Ataque de phishing usa os domínios PancakeSwap e Cream para roubar dinheiro
Dois projetos baseados na BSC foram atacados substituindo seus sites por uma interface maliciosa.
Dois projetos financeiros descentralizados estão supostamente sendo alvos de um ataque de falsificação de DNS. De acordo com relatórios da manhã de segunda-feira no horário dos EUA, PancakeSwap e Cream Finance, dois projetos implantados na Binance Smart Chain, estão fazendo phishing para usuários inserirem sua chave privada no site.
O Cream Finance estava inacessível no momento em que este livro foi escrito, mas o PancakeSwap ainda carrega corretamente e mostra a tentativa de phishing. Ao tentar conectar o MetaMask, a página carrega uma janela falsa solicitando que o usuário insira sua chave privada. Isso também acontece em navegadores como o Safari, onde o MetaMask não está disponível. Quase não há ocasiões em que um usuário deve inserir sua frase-semente em um aplicativo de navegador, especialmente quando estiver interagindo com a DeFi.
Captura de tela do Pancake Swap, tirada por volta das 15h UTC.
As equipes do Cream Finance e do Pancake Swap confirmaram que o problema é um ataque de falsificação de DNS. O Domain Name Service conecta um nome de domínio a um endereço IP na web. Parece que o registro dos dois serviços foi sequestrado para apontar para um servidor controlado pelo invasor. De acordo com os registros da ICANN, o registro do DNS foi atualizado para os dois sites na segunda-feira, pouco antes dos relatórios de atividade maliciosa.
A entrada DNS foi atualizada na segunda-feira. Fonte: ICANN
Ambos os sites parecem estar registrados por meio do GoDaddy. Uma possível explicação é que as contas das equipes no provedor foram sequestradas, permitindo que o invasor altere oficialmente o ponto de roteamento DNS para os domínios.
A partir das 19h UTC, a equipe do Cream Finance afirmou que o site está totalmente operacional e seguro. O PancakeSwap também parece ter recuperado o controle de seu site. As alterações podem não ser imediatamente visíveis para os usuários que visitaram o domínio corrompido, exigindo uma limpeza do cache do navegador.
A história foi atualizada às 19h UTC com novas informações.
Leia mais:
