Pancake／Cream 域名被黑事件分析、思考和应对

作为DeFi投资者，我们一直如履薄冰。

我们首先用一个简单例子来理解域名解析的过程。比如我们在浏览器输入pancakeswap.finance，?那么网络中的域名解析服务器就会把这个域名解析成为一个IP地址，因为计算机网络中只能通过IP地址来访问服务器。在正常情况下，用户的浏览器就会访问到项目方设置的IP地址对应的服务器。而在本月15号的被黑事件中，DNS把pancakeswap.finance的域名指向了黑客控制的IP地址，用户的浏览器就访问了黑客控制的服务器，而这个伪造的服务器通过伪造的网页前端向用户要求助记词。

Dcoin与韩国承兑机构PLAY达成战略合作:4月25日消息，Dcoin与PLAY达成独家战略合作。PLAY为韩国最大承兑机构，此次合作旨在提高全球用户OTC服务质量。目前，Dcoin韩国活跃用户已超30万+。[2023/4/25 14:25:14]

我们不禁要问，黑客是如何篡改DNS记录的？这得从Pancake和Cream的域名服务商Godaddy说起。Pancake／Cream通过Godaddy购买了域名，并且在Godaddy把各自的域名映射成自己的服务器IP地址。根据CreamFinance发布的事后报告，黑客攻击了Godaddy，破解了Pancake／Cream在Godady的账号，并且修改了域名映射，把对应的IP改成了黑客控制的IP地址。

Aave社区发起“将V3部署至zkSync Era主网”的温度检查投票:4月13日消息，Snapshot投票页面显示，Aave社区发起“将Aave V3部署至zkSync Era主网”的温度检查投票，该提案目前支持率为97.3%，投票将于4月15日截止。

此温度检查投票为Aave治理提供了在zkSync Era主网上部署Aave V3的机会，并有限部署了初始资产：USDC和ETH。若此次投票通过，则进入ARFC阶段进行进一步讨论、风险参数评估网络分析和最终确定提案。如果ARFC阶段快照成功，则将该提案作为AIP提交以进行投票和链上治理批准。[2023/4/13 14:01:33]

DNSHijack

美国犹他州立法机关已通过DAO法案，将于2024年生效:金色财经报道，美国犹他州立法机关于3月1日通过了HB 357法案，即《犹他州去中心化自治组织法案（犹他州DAO法案）》，由此，犹他州已成为第一个通过立法承认去中心化自治组织（DAO）的州。犹他州DAO法案授予DAO：1.法律认可和有限责任保护，解决了以前“将DAO包装进LLC实体”方法的局限性；2.建立了明确的税收待遇；3.对DAO参与者没有隐含的信托责任；4.使用“细则”来保护DAO参与者的匿名性；5.纳入技术把关，确保DAO确实是一个DAO。

然而也有一些担忧和妥协。三个主要问题是：1.DAO基础的完全 \"不负责任的 \"匿名性；2.（原）税收语言与潜在的州和联邦税收显示不一致；3.缺乏启动时间，以确保犹他州公司部为处理新的申请做好准备。[2023/3/6 12:45:29]

那究竟是谁来背这个锅？Pancake和Cream都在暗示是Godaddy的安全机制问题，因为Pancake和Cream本身没有做任何修改，是用Google的单点登录功能登录Godaddy的，而本身Google账号没有被黑。其实Godaddy的安全性的口碑在域名服务商里面非常一般，以前也经常出事故，那么作为对安全性高的DeFi项目的开发者，是不是应该一开始选择一个安全性更高的域名服务商？。

这个事件也凸显了打造去中心化的DNS的重要性。我们不相信中心化的交易所，因为担心他们会screwup我们在里面存放的加密资产；我们也会担心中心化的域名服务商和DNS服务器。IPFS／ENS等web3技术，就是很好的去中心化的DNS解决方案。

作为Defi投资者我们如何应对类似的域名被黑事件？我个人的一些方法：

1.记住官方网站的域名，直接在浏览器输入正确的域名，通过搜索引擎或者其他链接打开的地址要重新验证；

2.需要确认app是否官方发行，比如前一阵子有假的Uiswap和Trezorapp在应用商店，也是让人输入助记词，非常可怕；

3.用eth.link后缀的网站DNS安全性更高，比如https://cream-finance.eth.link/，因为是去中心化的域名解析；

4.?千万不要透露助记词和密钥／千万不要透露助记词和密钥／千万不要透露助记词和密钥。

来源：金色财经

标签：DAOANCGODCREUnityDAOThe Lab FinanceGods Unchainedcre币趋势

火币APP热门资讯