防范DNS攻击：Frax Finance事件及其后续

11月1日星期三，Frax Finance的域名在一次DNS攻击过程中被劫持。所幸未出现用户资金受损的报告。不法分子试图控制域名并将用户从合法网站重定向到其控制下的恶意网站时，就会发生域名系统(DNS)攻击。随着去年此类事件发生得越来越频繁，DNS攻击正日益成为加密货币领域一个令人担忧的问题。11月1日，加密货币借贷平台Frax Finance的域名被劫持，攻击者试图夺取控制权并将流量重定向到恶意域名。所幸项目团队迅速夺回了对这些域名的控制权，并且没有出现用户资金受损的事件报告。纵观这起事件，此类名为“DNS攻击”的网络攻击对加密货币领域的威胁越来越大。考虑到该行业的数字化特性和资金流，黑客可以利用其中的安全漏洞获得诸多好处。为了协助用户确保资金安全，务必要让用户和项目开发人员了解最新的诈骗手段和风险控制措施。本文，我们概述了近期的Frax Finance攻击事件以及可从中学到的经验教训，更深入探讨了DNS攻击的背景及防范方法。什么是DNS服务器？首先，我们要了解域名系统(DNS)服务器的工作原理。DNS服务器是让大众能够轻松浏览互联网的一个重要工具。DNS服务器将域名转换为数字互联网协议(IP)地址，该地址代表了域名在互联网上的位置。每当人们向网络浏览器输入”www.binance.com”这样的域名，设备就会向DNS服务器发送查询请求，获取IP地址。通常情况下，这个查询请求会辗转多个DNS服务器，直到找到相应的IP地址。我们可以将互联网视为一个巨大而错综复杂的高速公路系统，每条道路均通往不同的网站。在这些道路上，DNS服务器发挥着交通警察的作用，引导车辆向正确的方向行驶。如果没有DNS服务器，那么上网的人就像是驶入了陌生的国度，既没有地图也没有GPS和路标的指引，终究无法到达自己想去的地方。DNS攻击信任是DNS服务器运行的基石。我们相信该系统会把我们带到正确的网站。正因如此，我们才会在这些网站上输入敏感资料，包括登录凭证、个人信息，甚或银行账户详细信息。现在，如果有攻击者恶意破坏了这些服务器会怎么样？不法分子试图将人们从希望访问的合法网站重定向到其控制下的虚假网站时，就会发生DNS攻击。与上文的高速公路比喻类似，这就好比有人更换了路标，将想要回家的人指引到了强盗的家中。DNS攻击可以使用不同的手段和技巧以多种方式进行，通常是为了中断服务或窃取敏感信息。DNS攻击最常见的两种手段分别为缓存中毒和域名劫持。缓存中毒是攻击者向DNS服务器提供虚假信息，从而将流量重定向到其控制下的恶意网站。而域名劫持是攻击者在未经合法所有者许可的情况下获得了对域本身的控制权。Frax Finance事件在近期的Frax Finance攻击中，攻击者试图夺取对“frax.com”和“frax.finance”这两个域名的控制权。项目团队发现攻击后，迅速做出反应，在X（前身为Twitter）上通知其社区成员，建议用户不要与遭到入侵的域名进行交互。此外，团队还联系了DNS提供商(Name.com)，提供商迅速夺回了这些域名的控制权，并将域名路由回正确的域名服务器和配置。尽管事件的根本原因仍在调查中，但没有报告称用户资金受损。SSL证书不匹配安全套接层(Secure Sockets Layer, SSL)证书就像网站的数字护照，对网络安全至关重要。就像护照能在旅行时确认游客身份一样，SSL证书也能向计算机确认网站的身份。SSL证书还能确保在计算机和网站之间发送的信息经过加密，这样他人便无法读取。这在处理登录凭证等敏感信息时尤为重要。DNS服务器遭到入侵时，它会尝试将用户重定向到另一个网站。然后会出现SSL证书不匹配的情况，从而有效提醒用户出问题了。让我们举例说明。典型案例假设有一个名为“binancedefiapp.com”的原始域名，托管在IP地址为192.168.0.1的服务器上。假设DNS服务器遭到入侵。攻击者更改了DNS条目，使“binancedefiapp.com”现托管在IP地址192.168.2.2上，而攻击者已在此建立了自己的恶意网站版本。但是，他们仍然需要SSL证书才能让他们的网站看起来安全。如果连接不安全，返回的是纯超文本传输协议(HTTP)地址，而不是加密的超文本传输协议安全(HTTPS)流量，则应发出主要的危险警示。HTTPS流量通常可以通过浏览器界面地址栏上的绿锁（或类似图标）进行识别。只有一个DNS服务器遭到入侵的话，攻击者还是无法为“binancedefiapp.com”设置SSL证书。他们仍然需要向第三方发行方证明其拥有该域的所有权，才能为某个域名生成有效的证书，但他们只拥有一台DNA服务器，因此这不可能实现。在本例中，即使攻击者有证书，也会与主机名不符，因为他们必须使用为另一个域颁发的证书。在访问此类网站时，用户浏览器会识别证书是否为访问的域名颁发。如果不匹配，则会出现以下错误：如果弹出这样的提示，用户不应继续访问该网站。内部和外部DNS服务器互联网上有许多DNS服务器，因此不可能让所有服务器都中毒。例如，位于封闭内部环境（公司的企业网或自定义DNS服务器）中的内部DNS服务器，可能比开放的Google解析器等公共DNS服务器更容易成为攻击目标。虽然Google DNS服务器也有可能中毒，但这种情况发生的可能性往往很低。即使真的发生了，快速做出反应和示警的可能性也更大。相较之下，独立或自定义DNS服务器往往监控更少，安全性也更低。通常，我们建议使用Google公共DNS解析器或其他可靠的公开提供商来解析IP。如何防范DNS攻击一般来说，与DNS相关的安全风险主要有两类：黑客入侵终端用户设备或DNS服务器。每种类型的防范技巧各不相同。黑客入侵终端用户设备终端用户设备受到控制或感染，导致DNS缓存中毒或域名劫持时，就会出现这种安全风险。终端用户的防范措施包括：避免点击可疑链接和安装来自不明来源的软件或浏览器插件。避免使用安全凭证不确定的公共WiFi网络。定期清理DNS缓存。定期扫描设备上的恶意软件。遗憾的是，大多数事情都发生在客户或最终用户一方，项目开发人员基本上没有明确的处置方式。项目方通常不知道客户的DNS是否受到污染。除了建立后续的客户投诉渠道，项目方还可主动向客户宣传此类威胁。入侵DNS服务器在这种情况下，黑客会利用安全漏洞或使用社会工程策略来控制DNS服务器，这通常会导致域名记录变更。终端用户的防范措施包括：访问网站时，请确保域名拼写正确。验证网站是否使用HTTPS协议，浏览器是否发出安全警告。在进行敏感操作（例如输入密码或助记词）之前，再次确认网站的证书是否有效。使用信誉良好的安全公司提供的浏览器安全扩展程序。这些扩展程序可以检测网站异常，并在用户向高风险钱包进行无限审批或转账时发出警告。项目开发人员方可采取的措施包括：选择信誉卓著且可靠的域名提供商，聘请专人监控并及时处理域名异常警报。实施自动监控系统，以便快速检测域名DNS解析结果页面中的异常或恶意脚本和元素。当务之急是要认识和解决DNS管理中的潜在漏洞。通过采取建议措施，用户和项目团队都可以加强他们的防御措施，从容应对DNS的相关安全挑战。保护您的服务器DNS攻击在加密货币这样的新兴行业是一个严酷的现实，并且近来在加密货币领域越来越受到关注。它们可能造成毁灭性损害，使用户资金变得岌岌可危。去年，Curve Finance遭受了一次DNS攻击，导致用户钱包中价值超过57万美元的ETH被盗，所幸币安调查团队协助追回了大多数被盗资金。最近，我们看到针对Balancer和Galxe协议的重大DNS攻击分别发生在9月和10月。为了让加密货币行业实现可持续发展，必须优先建立安全的生态系统。我们希望项目开发人员和用户都能从本文学习并认识到防范DNS攻击的重要性。同心协力，我们可以为加密货币的未来建立一个更安全的生态系统。延伸阅读2023年常见加密货币诈骗避雷指南加密货币常见骗局权威指南7大简单措施为个人币安账户保驾护航