HTT:详解DNS劫持,如何防范相关风险?

原文作者:余弦,慢雾科技创始人

DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享。

DNS可以让我们访问目标域名时找到对应的IP:

Domain->IP_REAL

如果这种指向关系被攻击者替换了:

Domain->IP_BAD(攻击者控制)

波场TRON账户总数突破1.1亿:据官方消息,2022年9月5日,TRONSCAN最新数据显示,波场TRON账户总数达到110,169,033,正式突破1.1亿。[2022/9/5 13:09:24]

那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。

DNS劫持其实分为好几种可能性,比如常见的有两大类:

域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;

美国拜登政府将于8月发布比特币挖矿报告:金色财经报道,美国拜登政府将于8月发布一份比特币挖矿报告,探索比特币挖矿相关问题,例如挖矿设备产生的噪音污染、不同共识机制的能源效率等。白宫科技政策办公室负责能源事务的首席助理主任Costa Samaras表示:如果比特币挖矿要以任何有意义的方式成为我们金融体系的一部分,那么重要的是它以负责任的方式发展且最大限度地减少总排放量。当我们考虑数字资产时,应当是气候和能源之间的对话。[2022/7/5 1:52:43]

在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。

第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。

链游My Neighbor Alice Alpha Season1已经上线:7月1日消息,区块链NFT游戏My Neighbor Alice在社交媒体上宣布其Alpha Season1版本已经上线,整个赛季将持续四个星期,参与者必须持有游戏内的土地NFT,完成任务将获得相关NFT奖励。此前报道,My Neighbor Alice曾在5月末进行过土地NFT的拍卖。[2022/7/1 1:42:52]

第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。

重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。

上市公司Tokens.com公布Q1财报:数字资产库存较上季度增长5%:5月16日消息,专注于投资Web3加密资产、元宇宙和NFT业务的加拿大上市公司Tokens.com公布2022年第一季度财报(截至截至3月31日),主要内容包括:

- 2022年Q1净利润为7,765,893美元,综合收益为6,575,626美元,即每股净利润和综合收益分别为0.08美元和0.07美元;

- 数字资产库存较2021年第四季度增长5%;

- 认可的质押奖励相当于基于部署代币初始成本11.4%的年化率;

- 认股权证债务重估收益为10,763,697美元;

- 成功推出子公司Hulk Labs,专注于玩赚加密游戏领域。(Business Wire)[2022/5/16 3:19:37]

对于项目方来说,除了对自己的域名HTTPSHSTS配置完备之外,可以常规做如下安全检查:

检查域名相关DNS记录(A及NS)是否正常;

检查域名在浏览器里的证书显示是否是自己配置的;

检查域名管理的相关平台是否开启了双因素认证;

检查Web服务请求日志及相关日志是否正常。

对于用户来说,防御要点好几条,我一一讲解下。

对于关键域名,坚决不以HTTP形式访问,比如:

http://examplecom

而应该始终HTTPS形式:

https://examplecom

如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。

对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。

那么这种情况下用户如何防御呢?

用户除了保持每一步操作的警惕外。

我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。

NoScript默认拦截植入的JavaScript文件。

但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。

隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。

但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的:

https://curvefi/js/app.ca2e5d81.js

植入了盗币有关的恶意代码。

如果我们之前NoScript信任了Curve,那么这次也可能中招。

可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过:

这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

非小号BCH:关于ETR交易优化的公告

尊敬的CoinW用户: 由于交易优化调整,CoinW已经暂停ETR/USDT交易,请您尽快完成撤单,未撤单用户将在交易暂停后统一撤单,交易调整完毕后将开启交易.

[0:0ms0-0:744ms