Un ataque al sistema de nombres de dominio (DNS) el 11 de julio contra múltiples protocolos Web3 podría haber sido permitido por un sistema defectuoso de migración de Google Domains a Squarespace, según varios expertos en DNS. Según algunos de los expertos, los dominios web tokenizados reducirán significativamente el riesgo de que este tipo de ataques ocurran en el futuro.
El 11 de julio, múltiples protocolos Web3 fueron atacados en un ataque generalizado de secuestro de DNS. El investigador de blockchain ZachXBT descubrió que el sitio web de Compound finance estaba redirigiendo a un sitio de phishing malicioso diseñado para robar tokens de los usuarios. Más tarde ese día, Celer Network anunció que su sitio web había sido atacado, aunque en este caso el ataque fue detectado y bloqueado.
La firma de seguridad blockchain Blockaid informó que el ataque parecía estar asociado con “proyectos alojados en Squarespace”, lo que implica que la vulnerabilidad podría tener sus raíces en el sistema de registro de dominios de Squarespace.
En una conversación con Cointelegraph el 12 de julio, Matt Gould, fundador del protocolo de dominios tokenizados Unstoppable Domains, teorizó que el ataque podría haber sido causado por la migración de usuarios de Google Domains a Squarespace, lo que podría haber permitido que estos usuarios se convirtieran en víctimas de ataques de phishing. Gould declaró:
“En este momento, si eres un cliente de Google Domains y necesitas mudarte a Squarespace, entonces tienes que crear una nueva cuenta. Así que eres un objetivo fácil y suave para alguien que hace una campaña de phishing. Pueden decir, ‘Oye, necesitas crear tu nueva cuenta de Squarespace. Aún no lo has hecho. Tu tiempo se está acabando. Haz clic en este enlace.’”
En una publicación en X, Victor Zhou, fundador del protocolo de dominios tokenizados Namefi, expresó una opinión similar. “Se sospechaba que la causa era probablemente que estos proyectos estaban registrados por Google Domains. Cuando @Google vendió su negocio de dominios a @SquareSpace hace unos meses, la migración involucró la terminación forzosa de la Autenticación Multifactor, y los atacantes pudieron comprometerla solo con una contraseña.”
Un informe de la firma de ciberseguridad Security Alliance también culpó a un proceso de migración defectuoso por el hackeo. Según el informe, “la explicación más probable” o “la teoría más fuerte” es que Squarespace asignó automáticamente los dominios relevantes a las direcciones de correo electrónico de Google asociadas con sus propietarios.
Esto permitió a los usuarios acceder a sus dominios inmediatamente después de crear una cuenta en Squarespace. Sin embargo, como Squarespace no requiere verificación de correo electrónico para cuentas nuevas creadas con una contraseña, el atacante podía iniciar sesión solo con el correo electrónico del propietario de Google Domains. Security Alliance sugirió que este error podría haber ocurrido porque los administradores de Squarespace asumieron que los usuarios crearían sus cuentas con un inicio de sesión de Google.
El informe declaró:
“Basado en todos los datos que tenemos, creemos que la explicación más probable de lo que sucedió es que Squarespace asumió que todos los usuarios que migraban desde Google Domains usarían el método de inicio de sesión ‘Continuar con Google’, [...] Squarespace nunca consideró la posibilidad de que un actor malintencionado podría registrarse para una cuenta usando un correo electrónico asociado con un dominio recientemente migrado[.]”
Cointelegraph contactó a Squarespace para comentarios pero no recibió una respuesta antes de la publicación.
Gould sugirió que este tipo de ataque podría prevenirse en el futuro si los protocolos Web3 tokenizaran sus dominios y los mantuvieran en una red blockchain.
“Si podemos poner dominios en cadena, entonces cuando necesites hacer una actualización a tus configuraciones de DNS, podrías pedirle al cliente que firme un mensaje con su clave,” declaró. “Y si pones ese paso extra de seguridad allí, [...] entonces no es posible que alguien realice un phishing en tu cuenta [...] porque tendrían que comprometer no solo tu cuenta de Squarespace, sino también tu billetera, tu clave.”
Para mayor protección, un usuario podría implementar un requisito de firma múltiple de dos de tres, donde al menos dos miembros del equipo deben firmar una transacción para cambiar configuraciones de DNS, afirmó Gould.
Otra opción más radical sería poner al propio registrador web en cadena. En este caso, las migraciones ya no serían necesarias. Cambiar de proveedores sería como cambiar de un comerciante a otro. “Si todos los registros hubieran estado en cadena y necesitaran actualizar el registrador, no tendrían que pedir a los usuarios que crearan nuevas cuentas,” afirmó.
Zhou también afirmó que los dominios tokenizados ayudarán a prevenir este tipo de ataques. “Los nombres de dominio tokenizados proporcionan la posibilidad de habilitar medidas de seguridad avanzadas basadas en su propiedad programable,” afirmó. “Pueden habilitar la Firma de Umbral de Firma, lo que significa que múltiples usuarios pueden controlar el dominio juntos.”
A diferencia de los dominios no tokenizados, “donde tu MFA [autenticación multifactor] puede ser desactivada,” los dominios tokenizados o basados en blockchain “aseguran que el MFA sea controlado por el propietario del dominio en lugar de un intermediario como SquareSpace.” Y pueden permitir un “mecanismo de recuperación social” en caso de que un propietario de dominio pierda su clave privada, afirmó Zhou.
En opinión de Zhou, los dominios tokenizados “proporcionan una base mucho mejor para medidas de seguridad avanzadas” que el sistema centralizado actual al que los propietarios de dominios se han acostumbrado.
A pesar de estas posibles mejoras de seguridad, Nick Johnson, fundador del protocolo de dominios tokenizados Ethereum Name Service (ENS), advirtió que los sistemas de registro basados en blockchain no son una panacea que resolverá todos los problemas de seguridad. “Ciertamente los dominios tokenizados pueden facilitar la protección contra [...] riesgos del usuario final,” dijo Johnson a Cointelegraph el 22 de julio. “Tokenizar tu nombre para que sea controlado por una cuenta de Ethereum, por ejemplo, significa que puedes poner toda la seguridad que se aplica a tu cuenta de Ethereum detrás de él.”
Sin embargo, advirtió que “lo que no puede hacer es proteger contra problemas que provienen del proveedor, como el hackeo de Squarespace, porque ser capaz de comprometer al proveedor significa que potencialmente puedes eludir todas esas limitaciones.”
Aunque tokenizar dominios “trae muchos beneficios,” afirmó Johnson, “no creo que intrínsecamente haga las cosas más seguras.” Una mejor manera de ganar seguridad es ser “extraordinariamente cuidadoso con quién confías las joyas de la corona de tu organización.”
Johnson afirmó que la mayoría de los proveedores de dominios tokenizados “probablemente intrínsecamente tienen un poco más de enfoque en la seguridad que el promedio,” y esto puede explicar la percepción de que son más seguros. Pero eso no los “hace automáticamente más seguros.”
Según Johnson, la principal ventaja de tokenizar dominios es que permite a los propietarios de dominios registrar fácilmente nombres de usuario de Ethereum. Por ejemplo, a través de una asociación de ENS con GoDaddy, los propietarios de dominios de GoDaddy pueden crear nombres de usuario de Ethereum a través de ENS, y para hacerlo, “simplemente marcan una casilla y ingresan la dirección a la que quieren que su nombre se resuelva, y listo.”
Según la página de ayuda de GoDaddy sobre el tema, la principal ventaja para un propietario de sitio web de tener un nombre de usuario de Ethereum es que les permite recibir pagos en su nombre de dominio. De lo contrario, tendrían que entregar una dirección de Ethereum a cada usuario que quisiera enviarles criptomonedas.
Los ataques DNS continúan amenazando a los usuarios de Web3. En marzo, un atacante se apoderó del control de la cuenta de Twitter del fundador de USD Coin (USDC), Jeremy Allaire, y redirigió a los usuarios a un sitio web que comprometía sus criptomonedas. En abril, un atacante logró robar USD 10 millones al obtener el control de los registros de DNS del sitio web de iExec.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
