Le 15 mars, PancakeSwap a été la cible d’un attaquant qui a réussi à accéder à leur compte GoDaddy et a détourner leur DNS (Domain Name Servers).
Nous vous traduisons le rapport de Pancakeswap sur l’incident rencontré le 15 mars.
Rapport :
Il s’agissait d’une attaque coordonnée et Cream.Finance a également été visé par le même acteur malveillant, comme le confirme le journal des événements de GoDaddy qui contient les adresses IP utilisées.
En bref, l’équipe de Pancakeswap continue leur enquête, l’attaquant a réussie à tromper leur registraire (hébergeur) de domaine, GoDaddy, en lui donnant accès à leur compte. Ils ont ensuite redirigé l’URL de leur site vers un site copié qui a essayé de tromper les utilisateurs en leur faisant saisir la “seed phrase” de leur portefeuille.
Les contrats de PancakeSwap n’ont pas été touchés : l’attaque s’est limitée au front-end du site, qui n’est qu’un moyen d’interagir avec les contrats.
Une chronologie simple des événements (toutes les heures indiquées sont UTC+8).
15 mars
21:10 — Cream annonce sur Twitter que son DNS a été détourné. Nous commençons à examiner nos propres DNS pour vérifier si un problème similaire pourrait se produire. Nous sommes en état d’alerte et surveillons la situation.
22:27 — Le site PancakeSwap devient inaccessible. Tweet
22:36 — L’équipe de PancakeSwap indique sur Twitter qu’il est possible que notre DNS ait également été détourné. Nous pensons qu’il est préférable d’avertir tôt et d’avoir tort que de mettre les utilisateurs en danger en attendant. Tweet
22:42 — Nous confirmons que notre DNS a été détourné et commençons immédiatement à travailler sur une solution. Tweet
22:45 — Nous commençons à contacter le plus grand nombre possible de fournisseurs de services d’information qui ont des liens avec PancakeSwap, tels que CoinGecko, CoinMarketCap, etc., afin de supprimer les liens vers PancakeSwap dans la mesure du possible et/ou d’ajouter des avertissements sur leurs sites.
22:50 — Nous achetons https://pancakeswap.ai comme domaine de secours et déployons le site web sur ce domaine.
23:00 — Nous commençons le processus de récupération de notre DNS.
16 mars
00:03 — Nous récupérons l’accès complet à notre DNS et mettons à jour les paramètres avec nos paramètres Cloudflare d’origine. Tweet
00:30 — Nous aidons à connecter C.R.E.A.M à Binance, et les aidons également à récupérer leurs services.
06:00 — Nous déployons une sauvegarde IPFS.
17 mars
00:49 — Notre DNS est entièrement propagé et est revenu à la normale pour tous les utilisateurs. Tweet
10:01 — @sniko_ (Harry.eth) émet une demande de pull à MetaMask pour supprimer l’alerte d’escroquerie par phishing maintenant que le site est complètement rétabli.
Les utilisateurs de PancakeSwap ont-ils quelque chose à craindre ?
L’attaquant a utilisé une attaque de phishing peu sophistiquée qui demandait aux utilisateurs d’entrer leur “seed phrase”. Si vous n’avez pas saisi votre”seed phrase” sur le site compromis, il n’y a pas lieu de s’inquiéter.
Comment cela s’est-il produit ?
Ils sont toujours en train d’enquêter, mais l’attaque sur PancakeSwap est très proche de l’attaque sur C.R.E.A.M. : Il est probable que l’attaquant s’est introduit par ingénierie sociale sur leur compte GoDaddy par l’intermédiaire du service clientèle de GoDaddy. Il est clair que ce manque de sécurité n’est pas inhabituel pour GoDaddy
(voir : Des employés de GoDaddy utilisés dans des attaques contre plusieurs services de crypto-monnaies).
Quelles mesures prennent-ils pour éviter que cela ne se reproduise ?
Ils sont en train de migrer de GoDaddy vers MarkMonitor pour s’assurer que leurs domaines sont gérés de la manière la plus sûre. Ils maintiendront plusieurs domaines de sauvegarde, à la fois sur et hors IPFS, afin de garantir que le site reste accessible en cas d’urgence.
Ils ont veillé à ce que chaque compte appartenant à l’équipe de PancakeSwap dispose des paramètres de sécurité les plus élevés possible, et ont amélioré leurs paramètres de sécurité lors de l’accès à leurs services (suppression des anciens protocoles TLS, garantie de l’impossibilité de l’usurpation d’adresse e-mail avec le domaine pancakeswap.finance, DNSSEC).
Des utilisateurs ont-ils été affectés ?
Heureusement, ils n’ont reçu aucun rapport confirmé de perte d’utilisateurs suite à l’attaque jusqu’à présent. Si vous avez la preuve que vous avez entré votre “seed phrase” sur le faux site et que l’attaquant a volé vos fonds, nous vous recommandons de le signaler directement aux forces de l’ordre et de faire un suivi auprès de Binance et d’autres exchanges compatibles BSC pour mettre sur liste noire les adresses de réception.
Ils tiennent à remercier chaleureusement tous ceux qui les ont aidés, ainsi que la communauté pour sa patience et son soutien pendant l’incident. Ils s’excusent pour la gêne occasionnée.
Voilà, le rapport ce fini ici, plus de peur que de mal ! Cela a permis à l’équipe de Pancakeswap de revoir certains paramètres de sécurité qui sont les bienvenues à l’arrivée prochaine de la V2, ce genre d’attaque n’aident pas à l’image de la DeFi, mais pourtant la réactivité des équipes et de la communauté lors de ce moment est à signaler, ils ont été exemplaires !
Website
Twitter
Facebook
Medium
Retrouvez nos autres articles :
Présentation BSChain
Présentation de la Binance Smart Chain
Binance Chain vs. Binance Smart Chain
Regard sur la BSC👀
Les portefeuilles : Binance Chain Wallet / Metamask / TrustWallet
[GUIDE] DeFi to the moon ! On vous dit tout !
Binance Bridge, comment l'utiliser ?
Les outils pratiques pour la Binance Smart Chain
Protéger son wallet en DeFi, qu’est-ce que cela signifie réellement ?
[News] My Neighbor Alice, Présentation(FR)
[News] Présentation PancakeSwap V2
Les NFT’s un monde nouveau
AutoFarm, ou l’art d’automatiser