Varios defi dapps, más prominentemente Convex Finance, tuvieron su nombre de dominio secuestrado.
ConvexFinance, Ribbon Finance, DeFiSaver y Allbridge se vieron afectados por la aprobación de contratos maliciosos por parte de los usuarios mientras se encontraban en el dominio real del proyecto.
El registrador de todos estos dominios fue NameCheap, con su director ejecutivo, Richard Kirkendall, declarando:
“Hemos rastreado esto hasta un agente de Servicio al Cliente específico que fue pirateado o comprometido de alguna manera y hemos eliminado todo acceso de este agente. Esto afectó a algunos dominios objetivo, pero continuaremos investigando”.
Es de esperar que él o ella también haya sido denunciado a la policía y vaya a la cárcel porque este es un caso claro y directo de robo con todas las pruebas presumiblemente disponibles, por lo que debería ser un juicio breve.
Pero el hackeo o el secuestro claramente no fue nada sofisticado. Un empleado de NameCheap acaba de cambiar la dirección IP a la que apuntaba el dominio, y todos se ven idénticos en el nuevo servidor malicioso, incluidos los primeros y últimos cuatro dígitos de la dirección de ethereum.
No sé lo que está sucediendo, pero esté 100% seguro de que aprueba exactamente 0xF403C135812408BFbE8713b5A23a04b3D48AAE31
si usó @ConvexFinance, asegúrese de no aprobar: 0xF403a2c10B0B9feF8f0d4F931df5d86aD187AE31 https://t.co/QTsi6BV1Zj
— alexintosh.eth | Estoy contratando (@Alexintosh) 23 de junio de 2022
Así que han usado una dirección de vanidad, y eso tampoco es sofisticado porque simplemente sigues haciendo clic en crear una nueva dirección hasta que encuentres una que se parezca.
Este proceso se vuelve más difícil cuantos más dígitos desea ‘personalizar’ con el software del bot al hacer clic en crear una nueva dirección.
Los humanos pueden recordar en la memoria a corto plazo alrededor de seis dígitos con facilidad para casi todos, y para la mayoría pueden recordar siete dígitos, aunque no con total facilidad.
Pocas direcciones de vanidad pueden tener siete dígitos, pero muchas tampoco serían tan exhaustivas en la verificación, con revoke.cash que le permite revocar los permisos de cualquier contrato inteligente, aunque en este caso es posible que ya se hayan agotado todos los fondos.
Pero hay un empleado aquí y usted esperaría que NameCheap coopere completamente o que ellos mismos estén en juicio (juicio penal), por lo que debería ser posible recuperar parte de los fondos.
Porque este empleado presumiblemente sabe para quién cambió la IP, o recibe el doble o el triple de tiempo en prisión. Entonces, al final, podemos tener un caso de delincuentes tontos.
Y según Kirkendall, el sistema legal penal parece ser la única solución aquí porque al menos algunos empleados aparentemente necesitan la capacidad de cambiar la IP en los casos en que hay un pirateo o abuso.
Para este último, una mejor solución puede ser cancelar el dominio o suspenderlo en lugar de redirigirlo. Para un hack, tal vez no haya muchas opciones, pero se trata de un delito tonto y, por lo tanto, esperamos un enjuiciamiento completo y eso debería ser suficiente disuasión.
Porque no hay forma de que esta actividad pueda llevarse a cabo sin que se sepa quién realizó exactamente la acción, y Kirkendall confirma que mantienen registros de cada cambio y actividad.
Haciendo esto similar al breve episodio de piratería de SIM donde los ladrones obtenían el número de alguien para usarlo para la autenticación de dos factores.
Sin embargo, es fácil encontrar quién solicitó ese número, y NameCheap conoce al empleado, por lo que bloquea algunos y ese debería ser el final porque está garantizado la cárcel si usa este método y los fondos serán confiscados a menos que quieres que el tiempo en la cárcel llegue a ser de por vida.
También hay otras soluciones potenciales como Ethereum Name Service (ENS), aunque no vemos que se use mucho para los nombres de dominio en vivo en producción, y también hay secuestros de BGP donde el ISP redirige a malicioso, pero aquí también la policía puede encontrar el empleado y quién lo hizo.
Entonces, la solución es que estos ladrones se den cuenta de que están siendo tontos con el dinero de nuestros impuestos, dejándolo muy claro a través de la aplicación de la ley que hace el trabajo por el que se les paga, lo cual muy probablemente lo harán.
Si bien la solución temporal es estar un poco más alerta actualmente, verifique hasta siete dígitos como mínimo y, si lo aprobó anteriormente, verifique aún más a fondo.
Porque pueden falsificar muchas cosas, pero no pueden falsificar la dirección real, y no está claro si, a largo plazo, también existen soluciones potencialmente de IA en las que MetaMask o Etherscan le advierten.
Puede parecer irónico que ahora tenga un guardián centralizado que le dice en qué confiar, pero puede ignorarlos si lo desea y no pueden obligarlo a hacer algo, como simplemente cambiar la IP de su dominio como en las bases de datos centralizadas.
