Un hacker ha prodotto un pop-up di phishing su Polygon e Fantom, avvertendo gli utenti che i loro fondi erano a rischio e invitandoli a inserire le chiavi private dei loro account.
L’hacker ha avuto accesso alle interfacce di chiamata di procedura remota (RPC) di Polygon e Fantom attraverso la piattaforma infrastrutturale Web3 Ankr, ingannando un provider di nomi di dominio (DNS) di terze parti che gli ha permesso di accedere ai domini di Polygon e Fantom.
Il DNS di Ankr è ospitato su un servizio web chiamato Gandi e il suo servizio di assistenza clienti ha una sezione per i clienti che vogliono cambiare l’e-mail dell’amministratore di un dominio.
Comunicazione con il servizio clienti di Gandi | Fonte: Ankr
Fingendosi un dipendente di Ankr, l’hacker ha inviato a Gandi una carta d’identità falsa e ha convinto il servizio di assistenza clienti della piattaforma a cambiare l’indirizzo e-mail dell’account di registrazione del dominio da quello di Ankr all’account Hotmail dell’hacker.
Ankr sta “ancora cercando di capire cosa [Gandi] abbia accettato come prova per questo cambiamento”, ha dichiarato Peter Stewart, responsabile dell’integrazione di Ankr.
Ankr è riuscita a riprendere il controllo del DNS entro sei ore dall’attacco. Fonti di Polygon e Ankr hanno dichiarato a Blockworks che non sono stati compromessi i fondi degli utenti, ma hanno anche ammesso di non poter determinare con certezza se qualche utente sia stato vittima dell’attacco di phishing.
“Il DNS è purtroppo ancora un punto di fallimento centralizzato in Internet”, ha dichiarato il cofondatore di Ankr Ryan Fang a Blockworks via Telegram.
Fang ha detto che Ankr continuerà a lavorare con Gandi, ma chiederà ai suoi fornitori di DNS di utilizzare l’autenticazione a due fattori in futuro.
L’attacco di phishing arriva mentre Polygon ha annunciato una partnership con Meta per portare i NFT su Facebook – e mentre le vendite di NFT (token non fungibili) raggiungono il punto più basso in un anno, secondo la piattaforma di ricerca blockchain Dune.
“Si è trattato di un’interruzione di terze parti che non riguarda in alcun modo Polygon. Meta non sta usando quella terza parte”.
