Hacker looking at a box

Squarespaceレジストラを使用する分散型金融(DeFi)暗号通貨ドメインを標的としたDNSハイジャック攻撃が相次ぎ、訪問者をウォレットドレイナーをホストするフィッシングサイトにリダイレクトしています。

DNSハイジャックとは、攻撃者がターゲットのドメイン・ネーム・システムのレコードを変更し、トラフィックを正規のウェブサイトからフィッシング・ページのような自分たちのコントロール下にあるものにリダイレクトさせることである。これらの攻撃は通常、DNSサーバーまたはDNSサービス・プロバイダーの標的のアカウントを侵害し、DNSレコードに変更を加えることで行われます。

暗号プラットフォームを狙うDNSハイジャック

昨日、多数のDeFiプラットフォームが、自社のウェブサイト・ドメインが、接続されたウォレットから暗号通貨やNFTを盗むウォレット・ドレイナーを利用するフィッシング・サイトにユーザーをリダイレクトしていると警告した。これらのドメインはすべて、Squarespaceという共通のレジストラを共有していた。

DeFiプラットフォームのCompound Financeは昨日、同社のメイン・ドメインがフィッシング・ページを表示するために乗っ取られていると警告した。

同プラットフォームはユーザーにウェブサイトを訪問しないよう警告し、代わりに安全な代替手段を提供した。同プラットフォームはまた、Compound dAppsとやりとりしている人に対し、アクセスを取り消すよう助言した。

Compound

ブロックチェーンアプリケーションのレイヤー2スケーリングソリューションに特化したプラットフォームであるCeler Networkも、DNSハイジャックの標的にされたと発表した。しかし、同社はこの試みを阻止し、DNSレコードを迅速に回復したという。

「現在進行中の調査によると、攻撃ベクトルには当社の制御を超えた第三者が関与している可能性が高い」とCelerはXで述べている。

Celer

最後に、トークン化された将来の利回りを取引するためのDeFiプロトコルであるPendleも同様の問題に見舞われた。スマートコントラクトの承認を直ちに取り消し、ブラウザのキャッシュをクリアして、他の場所にリダイレクトされていないことを確認するよう、ユーザーに助言した。

Pendle

3つのプラットフォームはいずれも、これらのDNSハイジャックによってプロトコルが危険にさらされたわけではなく、ユーザーの資金は安全であるとユーザーに保証した。

それでも、フィッシング・サイトで詳細を入力した人は、スマート・コントラクトの承認を取り消し、パスワードを変更し、新しいウォレットに資金を移すなど、リスクを軽減するために直ちに行動を起こす必要がある。

今日、Unstoppable Domainsも、ドメインが乗っ取られ、問題を解決するためにSquareSpaceと連絡を取るのに苦労していると報告した。

SquareSpaceレジストラに関連する攻撃

侵害の正確な原因はまだ特定されていませんが、侵害されたドメインはすべて元々Google Domainsで登録されていたもので、その後Googleとの資産購入契約の一環として2023年にSquarespaceに強制移管されました。

それ以来、Squarespaceはドメインを同社のサービスに移行し始めており、最近危険にさらされたドメインは現在同社で登録されている。

「Squarespaceは2023年6月にGoogle Domainsからすべてのドメイン登録と関連する顧客アカウントを購入し、ドメインの移行を強制しました」とPendleはツイートした。

「最近、攻撃者はSquarespaceの脆弱性を悪用し、同社のプラットフォームでホストされているドメインを乗っ取った。セキュリティ専門家は、乗っ取り攻撃の正確なメカニズムを解明中ですが、GoogleからSquarespaceに移行された多くのドメイン(ペンドルのものを含む)が影響を受けています。”

しかし、Squarespaceへの移行の一環として、アカウントの多要素認証はオフにされた。Googleドメインの移行に関するSquarespaceのサポートトピックでは、ドメインの所有者に対し、さらにドメインを保護するために多要素認証を有効にするよう警告している。

脅威者がどのようにしてドメインをハイジャックしているのかは不明だが、暗号セキュリティ研究者のSamczsun氏、Taylor Monahan氏、Andrew Mohawk氏によるレポートによると、移行プロセス中に多要素認証が無効にされ、ドメインに関連するユーザーのアカウントが自動的に作成されたことに関連している可能性があるという。

Google Domainsを通じてGoogle Workspaceを契約していた顧客は、WorkspaceのリセラーでもあるSquarespaceにサービスを移行されたことになる。研究者は、脅威者が再販業者へのアクセスと新しく作成されたアカウントを利用して、ドメインに関連付けられた新しいWorkspaceアカウントまたはテナントを作成していると考えています。

また、Squarespaceの他の顧客も不審なパスワードリセットの電子メールを受け取ったと報告しており、これはSquareSpaceアカウントに対する広範なクレデンシャル攻撃であることを示している可能性があります。

研究者は、Squarespaceが管理する暗号通貨やDeFi関連のプロジェクトのドメインのうち、影響を受けた可能性のあるもののリストをまとめた。事態が収拾するまで、これらのプラットフォームとやり取りする際には警戒することが推奨される。

はSquarespaceに状況についてのコメントを求めたが、まだ返答待ちである。