詳解DNS劫持，如何防范相關風險？_ETH:ETHU

原文作者：余弦，慢霧科技創始人

DNSHijacking(劫持)大家應該都耳濡目染了，歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance，十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我這里做個簡單分享。

DNS可以讓我們訪問目標域名時找到對應的IP：

Domain->IP_REAL

如果這種指向關系被攻擊者替換了：

Domain->IP_BAD(攻擊者控制)

火幣更新8月默克爾樹資產證明，新增stUSDT、stETH等資產數據:據官方最新消息，火幣更新8月默克爾樹資產證明數據，除過往披露資產外，此次新增ETH包括了stETH，USDT包括stUSDT和仍獨立在鏈外存在的T-Bills資產。

此次具體儲備金率：USDT 102%（火幣資產662,404,586）、BTC 101%（火幣資產25,410）、ETH 104%（火幣資產139,523）、HT 103%（火幣資產191,815,856）、TRX 103%（火幣資產9,702,620,024）。其中USDT和ETH數據已包含stUSDT及stETH。

火幣團隊表示：“為保障數據的透明度及準確性，目前資產審計頁面的相關儲備金數據為每個月更新一次，快照日期一般為每月月初，默克樹數據更新一般在每月第一周完成。后續還將優化相關技術模塊，并對接更多技術服務商，以技術為核心，提供更為安全透明的交易所服務。不斷踐行火幣‘全球合規’發展戰略，推動加密行業良性發展。”[2023/8/11 16:20:53]

那這個IP_BAD所在服務器響應的內容，攻擊者就可以任意偽造了。最終對于用戶來說，在瀏覽器里目標域名下的任何內容都可能有問題。

Band Protocol集成Axelar，以將EVM鏈引入Cosmos生態系統:6月15日消息，去中心化預言機項目Band Protocol宣布與跨鏈互操作性協議Axelar集成，通過這種集成，在Axelar網絡覆蓋范圍支持的40多個互連區塊鏈上運行的DApp可以訪問Band的鏈下數據服務套件，該集成將以去中心化的方式提供EVM和Cosmos生態系統之間的無縫連接和跨鏈互操作性。[2023/6/15 21:40:21]

DNS劫持其實分為好幾種可能性，比如常見的有兩大類：

域名控制臺被黑，攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD)，或者直接修改Nameservers為攻擊者控制的DNS服務器；

Celsius債權人委員會反對股東成立單獨委員會的動議:9月29日消息，據外媒報道，加密借貸平臺Celsius無擔保債權人委員會表示，它計劃反對股東提出的成立一個單獨的委員會的動議，并預計Celsius和其他債權人團體也采取一致行動。

此前報道，據Celsius股東律師提交的文件顯示，Celsius股東提出動議要求成立一個委員會，以確保他們在公司的破產程序中得到充分的代表。該文件表示目前存在一個無擔保債權人委員會“專注于為客戶實現價值最大化”，但“目前沒有任何利益相關者主張股權持有人的利益”。關于此事的聽證會定于10月6日舉行。（TheBlock）[2022/9/29 22:38:46]

在網絡上做粗暴的中間人劫持，強制把目標域名指向IP_BAD。

Circle CEO：Circle目前在財務上處于歷史最佳水平，并將繼續提高透明度:7月4日消息，Circle創始人兼首席執行官Jeremy Allaire7月2日在其個人社交平臺上發布了一系列聲明并鏈接了博客文章，以澄清有關該公司發行的Stablecoin USDC在加密市場低迷期間幾近崩潰的傳言。

Allaire表示，Circle一直試圖讓自己達到所能承受的最高標準，以使得我們與監管機構、頂級保險公司和領先的金融機構合作，Circle目前在財務上處于有史以來最強大的水平，并將繼續提高透明度。[2022/7/4 1:48:47]

第1點的劫持可以做到靜默劫持，也就是用戶瀏覽器那端不會有任何安全提示，因為此時HTTPS證書，攻擊者是可以簽發另一個合法的。

第2點的劫持，在域名采用HTTPS的情況下就沒法靜默劫持了，會出現HTTPS證書錯誤提示，但用戶可以強制繼續訪問，除非目標域名配置了HSTS安全機制。

重點強調下：如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況)，及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity)，那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛，一定要警惕。

對于項目方來說，除了對自己的域名HTTPSHSTS配置完備之外，可以常規做如下安全檢查：

檢查域名相關DNS記錄(A及NS)是否正常；

檢查域名在瀏覽器里的證書顯示是否是自己配置的；

檢查域名管理的相關平臺是否開啟了雙因素認證；

檢查Web服務請求日志及相關日志是否正常。

對于用戶來說，防御要點好幾條，我一一講解下。

對于關鍵域名，堅決不以HTTP形式訪問，比如：

http://examplecom

而應該始終HTTPS形式：

https://examplecom

如果HTTPS形式，瀏覽器有HTTPS證書報錯，那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。

對于靜默劫持的情況，不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等，其實站在用戶角度來看，最終的體現都一樣。瀏覽器側不會有任何異常，直到有用戶的資產被盜才可能發現。

那么這種情況下用戶如何防御呢？

用戶除了保持每一步操作的警惕外。

我推薦一個在Web2時代就非常知名的瀏覽器安全擴展：@noscript(推特雖然很久很久沒更新，不過驚喜發現官網更新了，擴展也更新了)，是@ma1的作品。

NoScript默認攔截植入的JavaScript文件。

但是NoScript有一點的上手習慣門檻，有時候可能會很煩，我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行，其他的盡管在另一個瀏覽器(如Chrome)上進行。

隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的，駕馭后、習慣后，那么一切都還好。

但是這并不能做到完美防御，比如這次@CurveFinance的攻擊，攻擊者更改了其DNSA記錄，指向一個IP_BAD，然后污染了前端頁面的：

https://curvefi/js/app.ca2e5d81.js

植入了盜幣有關的惡意代碼。

如果我們之前NoScript信任了Curve，那么這次也可能中招。

可能有人會說了要不要多安裝一些瀏覽器安全擴展，我的看法之前已經提過：

這個話題我暫時先介紹到這，目的是盡可能把其中要點進行安全科普。至于其他一些姿勢，后面有機會我再展開。

Tags：HTTTPSDNSETHhtt幣價格tps幣圈dns幣的價格ETHU

USDC