PAN:Pancake/Cream 域名被黑事件分析、思考和应对

我们首先用一个简单例子来理解域名解析的过程(为了方便理解,对里面一些详细的过程进行了简化抽象)。比如我们在浏览器输入pancakeswap.finance, 那么网络中的域名解析服务器(DNS)就会把这个域名解析成为一个 IP 地址,因为计算机网络中只能通过 IP 地址来访问服务器。在正常情况下,用户的浏览器就会访问到项目方设置的 IP 地址对应的服务器。而在本月 15 号的被黑事件中,DNS 把pancakeswap.finance的域名指向了黑客控制的 IP 地址,用户的浏览器就访问了黑客控制的服务器,而这个伪造的服务器通过伪造的网页前端向用户要求助记词(参见下面 Cream 被黑的界面)。

Bitpanda 加入 Visa Partner Connect 计划:金色财经报道,通过与奥地利金融科技独角兽 Bitpanda 合作,Visa 的合作伙伴将有机会使用 Bitpanda 的综合投资基础设施解决方案。此外,Bitpanda 的基础设施被设置为一个模块化系统,使合作伙伴能够从中挑选和选择,例如储蓄计划、资产到资产互换、加密抵押、分割股票、完整的区块链服务等等。 API集成,加密货币的托管由受 FCA 监管的机构级托管提供商 Bitpanda Custody 提供。

目前的合作伙伴包括德国数字银行 N26、法国货币应用程序 Lydia、英国金融科技 Plum 和意大利开放银行提供商 Fabrick 等。[2023/3/24 13:23:11]

Pantera Capital面向非美国地区投资者开放旗下所有基金:4月16日消息,加密货币投资机构Pantera Capital宣布面向非美国地区投资者开放旗下所有基金,包括流动性代币基金(PanteraLiquidTokenFund)、早期代币基金(PanteraEarly-StageTokenFund)和Pantera比特币基金(PanteraBitcoinFund)。

其中,Pantera流动性代币基金是一种多策略工具,通常会在任何时间点投资10至15个DeFi相关领域内的流动性代币,该基金的25%采用量化策略,每小时交易一次。[2021/4/16 20:28:51]

我们不禁要问,黑客是如何篡改 DNS 记录的?这得从 Pancake 和 Cream 的域名服务商 Godaddy 说起。Pancake/Cream 通过 Godaddy 购买了域名,并且在 Godaddy 把各自的域名映射成自己的服务器 IP 地址。根据 Cream Finance 发布的事后报告,黑客攻击了 Godaddy,破解了 Pancake/Cream 在 Godady 的账号,并且修改了域名映射,把对应的 IP 改成了黑客控制的 IP 地址。

Pantera Capital创始人:比特币仍运作良好 将在这场危机中走向成熟:Pantera Capital创始人Dan Morehead表示:“这将是一个重要的时间来证明比特币的功能。比特币诞生于一场金融危机,它将在这场危机中走向成熟。我真的相信这是真的。中本聪创造了比特币作为对上次金融危机的一种回应,用例在这里将会大放异彩。现在很多企业都冻结了,无法运作,而比特币仍然运作良好。在一个纸币是地球上最不稀缺的东西的时代,空前数量的纸币被创造出来,因此它们的价值不会上升。你可以制造很多消费品,但它们的价值不会上升。但稀缺的资产会。所以,黄金,5000多年来一直是一个巨大的价值储存手段,它不会在明天就消失。我认为比特币比黄金好,但它们是相似的。”(AMBcrypto)[2020/4/13]

DNS Hijack

那究竟是谁来背这个锅?Pancake 和 Cream 都在暗示是 Godaddy 的安全机制问题,因为 Pancake 和 Cream 本身没有做任何修改,是用 Google 的单点登录功能登录 Godaddy 的,而本身 Google 账号没有被黑。其实 Godaddy 的安全性的口碑在域名服务商里面非常一般,以前也经常出事故,那么作为对安全性高的 DeFi 项目的开发者,是不是应该一开始选择一个安全性更高的域名服务商?(Pancake 表示会把 Godaddy 替换成更高安全性的 MarkMonitor)。

这个事件也凸显了打造去中心化的 DNS 的重要性。我们不相信中心化的交易所,因为担心他们会 screw up 我们在里面存放的加密资产(Not your key,not your coin);我们也会担心中心化的域名服务商和 DNS 服务器(Not your Key,not your domain)。IPFS/ENS 等 web3 技术,就是很好的去中心化的 DNS 解决方案。

作为 Defi 投资者我们如何应对类似的域名被黑事件?我个人的一些方法:

1. 记住官方网站的域名,直接在浏览器输入正确的域名(一个字母都不能差),通过搜索引擎或者其他链接打开的地址要重新验证;

2. 需要确认 app 是否官方发行,比如前一阵子有假的 Uiswap 和 Trezor app 在应用商店,也是让人输入助记词,非常可怕;

3. 用 eth.link 后缀的网站 DNS 安全性更高,比如https://cream-finance.eth.link/,因为是去中心化的域名解析;

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

BNBLAYER:初学者指南:什么样的区块链才是 Layer2

在密码学货币行业,每当牛市开启,就会有铺天盖地的虚假消息。许多侧链项目会误导用户相信它们是名正言顺的 Layer 2 可扩展性解决方案。本文旨在向初学者说明什么样的区块链才是 Layer2.

LunaBTC:3.20晚间行情:横盘震荡中的一些思考

文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别防上当.

[0:15ms0-0:940ms