Обнаружив атаки, обе компании сообщили о проблемах в Twitter и призвали пользователей временно воздержаться от посещения их сайтов, подчеркнув, что сами сайты не скомпрометированы. Также администрация Cream Finance и PancakeSwap просила пользователей не вводить seed-фразы и приватные ключи на фишинговых сайтах злоумышленников во избежание проблем.don't do this
— icebergy (@icebergy_) March 15, 2021
По мнению ИБ-специалистов, за этими атаками явно стоит один и тот же злоумышленник, поскольку записи DNS для обоих сайтов были изменены с интервалом в одну минуту.There is a chance we have been DNS hijacked, the same as @CreamdotFinance.
Until we are able to confirm this is not the case, do not use the site.
We will confirm ASAP.
In the meantime, better safe than sorry.
Please retweet for visibility!
— PancakeSwap #BSC (@PancakeSwap) March 15, 2021
Как именно злоумышленникам удалось подменить записи DNS для обоих сайтов, пока неясно, но, как отмечает MalwareHunterTeam, обе компании управляли своими записями DNS через хостинговую компанию GoDaddy.
Хотя теоретически атакующие могли скомпрометировать хостинговые аккаунты обеих компаний, также есть вероятность, что атаке подвергся сотрудник GoDaddy. Дело в том, что это будет уже не первый инцидент такого рода: в и прошлого года работники GoDaddy уже становились жертвами фишеров. Тогда злоумышленники проникли в систему и изменили DNS для ряда ресурсов, связанных с криптовалютой и хостингом, в том числе Escrow.com, Liquid.com, NiceHash.com, Bibox.com, Celsius.network и Wirex.app.
В настоящее время представители Cream Finance и PancakeSwap сообщают, что уже почти восстановили контроль над доменами, и для большинства пользователей посещение сайтов безопасно.
