DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享。DNS可以让我们访问目标域名时找到对应的IP:Domain->IP_REAL如果这种指向关系被攻击者替换了:Domain->IP_BAD(攻击者控制)那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性,比如常见的有两大类:域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。对于项目方来说,除了对自己的域名HTTPS+HSTS配置完备之外,可以常规做如下安全检查:检查域名相关DNS记录(A及NS)是否正常;检查域名在浏览器里的证书显示是否是自己配置的;检查域名管理的相关平台是否开启了双因素认证;检查Web服务请求日志及相关日志是否正常。对于用户来说,防御要点好几条,我一一讲解下。对于关键域名,坚决不以HTTP形式访问,比如:http://examplecom而应该始终HTTPS形式:https://examplecom如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。那么这种情况下用户如何防御呢?用户除了保持每一步操作的警惕外。我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。NoScript默认拦截植入的JavaScript文件。
Dune发布SparkSQL与PostgreSQL停用时间表,7月15日正式停止服务:4月21日消息,区块链分析平台Dune发布SparkSQL与PostgreSQL停用时间表,5月15日将从数据资源管理器中删除,6月15日禁用编辑,7月15日停止服务。Dune提醒用户,需要在7月15日前使用DuneSQL迁移工具迁移到DuneSQL,未来将不再更新在SparkSQL或PostgreSQL上运行的查询,但仍然可以访问其中的数据。
此外,Polygon、BNB、Optimism和Gnosis在各自Postgres实例上的数据摄取已于4月20日停止。同时,在短期内,Spells将继续在SparkSQL上运行,但可由DuneSQL查询。Dune团队已经在测试一个新版本的Spellbook,它将完全在DuneSQL上运行,缩小最后剩下的兼容性差距。[2023/4/21 14:18:16]
Saffron与ParaFiCapital达成战略合作:据官方消息,自4月14日开始,SaffronFinance与投资机构ParaFi正式建立战略合作伙伴关系。此前,Saffron获得超200万美元融资,CoinbaseVentures、DragonflyCapital、Multicoin参投。SaffronFinance是一项引入了可选择的风险转债,使用户能够获得可定制风险管理的DeFi协议。
该协议的用户可以从不同的主流代币流动性池(DAI、ETH、SUSHI等)中进行选择,并能够通过加入特定的转期来亲自决定自己愿意承担多少风险。它是目前该领域唯一实现这一功能的DeFi协议。
ParaFiCapital是一家专注于区块链和去中心化金融市场的投资公司。他们致力于通过广泛的研究和长期专注的投资框架来寻找未开发的机会。[2021/5/5 21:25:12]
但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的:https://curvefi/js/app.ca2e5d81.js植入了盗币有关的恶意代码。如果我们之前NoScript信任了Curve,那么这次也可能中招。可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过:
Paralink与SeerLabs达成战略合作协议,聚焦亚洲市场:4月30日,官方消息,波卡生态预言协议Paralink与SeerLabs达成战略合作协议,双方将共同推进项目生态在亚洲市场的深耕与发展。SeerLabs(先知实验室)作为一个拥有全球营销理念和增长黑客的机构,利用区块链技术和多方市场社区资源,为价值项目提供支持,深度参与孵化了Ploygon(MATIC),DIA,Swingby,XEND,Shield,BOSON等20多个项目。
Paralink Network是一个构建在波卡生态的预言机协议。开发者可以通过Paralink独创的查询语言ParalinkQueryLanguage(PQL)来使用区块链和现实世界数据。PQL允许使用者以查询SQL数据库的方式来访问WebAPI,抓取网站以及从其他现实数据。Paralink旨在通过PQL,以更灵活和更低成本的方式,将主流的现实数据带入到加密世界当中。[2021/4/30 21:14:03]
区块链项目ParaState筹集130万美元种子轮资金:金色财经报道,区块链项目ParaState在种子轮融资中筹集了130万美元。根据一份新闻稿,该轮融资由CMS Trading牵头,Kenetic Capital、FBG Capital和JRR Capital也参与投资。该公司的估值为1200万美元。据悉,ParaState是一个为以太坊开发人员提供访问Polkadot区块链功能的项目。[2021/1/28 14:10:36]
这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。原地址
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。