从项目方及用户角度，简析 DNS 被劫持的根本原因

DNSHijacking(劫持)大家应该都耳濡目染了，历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance，十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我这里做个简单分享：

DNS可以让我们访问目标域名时找到对应的IP：vxhuang33868

Domain->IP_REAL

如果这种指向关系被攻击者替换了：

Domain->IP_BAD(攻击者控制)微博小新投资笔记

FTX在红杉资本基金中的4500万美元权益被售出:金色财经报道，据法庭文件显示，特拉华州破产法官已批准将 FTX 在红杉资本基金中的 4500 万美元权益出售给阿布扎比的投资部门。此外，FTX 要求无限期推迟出售股票清算业务 Embed，Embed 的出售听证会原定于 2 月 27 日举行，随后被推迟。法庭文件显示 Embed 的出售听证会将暂停“直至另行通知”。[2023/3/29 13:32:59]

那这个IP_BAD所在服务器响应的内容，攻击者就可以任意伪造了。最终对于用户来说，在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性，比如常见的有两大类：

金融科技公司Ejara完成800万美元融资， Anthemis与Dragonfly领投:11月28日消息，喀麦隆金融科技公司Ejara完成800万美元A轮融资，Anthemis与Dragonfly领投，参投方包括Mercy Corps Ventures、CoinShares Ventures、Lateral Capital、Circle Ventures、Moonstake、Emurgo、HashKey和BPI France，个人投资者包括Blockworks的联合创始人Jason Yanowitz等。

据悉，Ejara为非洲法语国家的用户提供购买、出售、交换和存储其加密货币的服务，且使用非托管钱包进行。除了加密货币之外，其还在将政府债券代币化并据此发行储蓄产品。（techcrunch）[2022/11/28 21:07:25]

1.域名控制台被黑，攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD)，或者直接修改Nameservers为攻击者控制的DNS服务器；

绿色和平组织抨击比特币，称以太坊合并证明加密“不必以环境为代价”:金色财经报道，在以太坊（ETH）成功合并后，绿色和平组织（Greenpeace）抨击比特币（BTC）的能源使用。以太坊合并将其碳排放量削减了99% 以上。

该组织计划为其“改变代码，而不是气候”的活动投入100万美元，用于大量在线广告，倡导改变比特币的代码，目的是减少BTC的工作量证明（PoW）模式。

广告活动的负责人Michael Brune表示，州和联邦领导人以及企业高管正在竞相尽快实现脱碳。以太坊已经表明存在切换到一个高能效的协议的可能，气候、空气和水的污染要少得多。比特币已经成为异类，轻蔑地拒绝接受气候责任。（The Daily Hodl）[2022/9/18 7:03:46]

2.在网络上做粗暴的中间人劫持，强制把目标域名指向IP_BAD。

摩根士丹利新的PAVA指标将ETH用户分为“信徒”和“投机者”:金色财经报道，摩根士丹利引入了一种新的投机指标——一种名为PAVA(每地址价格调整量)的工具，它利用交易员之间的投机活动来预测以太坊(ETH)的定价。

该指标的计算方法是将以美元计算的加密货币价格除以区块链交易量与活跃钱包地址的比率(90天平均值)，这将允许投资者估计以太币的价格趋势，特别是在经历极端市场低点时。

该指标区分了基于市场基本面的价格波动和基于网络使用的价格波动，并将加密货币市场参与者分为两类:信徒和投机者。（coindesk）[2022/8/10 12:14:15]

第1点的劫持可以做到静默劫持，也就是用户浏览器那端不会有任何安全提示，因为此时HTTPS证书，攻击者是可以签发另一个合法的。

第2点的劫持，在域名采用HTTPS的情况下就没法静默劫持了，会出现HTTPS证书错误提示，但用户可以强制继续访问，除非目标域名配置了HSTS安全机制。

重点强调下：如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况)，及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity)，那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛，一定要警惕。

对于项目方来说，除了对自己的域名HTTPS+HSTS配置完备之外，可以常规做如下安全检查：

1.检查域名相关DNS记录(A及NS)是否正常；

2.检查域名在浏览器里的证书显示是否是自己配置的；

3.检查域名管理的相关平台是否开启了双因素认证；

4.检查Web服务请求日志及相关日志是否正常。

对于用户来说，防御要点好几条，我一一讲解下。

对于关键域名，坚决不以HTTP形式访问，

而应该始终HTTPS形式

如果HTTPS形式，浏览器有HTTPS证书报错，那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。

对于静默劫持的情况，不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等，其实站在用户角度来看，最终的体现都一样。浏览器侧不会有任何异常，直到有用户的资产被盗才可能发现。

那么这种情况下用户如何防御呢？用户除了保持每一步操作的警惕外。

我推荐一个在Web2时代就非常知名的浏览器安全扩展：@noscript(推特虽然很久很久没更新，不过惊喜发现官网更新了，扩展也更新了)，是@ma1的作品。

NoScript默认拦截植入的JavaScript文件。

但是NoScript有一点的上手习惯门槛，有时候可能会很烦，我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行，其他的尽管在另一个浏览器(如Chrome)上进行。

隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的，驾驭后、习惯后，那么一切都还好。

但是这并不能做到完美防御，比如这次@CurveFinance的攻击，攻击者更改了其DNSA记录，指向一个IP_BAD，然后污染了前端页面的

植入了盗币有关的恶意代码。

如果我们之前NoScript信任了Curve，那么这次也可能中招。

可能有人会说了要不要多安装一些浏览器安全扩展，我的看法之前已经提过

这个话题我暂时先介绍到这，目的是尽可能把其中要点进行安全科普。至于其他一些姿势，后面有机会我再展开。

如果你觉得对你有帮助或有什么要补充的，欢迎参与讨论。

标签：HTTTPSDNSIPTHTT价格tps币圈dns币的价格ZIPT

BNB热门资讯