原文作者:余弦,慢霧科技創始人
DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享。
DNS可以讓我們訪問目標域名時找到對應的IP:
Domain->IP_REAL
如果這種指向關系被攻擊者替換了:
Domain->IP_BAD(攻擊者控制)
以太坊基礎設施服務商Flashbots以10億美元估值融資6000萬美元:金色財經報道,以太坊基礎設施服務Flashbots已籌集約6000萬美元,加密媒體The Block稱該輪的估值為10億美元,Flashbots發言人拒絕對估值做出回應。
據報道,該公司于 7 月 21 日向美國證券交易委員會提交文件,稱已籌集到其尋求總額中的約 3040 萬美元。一位知情人士透露,另外兩份文件預計將在未來幾天公開,這將顯示該公司籌集的總額。根據一封電子郵件,該公司確認,由于“領先的風險投資公司、Layer-2 網絡”、天使投資者、去中心化交易所和應用程序以及 MEV 供應鏈參與者的參與,因此完成了這次B輪融資。
據悉,這筆資金將用于開發Suave平臺,該平臺允許用戶在區塊鏈上“更便宜、更隱私地進行交易”。[2023/7/26 15:58:19]
那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。
比特幣市值回升至4100億美元上方,市值占比達39.3%:金色財經報道,據Coingecko數據顯示,當前全網加密貨幣總市值為1.04萬億美元,24小時漲幅達2.9%。比特幣市值為411,078,840,260美元,市值占比達37.51%,過去24小時成交量為23,886,365,394美元。[2023/1/16 11:14:17]
DNS劫持其實分為好幾種可能性,比如常見的有兩大類:
域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;
李國權:區塊鏈能夠幫助公司提供標準化的碳排放數據:9月25日消息,9月24日,在由萬向區塊鏈實驗室主辦的第八屆區塊鏈全球峰會——積“土”成山隱私計算與數據治理主題論壇上,新加坡新躍社科大學教授李國權在主題演講時表示,區塊鏈能夠幫助公司提供更準確、更可靠和易于獲得標準化的碳排放數據。同時,通過智能合約可以更好地計算、跟蹤、報告整個價值鏈中碳足跡的減少情況。區塊鏈去中心化的賬本機制,可實現高效交易,優化工作流程,簡化多方流程,提高問責制的同時最大限度地減少糾紛,并通過Tokenization開辟新市場。對于碳市場,區塊鏈可以通過分解大宗碳信用金融工具而徹底改變行業,使個人能夠通過目前封閉的強制性市場參與到無碳的未來。全世界數百萬人渴望創造一個對生態負責的未來,而區塊鏈可以讓每個人都參與到碳中和未來的目標。(巴比特)[2022/9/25 7:19:25]
在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。
比特幣漲幅擴大至10%以上,為7月份以來盤中首次:金色財經報道,比特幣漲幅擴大至10%以上,為7月份以來盤中首次,現報21255美元/枚。行情波動較大,請做好風險控制。[2022/9/10 13:20:42]
第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。
第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。
重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。
對于項目方來說,除了對自己的域名HTTPSHSTS配置完備之外,可以常規做如下安全檢查:
檢查域名相關DNS記錄(A及NS)是否正常;
檢查域名在瀏覽器里的證書顯示是否是自己配置的;
檢查域名管理的相關平臺是否開啟了雙因素認證;
檢查Web服務請求日志及相關日志是否正常。
對于用戶來說,防御要點好幾條,我一一講解下。
對于關鍵域名,堅決不以HTTP形式訪問,比如:
http://examplecom
而應該始終HTTPS形式:
https://examplecom
如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。
對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。
那么這種情況下用戶如何防御呢?
用戶除了保持每一步操作的警惕外。
我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。
NoScript默認攔截植入的JavaScript文件。
但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。
隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。
但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的:
https://curvefi/js/app.ca2e5d81.js
植入了盜幣有關的惡意代碼。
如果我們之前NoScript信任了Curve,那么這次也可能中招。
可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過:
這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。
Tags:HTTTPSDNS區塊鏈htt幣價格今日行情https://etherscan.iodns幣的價格區塊鏈是什么概念
尊敬的用戶:Hotcoin將於(GMT8)2022年8月25日20:00開放DMT/USDT交易業務.
1900/1/1 0:00:00本文來自Cryptoslate,原文作者:Liam''Akiba''WrightOdaily星球日報譯者|余順遂 摘要: TornadoCash團隊一名成員稱.
1900/1/1 0:00:00WelcometoAugust:Wehavepreparedasmouth-wateringprizepoolforallnewusersinthemonthofAugust.
1900/1/1 0:00:00原文作者:Karen,ForesightNewsUniswap在收購NFT聚合市場Genie之后,又宣布將通過sudoswap實現NFT交易,而就在Uniswap官宣該合作關系前的半個月.
1900/1/1 0:00:00Gate.io已上線ETHS和ETHW交易。背景介紹:關于ETH2.0Merge升級的情況,在社區討論熱度極高,以下為社區的兩種聲音:第一種是以太坊轉PoS后,目前的以太坊算力會去支持其它使用P.
1900/1/1 0:00:008月11日晚8點,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下在BinanceLive平臺,就“創業十年.
1900/1/1 0:00:00