La décentralisation, fer de lance de la finance décentralisée (DeFi), se heurte parfois à des zones de vulnérabilité centralisées. C’est le cas des interfaces web permettant d’interagir avec les protocoles, qui constituent une cible de choix pour les pirates. Malheureusement, cette réalité s’est rappelée à nous dernièrement, avec une tentative d’attaque DNS massive ayant visé plus de 120 sites crypto.
Une tentative de détournement DNS d’ampleur inédite
L’alerte a d’abord été donnée par le protocole Celer Network, qui a révélé sur X (ex-Twitter) avoir déjoué in extremis une prise de contrôle hostile de son nom de domaine :
« Grâce à notre surveillance 24/7 de la sécurité des domaines, une tentative de prise de contrôle des domaines Celer a été interceptée avec succès. Tous les enregistrements DNS ont été récupérés. Notre enquête en cours indique que le vecteur d’attaque impliquait probablement des tiers échappant à notre contrôle. »
Celer Network
Quelques heures plus tard, c’était au tour de Compound Finance de faire état d’une compromission similaire de son site web, fort heureusement rétabli rapidement.
128 protocoles crypto dans le viseur des hackers
Le fondateur de DefiLlama 0xngmi a alors publié une liste de 128 protocoles DeFi dont les noms de domaine pourraient être la cible de la même attaque, parmi lesquels figurent des acteurs majeurs tels que dYdX, Pendle, Karak ou encore Aptos Labs.
« Les domaines pour celer et compound viennent d’être piratés, et la principale piste serait qu’il se passe quelque chose dans leur registre ou sur squarespace (peut-être piraté, initié…). Voici une liste de tous les domaines qui partagent ce bureau d’enregistrement, donc ils risquent aussi d’être piratés. »
0xngmi, fondateur de DefiLlama
Selon son analyse, l’hébergeur SquareSpace serait le point d’entrée exploité par les attaquants, reste à déterminer s’il s’agit d’une faille ou d’une compromission interne.
DNS hijacking : un vecteur d’attaque redoutable
Techniquement, on parle ici de DNS hijacking, une technique de piratage visant à détourner l’enregistrement DNS d’un site web pour rediriger les visiteurs vers une copie malveillante du site.
Pour rappel, le DNS (Domain Name Service) est un élément clé d’Internet qui fait le lien entre le nom de domaine d’un site et l’adresse IP du serveur qui l’héberge. En remplaçant frauduleusement cette adresse IP, les pirates peuvent ainsi intercepter le trafic à l’insu des utilisateurs.
Un scénario malheureusement déjà vu dans la sphère crypto, comme en témoigne l’attaque subie en novembre dernier par Velodrome et Aerodrome Finance, qui avait permis aux hackers de dérober plus de 70 000$ en cryptomonnaies.
En résumé :
- 128 protocoles DeFi dont dYdX et Aptos Labs ont échappé de peu à une attaque DNS visant à détourner leur site web
- Le point d’entrée semble être l’hébergeur SquareSpace, sans qu’on sache s’il s’agit d’une faille ou d’une compromission interne
- Le DNS hijacking permet de rediriger les visiteurs vers de faux sites pour dérober leurs fonds ou données
- Ce type d’attaque rappelle la nécessité pour la DeFi de sécuriser l’ensemble de ses composantes, même centralisées