El proveedor de nodos blockchain de prueba de participación (PoS) Ankr fue víctima de un hackeo el viernes 1 de julio. Las puertas de enlace RPC (Remote Procedure Call) proporcionadas por la empresa para acceder a las redes Polygon y Fantom han sido secuestradas en un intento de extraer fondos de sus clientes. Hagamos un balance de este truco.
Se alienta a los usuarios de Ankr a revelar sus “frases semilla”
Este viernes 1 de julio, el proveedor de nodos de cadena de bloques de prueba de participación (PoS) Ankr fue objeto de un ataque. Los atacantes comprometieron con éxito los RPC para las redes Polygon (MATIC) y Fantom (FTM).
En la práctica, los usuarios que intentaron acceder a las cadenas de bloques Polygon (MATIC) y Fantom (FTM) a través de las puertas de enlace RPC proporcionadas por Ankr se encontraron con un mensaje de error que los alentaba a revelar su “frase semilla” (también llamada frase secreta o de recuperación).
Una vez en posesión de esta versión simplificada de las claves privadas de las víctimas que cayeron en la trampa, los piratas informáticos podrían acceder a sus billeteras para robar sus fondos.
Attention please, attack on @0xPolygon is ongoing right now!
Users see an RPC error asking users to urgently reset their seed on polygonapp net (looks like this is wether DNS hijack or a form of a supply chain attack).
Just a scam popup to bring you to a page to put your seed. pic.twitter.com/fZxtlkKeDN
— CIA Officer (@officer_cia) July 1, 2022
El secuestro de un nombre de dominio en el origen de la piratería
Según Chandler Song (cofundador de Ankr) y Mudit Gupta (jefe de seguridad informática en Polygon), la fuente de este ataque provino de Gandi, el proveedor de nombres de dominio (DNS) de Ankr, que transfirió el control de la cuenta de Ankr al hacker. Todavía no sabemos cómo lo hizo, pero podría haberse beneficiado de la ayuda de un cómplice en Gandi.
Gandi (customer agent compromise?) transferred control of Ankr's account to the attacker and that was the root cause of the DNS Hijack.
Ankr acted swiftly and has regained access to the account.https://t.co/UgLPD63rYK
— Mudit Gupta (@Mudit__Gupta) July 1, 2022
Por lo tanto, al secuestrar el nombre de dominio, el hacker habría logrado redirigir a los usuarios a una dirección fraudulenta que afectó a los RPC de Ankr para las cadenas de bloques Polygon (MATIC) y Fantom (FTM), por lo que los usuarios de la plataforma caen en este famoso mensaje de error. pidiéndoles sus frases semilla.
Use otros RPC para acceder a Polygon (MATIC) y Fantom (FTM)
En pocas palabras, los RPC permiten a los usuarios conectar sus billeteras a una cadena de bloques. Por ejemplo, cuando conecta una nueva cadena de bloques en una billetera como Metamask, lo hace a través de un RPC. Para comprender mejor, lo invitamos a leer nuestro tutorial para vincular la cadena de bloques Avalanche (AVAX) a Metamask.
Como señala Wil, experto en blockchain y especialista en análisis fundamental de nuestro grupo privado Le Grille-Pain:
“Hay una multitud de RPC para conectarse a cada cadena de bloques. Solo los RPC proporcionados por Ankr para acceder a las cadenas de bloques Polygon y Fantom se vieron comprometidos”.
Mientras esperaba que se aclarara este asunto, Ankr envió a sus usuarios nuevos RPC para acceder a Polygon (MATIC) y Fantom (FTM) a través de un tweet publicado esta tarde.
We are investigating some reported issues on our community @0xPolygon and @FantomFDN RPCs.
‼️For the time being, please use https://t.co/LcnNn1OIWH and https://t.co/LrPIztRL1y
— Ankr (@ankr) July 1, 2022
Más temprano esta noche, la compañía tuiteó nuevamente para decir que los RPC para las redes Polygon (MATIC) y Fantom (FTM) se habían restaurado por completo, y agregó que todos sus servicios funcionaban correctamente. Ankr aprovechó la oportunidad para confirmar que efectivamente había sido víctima de un ataque al servicio de nombres de dominio (DNS).
This happened because a third-party we use for DNS gained access to a way to modify some settings on our accounts.
DNS is unfortunately not decentralized.Moreover ‼️The RPCs from https://t.co/Q8fL5Y3bS2 has never been affected.
— Ankr (@ankr) July 1, 2022
Si lo prefiere, también es posible conectarse de forma segura a estas dos cadenas de bloques utilizando RPC proporcionados por otras compañías, como Chainlist, por ejemplo.
Polygon también quería señalar que este truco no afectó de ninguna manera la cadena de bloques de prueba de participación, la solución de segunda capa utilizada por el público en general.
The Polygon PoS chain is running smoothly. Here are some updates.
[1/2]
— Polygon – MATIC 💚 (@0xPolygon) July 1, 2022
Este ataque DNS recuerda al que golpeó a Convex y otros protocolos DeFI hace unos días. En cualquier caso, es un buen recordatorio para todos los usuarios de criptomonedas. En el futuro, nunca comparta su frase inicial en Internet, especialmente si se le pregunta.