Протокол Compound Finance вновь атакован через фронтенд: повторная угроза безопасности DeFi
Децентрализованный кредитный протокол Compound Finance вновь стал жертвой атаки на пользовательский интерфейс, что подчеркивает хроническую уязвимость платформы. По данным издания Protos, злоумышленники скомпрометировали веб-сайт протокола, перенаправляя пользователей на фишинговый ресурс для опустошения их кошельков. Этот инцидент, повторяющий атаку 2023 года, обнажает ключевую слабость экосистемы DeFi: даже при безопасных смарт-контрактах веб-интерфейсы остаются централизованной точкой отказа.
Атака, вероятно, являлась hijack'ом DNS или компрометацией хостинга. В таких случаях злоумышленники получают контроль над доменом или сервером, заменяя легитимный интерфейс мошенническим. Этот фальшивый фронтенд перехватывает взаимодействия пользователей, особенно подтверждения подключения кошельков и подписи транзакций. Ничего не подозревающие пользователи, подключившие свои MetaMask-кошельки, могут невольно разрешить вывод средств. Команда Compound оперативно отреагировала, предупредив сообщество через социальные сети не использовать официальный сайт до устранения угрозы.
Происшествие — суровое напоминание об угрозах из мира «web2», преследующих «web3». DeFi-протоколы гордятся децентрализацией, но точка входа — веб-сайт — часто централизована и зависит от традиционной инфраструктуры, создавая опасный разрыв. Эксперты настоятельно рекомендуют пользователям всегда использовать закладки для проверенных URL, тщательно проверять доменные имена на опечатки и применять расширения для браузера, блокирующие вредоносные сайты.
Повторяющиеся атаки на фронтенд Compound и других крупных протоколов ставят под сомнение их операционную безопасность. Это указывает на необходимость внедрения усиленных мер защиты: DNSSEC, блокировок на уровне регистратора и многофакторной аутентификации для всех сервисов хостинга и DNS. Без этого даже самые совершенные смарт-контракты остаются уязвимыми.
Для критических операций наиболее безопасной, хотя и менее удобной, альтернативой остается прямое взаимодействие со смарт-контрактами протокола через проверенные блок-эксплореры. Данный инцидент вновь подтверждает, что безопасность DeFi — это цепочка, и её самое слабое звено зачастую находится за пределами блокчейна.
