Pancake/Cream 域名被黑事件分析、思考和应对

我们首先用一个简单例子来理解域名解析的过程(为了方便理解,对里面一些详细的过程进行了简化抽象)。比如我们在浏览器输入pancakeswap.finance, 那么网络中的域名解析服务器(DNS)就会把这个域名解析成为一个 IP 地址,因为计算机网络中只能通过 IP 地址来访问服务器。在正常情况下,用户的浏览器就会访问到项目方设置的 IP 地址对应的服务器。而在本月 15 号的被黑事件中,DNS 把pancakeswap.finance的域名指向了黑客控制的 IP 地址,用户的浏览器就访问了黑客控制的服务器,而这个伪造的服务器通过伪造的网页前端向用户要求助记词(参见下面 Cream 被黑的界面)。

预测市场Polymarket任命前CFTC主席Giancarlo为顾问委员会主席:金色财经消息,去中心化预测市场Polymarket任命前CFTC主席Giancarlo为顾问委员会主席,以帮助公司驾驭美国衍生品监管。今年年初,Polymarket向CFTC达成和解,原因是“提供基于场外事件的二元期权合约,但未能获得指定合约市场(DCM)的指定或掉期执行工具(SEF)的注册”,并为此支付了140万美元的罚款。(THE BLOCK)[2022/5/20 3:29:28]

ETC突破6.6美元关口 日内涨幅为4.08%:火币全球站数据显示,ETC短线上涨,突破6.6美元关口,现报6.6031美元,日内涨幅达到4.08%,行情波动较大,请做好风险控制。[2020/12/17 15:29:39]

我们不禁要问,黑客是如何篡改 DNS 记录的?这得从 Pancake 和 Cream 的域名服务商 Godaddy 说起。Pancake/Cream 通过 Godaddy 购买了域名,并且在 Godaddy 把各自的域名映射成自己的服务器 IP 地址。根据 Cream Finance 发布的事后报告,黑客攻击了 Godaddy,破解了 Pancake/Cream 在 Godady 的账号,并且修改了域名映射,把对应的 IP 改成了黑客控制的 IP 地址。

DNS Hijack

那究竟是谁来背这个锅?Pancake 和 Cream 都在暗示是 Godaddy 的安全机制问题,因为 Pancake 和 Cream 本身没有做任何修改,是用 Google 的单点登录功能登录 Godaddy 的,而本身 Google 账号没有被黑。其实 Godaddy 的安全性的口碑在域名服务商里面非常一般,以前也经常出事故,那么作为对安全性高的 DeFi 项目的开发者,是不是应该一开始选择一个安全性更高的域名服务商?(Pancake 表示会把 Godaddy 替换成更高安全性的 MarkMonitor)。

这个事件也凸显了打造去中心化的 DNS 的重要性。我们不相信中心化的交易所,因为担心他们会 screw up 我们在里面存放的加密资产(Not your key,not your coin);我们也会担心中心化的域名服务商和 DNS 服务器(Not your Key,not your domain)。IPFS/ENS 等 web3 技术,就是很好的去中心化的 DNS 解决方案。

作为 Defi 投资者我们如何应对类似的域名被黑事件?我个人的一些方法:

1. 记住官方网站的域名,直接在浏览器输入正确的域名(一个字母都不能差),通过搜索引擎或者其他链接打开的地址要重新验证;

2. 需要确认 app 是否官方发行,比如前一阵子有假的 Uiswap 和 Trezor app 在应用商店,也是让人输入助记词,非常可怕;

3. 用 eth.link 后缀的网站 DNS 安全性更高,比如https://cream-finance.eth.link/,因为是去中心化的域名解析;

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

FTX加密货币领域 真的存在“价值投资”吗?

摘要 当我们想要用价值投资的理念做币圈投资,在做出买卖决策之前,我们需要不断问自己这4个问题: 1.这个项目是好赛道里的好项目吗?(买币就是买项目) 2.对这个项目,我达到了看懂的标准么?(能力圈) 3.我以现在的价格买入,留出了安全边际吗?(安全边际) 4.我是在利用市场,还是在被市场利用?(市场先生) 这4个问题中,1、3帮助我们对抗自己的无知。

DAI金色观察 | 融资2600万美元 Eco开启疯狂洒金模式

最近,A16z对我们的投资组合公司Eco进行了一轮2600万美元的融资,这是一家专注于年化利息的初创公司,处于初步发展阶段。本轮融资的领投公司是Pantera Capital和Expa,Expa工作室创始人和Uber的联合创始人是Garrett Camp。 Eco是一个余额金融应用,它的原理非常简单,用户可以通过钱包消费、转账、储蓄就能赚钱。

DOT谷燕西:加密数字货币投资思考

比特币的价值是共识的结果(social construct)。知道、买卖和使用它的用户越多,其价值基础就越坚固。目前上述三个指标都在增长。 比特币已经被认为是价值储存工具,正在进入支付领域,在地理范围方面和更多的区块链应用当中。 比特币正在成为加密数字货币的储备货币。 各种加密数字货币出现和消失,只有比特币一直保持增长趋势。

[0:0ms0-0:484ms