dYdX công bố kết quả điều tra vụ hack dẫn đến thiệt hại cực lớn

Người dùng được khuyến cáo không nên truy cập trang web phiên bản 3.0 hoặc nhấp vào bất kỳ liên kết liên quan nào cho đến khi có thông báo mới. Tuy nhiên, nhóm đã đảm bảo với người dùng rằng phiên bản 4.0 vẫn không bị ảnh hưởng và đang hoạt động bình thường.

dYdX đã công bố báo cáo chi tiết về vụ hack tài khoản Squarespace, nêu rõ các sự kiện và phản ứng của họ. Sàn giao dịch đã quyết định thay đổi đơn vị đăng ký tên miền và tiếp tục hợp tác với SEAL và các đối tác khác để ngăn chặn các sự cố trong tương lai.

Trang web của sàn giao dịch dYdX đã bị xâm phạm do một cuộc tấn công kỹ thuật xã hội. Theo báo cáo sự cố, những cá nhân không được phép đã truy cập vào tài khoản Squarespace của dYdX Trading thông qua một cuộc tấn công kỹ thuật xã hội vào nhóm hỗ trợ khách hàng của Squarespace. Trong cuộc tấn công tên miền kéo dài hai giờ, hai người dùng đã mất tổng cộng khoảng 31.000 đô la. dYdX Trading đang liên hệ với những người dùng bị ảnh hưởng để đảm bảo họ được bồi thường.

Vào năm 2023, Squarespace đã mua lại tất cả các tên miền từ Google Domains hiện đã không còn tồn tại, di chuyển chúng trong nhiều tháng. Tên miền dydx.exchange, thuộc sở hữu của dYdX Trading, đã được chuyển đến Squarespace vào ngày 15 tháng 6 năm 2024.

Vào ngày 9 tháng 7, những kẻ tấn công đã truy cập vào tên miền dydx.exchange và sửa đổi máy chủ tên DNS từ Cloudflare thành DDoS-Guard.

Cuộc tấn công ban đầu này đã được giảm thiểu bằng các thiết lập DNSSEC, ngăn người dùng truy cập vào trang web bị xâm phạm. dYdX đã nhanh chóng giải quyết vấn đề bằng cách luân phiên mật khẩu và triển khai xác thực hai yếu tố (2FA).

Sau các báo cáo về các cuộc tấn công tương tự vào các tên miền dành riêng cho tiền điện tử, SEAL, một nhóm bảo mật tập trung vào tiền điện tử, đã tiến hành một cuộc điều tra. Họ đã phát hiện ra lỗ hổng OAuth trên Squarespace đã bị khai thác. Squarespace đã giải quyết và vá lỗi này vào ngày 12 tháng 7.

Mặc dù vậy, tên miền dydx.exchange đã bị xâm phạm một lần nữa vào ngày 23 tháng 7. Những kẻ tấn công đã thay đổi máy chủ tên DNS và xóa cài đặt DNSSEC, lưu trữ một trang web độc hại lừa người dùng chuyển Ethereum và mã thông báo ERC20.

Trong thời gian này, dYdX đã hợp tác với SEAL và các đối tác khác để chặn các trang web độc hại trên các ví tiền điện tử phổ biến như Metamask và Phantom. Bất chấp những nỗ lực này, hai người dùng đã mất 31.000 đô la trong cuộc tấn công.

dYdX khôi phục trang web sau khi tài khoản Squarespace bị hack

Cuộc điều tra tiếp tục tiết lộ rằng kẻ tấn công đã thay đổi email của quản trị viên tên miền thành một địa chỉ có đuôi là outlook.com, với tên người dùng tương tự như tên của quản trị viên thanh toán hợp pháp trên tài khoản dYdX. Điều này cho thấy một cuộc tấn công kỹ thuật xã hội, vì kẻ tấn công đã sử dụng một địa chỉ email có vẻ đáng tin cậy.

Theo dYdX, thông tin liên lạc với Squarespace cho thấy lỗi của con người đã khởi tạo việc chiếm đoạt tài khoản trong quá trình khôi phục tài khoản.

Kẻ tấn công đã bỏ qua 2FA và sửa đổi email tài khoản mà không cung cấp thông tin xác thực bảo mật hợp lệ. Bộ phận dịch vụ khách hàng của Squarespace đã không liên hệ với bất kỳ quản trị viên nào khác được liệt kê trên tên miền trước khi thực hiện những thay đổi này.

Để ứng phó với cuộc tấn công, dYdX đã chuyển đăng ký tên miền của mình sang Cloudflare để tăng cường bảo mật. Việc chuyển giao nhanh chóng này đã hoàn tất trong vòng sáu giờ.

dYdX xác nhận rằng không có vấn đề bảo mật nào với các hợp đồng thông minh, hệ thống phụ trợ hoặc Chuỗi dYdX do những sự cố này. Nhóm dYdX đã thông báo trên nền tảng truyền thông xã hội X, khuyên người dùng xóa bộ nhớ đệm của trình duyệt và khởi động lại trình duyệt trước khi kết nối lại với trang web để đảm bảo họ không truy cập vào trang web bị xâm phạm.