Le piratage DNS a compromis les services d’Ankr pour Polygon et Fantom

La société d’infrastructure Web3 Ankr est connue pour offrir des points de terminaison de nœud, des services de jalonnement et d’autres produits aux blockchains de preuve de participation. Vendredi, un pirate informatique a perdu une fenêtre contextuelle semblable à une arnaque sur les réseaux Polygon et Fantom en détournant le système de noms de domaine (DNS) d’Ankr pour voler les phases de démarrage des utilisateurs. Le projet a rapidement récupéré les erreurs d’origine humaine et a déclaré qu’aucun fonds n’avait été perdu en raison de cet incident.

Passerelles de ciblage d’attaque vers Polygon et Fantom

Peu de temps après la recherche indépendante sur la sécurité, « officier de la CIA » pour la première fois exposé l’attaque, Polygon CTO Mudit Gupta l’a de nouveau transmise à Twitter, exhortant les utilisateurs à utiliser des services alternatifs pendant que les choses étaient en train d’être réparées. Entre-temps, il a identifié le principal acteur responsable d’un tel incident de défaillance d’infrastructure :

Nous travaillerons en étroite collaboration avec Ankr pour nous assurer que cela ne se reproduise plus.

Nous travaillons également sur une alternative plus décentralisée en tant que projet de recherche et un nœud RPC appartenant à la fondation pour plus de fiabilité.

– Mudit Gupta (@Mudit__Gupta) 1 juillet 2022

Quelques heures seulement après que les pirates ont compromis les passerelles vers Fantom et Polygon, Ankr publié une déclaration complète sur Twitter, assurant aux utilisateurs que l’attaque avait été rapidement « neutralisée ». De plus, tous les services de base n’ont pas été affectés, et seules deux interfaces publiques d’appel de procédure à distance (RPC) gratuites pour Fantom et Polygon sur un site externe ont été rapidement piratées, selon la société.

L’exploit a commencé par une astuce qui ciblait l’entité centralisée d’Ankr lorsque l’auteur aurait trompé un fournisseur DNS tiers en donnant au pirate l’accès aux domaines de Polygon et Fantom. Le fournisseur de services Web d’Ankr nommé Gandi aurait été trompé par la fausse identité du pirate informatique, acceptant ainsi de changer l’adresse e-mail du compte du registraire de domaine.

Par ce moyen, les utilisateurs qui avaient accédé aux blockchains via les points de terminaison d’Ankr recevraient une phase de phishing leur demandant de réinitialiser d’urgence leur graine sur PolygonApp. Les pirates pourraient voler leurs fonds en ayant affecté les phases d’amorçage des utilisateurs.

Bien que l’explication complète derrière un tel exploit reste inconnue alors qu’Ankr essaie toujours de comprendre ce que Gandi a accepté comme preuve de ce changement, il a révélé que le compromis pourrait avoir à voir avec ses domaines en tant que « point de défaillance centralisé ».

3/ Etat actuel :

En ce moment, Ankr a entièrement retrouvé l’accès à notre compte de domaine et nos services sont restaurés. Aucun des systèmes d’Ankr n’a été affecté.

— Ankr (@ankr) 1 juillet 2022

Violation de la sécurité

Il n’est plus rare qu’une erreur d’un tiers entraîne la compromission des plates-formes de chiffrement. Il y a quelques jours à peine, le plus grand marché NFT, OpenSea, a signalé une violation de données, citant un employé de Customer.io, une plateforme tierce engagée par la société, comme responsable d’une telle erreur.

En raison de la fuite de données sur ses clients qui ont ainsi reçu des e-mails, des appels téléphoniques et des messages suspects d’escrocs, OpenSea a averti ses clients de rester vigilants et a envoyé des e-mails contenant des pratiques anti-phishing.