Η Aerodrome Finance, η κορυφαία αποκεντρωμένη ανταλλαγή (DEX) στο δίκτυο Base, επιβεβαίωσε ότι διερευνά μια υποψία επίθεσης DNS hijacking που έχει επηρεάσει τους κεντρικούς τομείς της. Ο πρωτόκολλος προειδοποίησε τους χρήστες να αποφεύγουν την πρόσβαση στους κύριους τομείς .finance και .box και να χρησιμοποιούν αντ' αυτού δύο ασφαλείς αποκεντρωμένες εναλλακτικές που φιλοξενούνται σε υποδομή $ENS. Η επίθεση εξελίχθηκε γρήγορα, με επηρεαζόμενους χρήστες να αναφέρουν κακόβουλες αιτήσεις υπογραφής που σχεδιάστηκαν για να αποστραγγίσουν πολλαπλά περιουσιακά στοιχεία, συμπεριλαμβανομένων NFTs, $ETH και $USDC, μέσω απεριόριστων αιτήσεων έγκρισης. Παρά το γεγονός ότι η ομάδα διαβεβαίωσε ότι όλοι οι έξυπνοι συμβάσεις παραμένουν ασφαλείς, η παραβίαση του frontend εξέθεσε τους χρήστες σε εξελιγμένες προσπάθειες phishing που θα μπορούσαν να είχαν αποστραγγίσει τα πορτοφόλια όσων δεν παρακολουθούσαν προσεκτικά τις εγκρίσεις συναλλαγών.

«Διερευνούμε ενεργά μια παραβίαση του frontend. Παρακαλούμε μην αποκτάτε πρόσβαση στον ιστότοπο μέσω οποιασδήποτε διεύθυνσης URL — κύριου τομέα ή αποκεντρωμένων καθρεφτών — μέχρι να επιβεβαιώσουμε ότι όλα είναι ασφαλή. Όλοι οι έξυπνοι συμβάσεις φαίνονται ασφαλείς. Θα υπάρξουν σύντομα ενημερώσεις.» — Aerodrome (@AerodromeFi) 22 Νοεμβρίου 2025

Η έρευνα της Aerodrome ξεκίνησε όταν η ομάδα ανίχνευσε ασυνήθιστη δραστηριότητα στην υποδομή του κύριου τομέα της περίπου έξι ώρες πριν από την έκδοση δημόσιων προειδοποιήσεων. Ο πρωτόκολλος σημείωσε αμέσως τον πάροχο τομέων του, Box Domains, ως πιθανώς παραβιασμένο και ζήτησε από την υπηρεσία να επικοινωνήσει επειγόντως. Μέσα σε λίγες ώρες, η ομάδα επιβεβαίωσε ότι και οι δύο κεντρικοί τομείς, .finance και .box, είχαν παραβιαστεί και παρέμειναν υπό τον έλεγχο των επιτιθεμένων. Ο πρωτόκολλος αντέδρασε κλείνοντας την πρόσβαση σε όλες τις κύριες διευθύνσεις URL, ενώ καθόρισε δύο επαληθευμένες ασφαλείς εναλλακτικές: aero.drome.eth.limo και aero.drome.eth.link.

Αυτές οι αποκεντρωμένες εναλλακτικές εκμεταλλεύονται την Υπηρεσία Ονομάτων Ethereum ($ENS), η οποία λειτουργεί ανεξάρτητα από τα παραδοσιακά συστήματα DNS που είναι ευάλωτα σε hijacking. Η ομάδα τόνισε ότι η ασφάλεια των έξυπνων συμβάσεων παρέμεινε ανέπαφη καθ' όλη τη διάρκεια του περιστατικού, περιορίζοντας την παραβίαση αποκλειστικά σε σημεία πρόσβασης frontend. Ο αδελφός πρωτόκολλος Velodrome αντιμετώπισε παρόμοιες απειλές, οδηγώντας την ομάδα του να εκδώσει παράλληλες προειδοποιήσεις σχετικά με την ασφάλεια των τομέων. Η συντονισμένη φύση των προειδοποιήσεων υποδηλώνει ότι οι επιτιθέμενοι μπορεί να έχουν στοχεύσει συστηματικά την υποδομή των Box Domains για να παραβιάσουν πολλαπλές πλατφόρμες DeFi ταυτόχρονα.

Ένας επηρεαζόμενος χρήστης περιέγραψε την εμπειρία του με την κακόβουλη διεπαφή πριν κυκλοφορήσουν οι επίσημες προειδοποιήσεις, αναφέροντας πώς η παραβιασμένη ιστοσελίδα εκτέλεσε μια παραπλανητική επίθεση δύο σταδίων. Η παραβιασμένη διεπαφή πρώτα ζήτησε μια υπογραφή που φαινόταν αθώα, περιλαμβάνοντας μόνο τον αριθμό «1», καθορίζοντας την αρχική σύνδεση του πορτοφολιού. Αμέσως μετά αυτή την φαινομενικά αθώα αίτηση, η διεπαφή προκάλεσε απεριόριστους αιτήματος έγκρισης για NFTs, $ETH, USDC και WETH.

«Ζήτησε μια απλή υπογραφή, και μετά αμέσως προσπάθησε απεριόριστες εγκρίσεις για να αποστραγγίσει NFTs, $ETH και $USDC», ανέφερε ο χρήστης. «Αν δεν προσέχατε, θα μπορούσατε να χάσετε τα πάντα.» Ο θύμα κατέγραψε την επίθεση μέσω στιγμιότυπων οθόνης και βίντεο, καταγράφοντας την πρόοδο από την αρχική αίτηση υπογραφής μέχρι τις πολλαπλές προσπάθειες αποστράγγισης.

Η έρευνά τους, που διεξήχθη με τη βοήθεια $AI, εξέτασε τις ρυθμίσεις του προγράμματος περιήγησης, τις επεκτάσεις, τις ρυθμίσεις DNS και τα σημεία πρόσβασης RPC πριν καταλήξει στο συμπέρασμα ότι το μοτίβο επίθεσης ευθυγραμμιζόταν με τη μεθοδολογία DNS hijacking. Ένας άλλος μέλος της κοινότητας μοιράστηκε μια εμπειρία με ένα ξεχωριστό περιστατικό αποστράγγισης πρόσφατα, περιγράφοντας τον εαυτό του ως έμπειρο και πλήρους στοίβας προγραμματιστή που παρ' όλα αυτά έπεσε θύμα εξελιγμένων επιθέσεων. Παρά την τεχνική του εμπειρία, ο χρήστης έχασε σημαντικά κεφάλαια και πέρασε 3 ημέρες αναπτύσσοντας ένα σενάριο βασισμένο σε Jito bundle για να ανακτήσει περίπου 10-15% των κλεμμένων περιουσιακών στοιχείων μέσω stealth operations.

Η επίθεση της Aerodrome συνέβη κατά τη διάρκεια ενός απροσδόκητου ορόσημου ασφάλειας τον Οκτώβριο, καθώς η αγορά κρυπτονομισμάτων παρουσίασε τις χαμηλότερες μηνιαίες απώλειες από επιθέσεις της χρονιάς. Δεδομένα από την εταιρεία ασφάλειας Blockchain PeckShield δείχνουν ότι μόνο 18,18 εκατομμύρια δολάρια κλάπηκαν σε 15 ξεχωριστά περιστατικά, που αντιπροσωπεύει μια απότομη πτώση 85,7% σε σύγκριση με τα 127,06 εκατομμύρια δολάρια του Σεπτεμβρίου. Χωρίς την εκμετάλλευση του Garden Finance στο τέλος του μήνα, οι συνολικές απώλειες θα είχαν κυματισθεί κοντά στα 7,18 εκατομμύρια δολάρια, τη χαμηλότερη τιμή ενός μήνα από τις αρχές του 2023.

Για περισσότερες πληροφορίες σχετικά με την Aerodrome Finance και τις τελευταίες εξελίξεις, μπορείτε να επισκεφθείτε την επίσημη ιστοσελίδα της Aerodrome.