HTT:从项目方及用户角度，简析 DNS 被劫持的根本原因

作者：

时间：1900/1/1 0:00:00

DNSHijacking(劫持)大家应该都耳濡目染了，历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的@CurveFinance，十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因，更重要的是如何防御，我这里做个简单分享：

DNS可以让我们访问目标域名时找到对应的IP：vxhuang33868

Domain->IP_REAL

如果这种指向关系被攻击者替换了：

Domain->IP_BAD(攻击者控制)微博小新投资笔记

美SEC主席拒绝透露SEC是否或何时可能对Ripple的判决提出上诉:金色财经报道，美国证券交易委员会主席Gary Gensler拒绝透露该机构是否会对上周针对 Ripple Labs 的执法案件中的分歧决定提出上诉，也拒绝透露该委员会做出上诉决定的时间表。但他在出席参议院拨款委员会听证会后对记者发表讲话时，回应了联邦法官简易判决中的部分内容。

Gensler表示，Howey分析是有关机构投资者的部分裁决，适用于机构销售，我们对此表示赞同，与Howey对零售销售的分析相关性较小，仍会进行研究。

Gensler还拒绝评论Ripple的裁决是否会导致委员会暂停与其他加密货币公司的诉讼，直到上诉得到解决。[2023/7/20 11:06:08]

那这个IP_BAD所在服务器响应的内容，攻击者就可以任意伪造了。最终对于用户来说，在浏览器里目标域名下的任何内容都可能有问题。DNS劫持其实分为好几种可能性，比如常见的有两大类：

COMP价格上涨超21%:金色财经报道，Compound(COMP)的价格截至撰稿时，价格为79.46美元，上涨了21%以上。COMP本周上涨+52.20%。除此之外，COMP的月度表现也引人注目，因为该币的价格在过去30天内上涨了192.92%。截至撰稿，COMP兑BTC上涨24.08%，兑ETH上涨24.11%。COMP目前的市值为619,387,547美元。[2023/7/16 10:58:23]

1.域名控制台被黑，攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD)，或者直接修改Nameservers为攻击者控制的DNS服务器；

美联储埃文斯：可以说美联储应该更早开始加息:9月29日消息，美联储埃文斯：通货膨胀太高了，可以说美联储应该更早开始加息。[2022/9/29 5:59:54]

2.在网络上做粗暴的中间人劫持，强制把目标域名指向IP_BAD。

第1点的劫持可以做到静默劫持，也就是用户浏览器那端不会有任何安全提示，因为此时HTTPS证书，攻击者是可以签发另一个合法的。

第2点的劫持，在域名采用HTTPS的情况下就没法静默劫持了，会出现HTTPS证书错误提示，但用户可以强制继续访问，除非目标域名配置了HSTS安全机制。

摩根士丹利策略师：经济衰退风险抑制美股上涨空间:8月1日消息，摩根士丹利Michael Wilson等策略师表示，随着美联储继续收紧政策，美国经济可能会陷入衰退，股市上涨的空间微乎其微，盈利可能出现弱于预期的情况。债券市场在假设美联储将控制住通胀，这对固定收益市场有利，但对股市不利，因为随之付出的“代价可能比正常情况更重”，比如经济衰退。（财联社）[2022/8/1 2:51:21]

重点强调下：如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况)，及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity)，那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛，一定要警惕。

对于项目方来说，除了对自己的域名HTTPS+HSTS配置完备之外，可以常规做如下安全检查：

1.检查域名相关DNS记录(A及NS)是否正常；

2.检查域名在浏览器里的证书显示是否是自己配置的；

3.检查域名管理的相关平台是否开启了双因素认证；

4.检查Web服务请求日志及相关日志是否正常。

对于用户来说，防御要点好几条，我一一讲解下。

对于关键域名，坚决不以HTTP形式访问，

而应该始终HTTPS形式

如果HTTPS形式，浏览器有HTTPS证书报错，那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。

对于静默劫持的情况，不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等，其实站在用户角度来看，最终的体现都一样。浏览器侧不会有任何异常，直到有用户的资产被盗才可能发现。

那么这种情况下用户如何防御呢？用户除了保持每一步操作的警惕外。