本週,幣安智能鏈(BSC)上多個DeFi項目網站遭遇DNS劫持攻擊,其中包括借貸平台Cream Finance和BSC頭部DEX PancakeSwap。

DNS劫持通過攻擊域名解析服務器(DNS),或偽造域名解析服務器(DNS)的方法,把目標網站域名解析到錯誤的IP地址從而實現用戶無法訪問目標網站的目的或者蓄意或惡意要求用戶訪問指定IP地址(網站)的目的。在此次攻擊中,很多用戶在被劫持的網站中連接錢包(如MetaMask)時,會彈出頁面,要求用戶提交個人私鑰或者助記詞,一旦用戶提交信息,就會面臨財產被盜的損失。

3月15日晚間,DeFi借貸平台Cream Finance在推特上提醒用戶:“DNS已經被第三方破壞,一些用戶會看到關於助記詞的請求。不要輸入您的助記詞。我們絕對不會要求您提交任何私鑰或者助記詞。”不久之後,PancakeSwap也緊急發布通知,確認遭受DNS攻擊,並向用戶做出警示。

根據Cream官方消息,cream.finance和app.cream.finance均遭到劫持,項目方火速部署了app.creamfinamce.co以供用戶臨時的使用。經過5個小時的緊急處理,凌晨2點,Cream Finance終於重新奪回DNS,恢復了兩個鏈接的正常使用。另外一邊,PancakeSwap在確認遭受攻擊後,也很快奪回DNS的控制權。

在努力恢復DNS期間,兩個項目方一直都不斷在強調用戶不要提交個人私鑰或者助記詞,還專門發布推文向用戶做出警示,而推文底下的留言也是五花八門。

有網友提問:“我把我的助記詞輸進去了,咋辦?”熱心網友似乎比他還急:“趕緊和合約交互,把幣解鎖,把所有的幣都轉到新的錢包去!快快快!時間有限!”事實上,這也是加密資產一直面臨的問題:在掌握資產絕對所有權的同時,用戶也必須完全對自己的資產負責。銀行賬戶密碼被盜,銀行可能會承擔一部分責任,警方可能幫你追回;但私鑰被盜,資產被轉走,就真的沒了。雖然有越來越多的人進入加密市場,開始使用DeFi協議,但還是有很多人並不理解私鑰或者助記詞的真正含義。需要牢記,任何用錢包與之交互的正常DeFi協議都不會要求用戶提供私鑰或助記詞!用戶也需要注意,千萬不要把自己的私鑰和助記詞信息分享給他人!

不過,通過DNS劫持來“釣魚”並非什麼很難識別的騙局,很多久經戰場的投資者忍不住在推文下面調侃起來。網友Graugest留言稱:“不!我提交了我的助記詞!”但點擊他發布的截圖,我們會看到他提交的助記詞其實是對攻擊者的調侃:“騙的不錯,兄弟。不過,你永遠不可能從我這拿到一分錢,哈哈哈哈。”

不少蹭熱度的項目也來到了留言區。一個名為Tacoswap的項目到處宣傳自己的項目:“我們是Tacoswap,新的DEX。我們的代幣現在價格只有0.04美元,我們很快就會漲到1美元上方。歡迎大家加入我們的社區。”這樣的蹭熱度式宣傳,筆者覺得有些低級。事件發生後,CoinMarketCap和CoinGecko等數據網站都紛紛發布消息提醒投資者,Armor.Fi這樣的DeFi項目第一時間加入幫助Cream恢復DNS,趙長鵬等大V也火速傳播消息,這個時間點來蹭熱度的確是很不妥。

更讓人不恥的是詐騙項目。詐騙者們也貼上了詐騙網站,登陸進去一下,“埃隆馬斯克和特斯拉將向大家分發5000BTC”,還是推特上的老套路,聲稱用戶轉入0.1BTC就會收到1BTC。

一場風波,又一次告訴我們:保護好我們的私鑰和助記詞!