Cream Finance发布了详细的DNS攻击事后评估

DeFi平台，Cream Finance和PancakeSwap于3月15日遭到DNS（域名服务）攻击。CREAMFinance宣布通过Twitter发起DNS攻击。

“我们的DNS已被第三方破坏；一些用户在http://app.cream.finance上看到对种子短语的请求。请勿输入您的种子短语。我们绝不会要求您提交任何私钥或种子短语。”

Cream还指出，Binance Smart Chain DEX平台PancakeSwap也遇到了同样的问题。 PancakeSwap首先发布了警告，并在随后发布了一条推文，说：

“现在已经确认。在我们确认一切都清楚之前，请不要访问Pancakeswap网站。永远不要在网站上输入您的种子短语或私钥。我们正在努力恢复。很抱歉造成麻烦。”

这两个平台都补充说，恢复正在进行中。

奶油金融迅速从危机中恢复

该网站关闭后，用户立即将其报告给Cream，后者立即采取了行动。 团队意识到GoDaddy DNS CNAME记录未指向其托管IP（与网站中断一致），因此将DNS A记录更新为正确的IP。 他们开始进行根本原因分析后，团队注意到网上诱骗页面。

用户报告了DNS缓存污染，团队将DNS迁移到Cloudfare。 进一步的分析表明，他们的GoDaddy登录凭据已受到威胁。 在他们重新获得访问权的过程中，CoinGecko，CoinMarketCap和imToken被提醒更新其网站链接并向社区共享警告消息。

在团队进行DNS恢复时，Cream在电报上建立了一个作战室，以确保其用户资金的安全。 在他们的Twitter声明发布后不久，他们建立了两个替代网站，在攻击发生后约6个小时，该团队在GoDaddy的帮助下收回了其域的所有权。

一个小时后，该团队在Twitter上宣布了其域名所有权，

“我们已经重新获得了对DNS的控制，并且（link1）和（link2）上的所有内容都恢复了正常。这些网站现在可以安全使用。感谢您在我们继续工作期间的耐心配合。[sic] 监视这种情况。”

Cream彻底调查了攻击

Cream Finance团队在其中等博客上发布了详细的流程和调查信息。 根据他们的帖子，该团队使用Google SSO访问其GoDaddy帐户，活动日志显示该帐户没有受到破坏。

当密码重置请求发送到攻击者的电子邮件地址时，GoDaddy的活动日志中注意到了第一个异常行为。 但是，没有任何电子邮件地址更改的记录。 团队使用其GoDaddy帐户复制了该方案，并使用其Google帐户签名。

更改电子邮件地址应该会产生记录，但是团队没有经验。 他们只能访问GoDaddy上的活动日志的一部分。 他们尝试访问所有内容，但引发了“意外错误”。 他们确认攻击者的IP与PancakeSwap的活动日志中的IP相同，后者也使用GoDaddy。

随着更多信息的发布，Cream将在媒体上更新其帖子。

在整个攻击过程中，用户的资金保持安全

Cream的智能合约和用户资金仍然安全，因为DNS劫持仅影响他们的网站。 他们在IPFS中部署了分散的前端，以确保用户能够访问平台部署的服务。 该小组表示，他们已经完全控制了他们的ENS记录，可以防止将来发生此类攻击。

免责声明：本文仅供参考。 不提供或不打算将其用作法律，税务，投资，财务或其他建议。

—-

原文链接：https://cryptodaily.co.uk/2021/03/cream-finance-dns-attack-recovery

原文作者：Amara Khatri

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。