Das Web3-Infrastrukturunternehmen Ankr ist dafür bekannt, Knotenendpunkte, Staking-Dienste und andere Produkte für Proof-of-Stake-Blockchains anzubieten. Am Freitag verwirkte ein Hacker ein betrügerisches Popup im Polygon- und Fantom-Netzwerk, indem er das Domain Name System (DNS) von Ankr kaperte, um die Seed-Phasen der Benutzer zu stehlen. Das Projekt behob die von Menschen verursachten Fehler bald und gab an, dass aufgrund dieses Vorfalls keine Mittel verloren gegangen seien.
Angriffsziel-Gateways zu Polygon und Fantom
Kurz nachdem die unabhängige Sicherheitsforschung „CIA Officer“ den Angriff zum ersten Mal aufgedeckt hatte, brachte Polygon CTO Mudit Gupta ihn erneut zu Twitter und forderte die Benutzer auf, alternative Dienste zu nutzen, während die Dinge behoben wurden. In der Zwischenzeit identifizierte er den führenden Akteur, der für einen solchen Vorfall von Infrastrukturausfällen verantwortlich ist:
Wir werden eng mit Ankr zusammenarbeiten, um sicherzustellen, dass dies nicht noch einmal passiert.
Wir arbeiten auch an einer dezentraleren Alternative als Forschungsprojekt und einem stiftungseigenen RPC-Knoten für mehr Zuverlässigkeit.
– Mudit Gupta (@Mudit__Gupta) 1. Juli 2022
Nur Stunden nachdem Hacker die Gateways zu Fantom und Polygon kompromittiert hatten, veröffentlichte Ankr eine vollständige Erklärung auf Twitter und versicherte den Benutzern, dass der Angriff schnell „neutralisiert“ worden sei. Darüber hinaus waren alle Kerndienste nicht betroffen, und nur zwei frei nutzbare öffentliche RPC-Schnittstellen (Remote Procedure Call) für Fantom und Polygon auf einer externen Website wurden nach Angaben des Unternehmens kurzzeitig verletzt.
Der Exploit begann mit einem Trick, der auf die zentralisierte Einheit von Ankr abzielte, als der Täter Berichten zufolge einen DNS-Drittanbieter dazu verleitete, dem Hacker Zugriff auf die Domains von Polygon und Fantom zu gewähren. Der Webdienstanbieter von Ankr namens Gandi wurde Berichten zufolge von der gefälschten Identität des Hackers ausgetrickst und stimmte daher zu, die E-Mail-Adresse für das Konto des Domänenregistrators zu ändern.
Auf diese Weise erhielten Benutzer, die über die Endpunkte von Ankr auf die Blockchains zugegriffen hatten, eine Phishing-Phase, in der sie aufgefordert wurden, ihren Seed auf PolygonApp dringend zurückzusetzen. Die Hacker könnten ihre Gelder stehlen, indem sie die Seed-Phasen der Benutzer beeinflusst haben.
Obwohl die vollständige Erklärung hinter einem solchen Exploit unbekannt bleibt, da Ankr immer noch versucht zu verstehen, was Gandi als Beweis für diese Änderung akzeptierte, enthüllte es, dass die Kompromittierung möglicherweise mit seinen Domänen als „einem zentralen Fehlerpunkt“ zu tun hat.
3/ Aktueller Stand:
In diesem Moment hat Ankr wieder vollständig Zugriff auf unser Domain-Konto und unsere Dienste sind wiederhergestellt. Keines der Systeme von Ankr war betroffen.
– Ankr (@ankr) 1. Juli 2022
Sicherheitslücke
Es ist nicht mehr ungewöhnlich, dass der Fehler eines Drittanbieters dazu führt, dass Kryptoplattformen kompromittiert werden. Erst vor wenigen Tagen meldete der größte NFT-Marktplatz, OpenSea, eine Datenschutzverletzung und nannte einen Mitarbeiter von Customer.io, einer vom Unternehmen beauftragten Drittplattform, als verantwortlich für einen solchen Fehler.
Aufgrund des Datenlecks über seine Kunden, die auf diese Weise verdächtige E-Mails, Anrufe und Nachrichten von Betrügern erhielten, warnte OpenSea seine Kunden, wachsam zu bleiben, und verschickte E-Mails, die Anti-Phishing-Praktiken enthielten.
