформи: aero.drome.eth.limo та aero.drome.eth.link. Ці децентралізовані дзеркала використовують Ethereum Name Service (ENS), який функціонує незалежно від традиційних DNS-систем і стійкий до такого типу атак, що скомпрометували централізовані домени.
Протягом інциденту команда підкреслювала ключовий момент, який допоміг зберегти довіру користувачів: безпека смартконтрактів залишалася повністю неушкодженою. Порушення стосувалося виключно точок доступу фронтенду, тобто логіка протоколу та кошти користувачів у смартконтрактах не були під прямою загрозою. Це важливо для розуміння різниці між атаками на фронтенд і експлойтами смартконтрактів.
Додатково, Velodrome — сестринський протокол Aerodrome — зіткнувся з подібними загрозами у той самий період, що спонукало його команду також випустити попередження щодо безпеки домену. Злагоджені попередження свідчили, що зловмисники системно націлилися на інфраструктуру Box Domains, намагаючись скомпрометувати кілька DeFi-платформ одночасно, що потенційно вплинуло на ширше коло проєктів, які користуються цим провайдером доменів.
Користувачі повідомляють про агресивні спроби виведення кількох активів
Реальний вплив DNS-атаки проявився у детальних звітах користувачів про взаємодію з шкідливим інтерфейсом. Один із постраждалих надав повний опис ситуації, яка відбулася до офіційного розповсюдження попереджень у спільноті. Його свідчення розкрили складну методику атаки, яку застосували зловмисники.
Скомпрометований фронтенд реалізував оманливу двоетапну атаку, спрямовану на використання довіри користувачів до звичних інтерфейсів. Спочатку захоплений сайт запитував підпис, що виглядав як нешкідливий і містив лише число "1". Такий запит слугував для початкового підключення гаманця й зниження настороженості користувачів, створюючи ілюзію легітимності та безпеки.
Одразу після першого підпису шкідливий інтерфейс ініціював агресивну серію запитів на необмежені дозволи для різних активів — NFT, ETH, USDC, WETH. Такий спосіб мав на меті дезорієнтувати користувачів і скористатися довірою, що виникла після першого нібито безпечного запиту, — типовий соціотехнічний підхід у складних фішингових атаках.
Постраждалий проявив обачність, задокументувавши весь хід атаки через скріншоти й відеозаписи. Ці матеріали зафіксували послідовність від початкового підпису до численних спроб виведення активів, надавши цінні докази для розслідування команди Aerodrome й ширшого розуміння загрози для спільноти.
Усвідомлюючи технічну складність атаки, користувач провів власне розслідування із залученням ШІ, системно перевіривши налаштування браузера, встановлені розширення, DNS-параметри та RPC-ендпоінти. Такий аналіз дозволив виключити інші потенційні вектори атаки і дійти висновку, що фіксований сценарій відповідає саме DNS-атаці, а не шкідливому ПЗ, компрометації браузера чи іншим поширеним загрозам безпеки.
Ситуація знайшла відгук у ще одного члена спільноти, який поділився нещодавнім досвідом окремого випадку виведення активів, назвавши себе досвідченим криптовалютним користувачем і full-stack розробником. Це свідчення підкреслило важливий факт: навіть користувачі з високим технічним рівнем і знанням безпеки можуть стати жертвами дедалі складніших атак, що використовують малопомітні уразливості у користувацькому досвіді.
Попри технічний бекграунд, цей користувач втратив значні кошти й провів три дні над розробкою спеціального скрипта на основі Jito bundle для відновлення вкрадених активів через ончейн-операції із приховуванням. Завдяки цим зусиллям вдалося повернути близько 10–15% викрадених коштів, що демонструє як складність повернення активів, так і потенціал технічних контрзаходів, якщо дії зловмисників містять експлуатовані патерни.
Такі історії користувачів ілюструють зростаючу складність атак на фронтенд і важливість постійної уважності навіть під час роботи з відомими платформами. Вони також підкреслюють цінність обміну знаннями у спільноті для розуміння й протидії новим загрозам безпеці у DeFi-екосистемі.
Останній місяць зафіксував найнижчі втрати від криптохакингу за рік
Інцидент із Aerodrome стався на тлі несподіваного досягнення для крипторинку: індустрія зафіксувала найнижчий рівень втрат від хакерських атак за місяць у цьому році. Ця позитивна тенденція створює важливий контекст для розуміння серйозності окремих інцидентів на фоні загального підвищення стандартів безпеки в екосистемі.
Згідно з даними компанії з блокчейн-безпеки PeckShield, за звітний період було викрадено лише 18,18 мільйона доларів у 15 інцидентах, що становить зниження на 85,7% проти 127,06 мільйона доларів у попередньому місяці. Такий спад свідчить про сукупний вплив удосконалених практик безпеки, кращих механізмів реагування на інциденти та, ймовірно, нижчої активності зловмисників.
Детальніше аналізуючи дані, PeckShield зазначає: без пізнього експлойту наприкінці місяця на Garden Finance загальні втрати становили б лише близько 7,18 мільйона доларів. Це був би найнижчий місячний показник із початку 2023 року, що може свідчити про поворотний момент у сфері безпеки галузі.
Статистика свідчить: три основні інциденти склали переважну частину втрат за місяць. Garden Finance, Typus Finance і Abracadabra разом зазнали експлойтів на суму 16,2 мільйона доларів, що демонструє, як кілька великих атак можуть визначати щомісячну безпекову статистику.
Garden Finance, біткоїн-протокол рівноправного обміну, повідомив наприкінці місяця про експлойт на понад 10 мільйонів доларів. Порушення відбулося після компрометації одного з solver-ів — спеціалізованих суб'єктів, які забезпечують функціонування протоколу. Важливо, що проєкт уточнив: інцидент торкнувся лише активів самого скомпрометованого solver-а, а не коштів користувачів у смартконтрактах, що обмежило масштаб збитків.
Typus Finance зазнав атаки шляхом маніпуляції ораклом у середині місяця, що призвело до виведення близько 3,4 мільйона доларів із пулів ліквідності. Команда безпеки виявила причину експлойту — критичну уразливість одного з контрактів TLP (Token Liquidity Pool). Негайно після новини токен проєкту впав приблизно на 35% у трейдингових спільнотах. Атаки через маніпуляцію ораклом — особливо ризикована категорія для DeFi, оскільки підривають механізми цінових фідів, на які спираються протоколи для критичних операцій.
DeFi-платформа кредитування Abracadabra зазнала третього експлойту від запуску в той самий період, що призвело до втрат близько 1,8 мільйона доларів у стейблкоїні MIM. Атака стала можливою через виявлення та використання уразливості у смартконтракті, яка дозволила обійти перевірки платоспроможності протоколу. Повторення експлойтів на цій платформі ставить питання про якість аудитів безпеки та виклики підтримки захищеного коду у складних DeFi-протоколах.
Ці інциденти, хоча й становлять значні індивідуальні втрати, у сукупності демонструють різноманіття векторів атак на DeFi-протоколи: від маніпуляцій ораклом і уразливостей смартконтрактів до компрометації solver-ів і атак на фронтенд. Відносно низький загальний рівень втрат свідчить про прогрес у безпеці, але повторення великих експлойтів вказує, що екосистема ще потребує суттєвого укріплення.
FAQ
Що таке Aerodrome і яку роль він виконує в екосистемі Base?
Aerodrome — провідна децентралізована біржа (DEX) мережі Base, яка забезпечує обмін токенів, надання ліквідності та прибуткове фермерство. Вона сприяє ефективній торгівлі й розміщенню капіталу в екосистемі Base через механізм автоматизованого маркет-мейкера.
У чому полягала специфічна вразливість фронтенду? Як це вплинуло на безпеку коштів користувачів?
Компрометація фронтенду порушила інтерфейс DEX, потенційно відкривши доступ до сесійних даних користувачів і деталей транзакцій. Проте кошти користувачів залишалися захищеними у смартконтрактах — вразливість не торкалася блокчейн-рівня. Користувачі стикалися з тимчасовими збоями в роботі сервісу, але прямої втрати активів не було.
Яких екстрених заходів мають вжити користувачі Aerodrome для захисту своїх коштів?
Негайно від’єднайте гаманці від платформи, відкличте дозволи токенів через блокчейн-оглядачі, переведіть активи на захищені гаманці самостійного зберігання, увімкніть багатопідписний захист, стежте за рахунками щодо несанкціонованих транзакцій і не використовуйте скомпрометований інтерфейс до впровадження патчів безпеки.
Яка різниця між вразливостями фронтенду та смартконтракту? Що становить більший ризик?
Вразливості фронтенду стосуються інтерфейсів і можуть призвести до фішингу чи крадіжки даних. Вразливості смартконтрактів безпосередньо загрожують коштам і транзакціям у блокчейні. Вразливості смартконтрактів більш ризиковані, оскільки можуть спричинити незворотні втрати активів, тоді як порушення фронтенду зазвичай зачіпають інформацію користувачів, а не блокчейн-активи напряму.
Чи траплялися раніше подібні інциденти із вразливостями фронтенду DEX? Як їм можна запобігти?
Так, атаки на фронтенд вже були на багатьох DEX. Заходи запобігання: використання апаратних гаманців, ретельна перевірка URL-адрес, увімкнення розширень перевірки домену, перевірка DNS-записів, застосування лише офіційних посилань на додатки. Багатопідписний захист і регулярні аудити також зміцнюють захист від таких компрометацій.
Цей інцидент підкреслює критичну важливість аудитів безпеки фронтенду для всіх DEX-платформ мережі Base. Іншим платформам слід посилити безпекові заходи, впровадити багаторівневий захист і регулярно здійснювати оцінку безпеки, щоб запобігти подібним компрометаціям фронтенду та захистити активи користувачів.
* Ця інформація не є фінансовою порадою чи будь-якою іншою рекомендацією, запропонованою чи схваленою Gate, і не є нею.
