PancakeSwap DNSハイジャック～2021年3月15日、その時何が起こったか～

こんにちは！ニナ（@_ninahaus_）🦆です。

3月15日、Crypto界隈の有名DeFiプラットフォーム、C.R.E.A.M. FinanceとPancakeSwapがDNSハイジャック被害にあいました。それぞれMediumにレポートをあげていたので紹介します。
※現在、問題は解決されています。

C.R.E.A.M. Financeの記事はこちら。

CREAM Finance DNSハイジャック～2021年3月15日、その時何が起こったか～ こんにちは！ニナ（@_ninahaus_）🦆です。 3月15日、Crypto界隈の有名DeFiプラットフォ...

PancakeSwapの報告

PancakeSwapがMediumに記事を出したのは3月19日です。
タイトルは『DNSインシデントの振り返り』

DNS Incident Recaphttps://t.co/CGf8hcddhP

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 19, 2021

 

 

以降は英語原文の記事を簡単に和意訳しつつ、補足を加えたものです。

導入

3月15日、PancakeSwapはGoDaddyアカウントへのアクセスおよびDNS（ドメインネームサーバー）のハイジャックを実現できた攻撃者のターゲットにされました。これは組織的な攻撃であり、C.R.E.A.M. Financeも同じ組織に攻撃されたことが使用されたIPアドレスなどを含むGoDaddyのイベントログで確認されています。

現在調査中ですが、攻撃者はPancakeSwapのドメイン登録業者であるGoDaddyを何らかの方法で欺いて我々のアカウントへのアクセスに成功しました。そしてPancakeSwapサイトのURLを偽サイトにリダイレクトし、ユーザーにウォレットのシードフレーズを入力させようとしました。

PancakeSwapのコントラクトは影響を受けていません。今回の攻撃はコントラクトを操作するための手段のひとつであるウェブサイトのフロントエンドのみに限られていました。

タイムライン

原文はUTC +8時間表記です。その後ろに本ブログ時間軸のCET(UTC +1)をカッコ付きで表記しています。青字表記は公式のMedium記事に私が付け足したもので、私の主観です。

 

3/15 21:10 (14:10) C.R.E.A.M Finance、DNSハイジャック

C.R.E.A.M FinanceがTwitterでDNSが乗っ取られたことを発表。

同様の問題が発生する可能性があるため、PancakeSwapシェフたちもDNSの調査を開始、厳戒態勢で状況を見守ることに。

Our DNS has been compromised by a third party; some users are seeing requests for seed phrase on https://t.co/Hr6S4Fqodo. DO NOT enter your seed phrase.

We will never ask you to submit any private key or seed phrases.

— Cream Finance 🍦 (@CreamdotFinance) March 15, 2021

 

3/15 22:22 (15:22) PancakeSwap サイトダウン

PancakeSwapテレグラム英語コミュニティにて、サイトにアクセスできなくなった旨の報告が上がり始めました。

私はBugsシェフにサイトのアイコンカラーに関する質問をしており、ちょうどこの時頻繁にサイトを更新していたので、サイトダウンにリアルタイムで気付きました。

他ユーザーから上がっていたサイトダウン報告と併せて事実確認をし、PancakeSwapコミュニティ管理メンバー（Chef、Admin）はこの件に集中することとなりました。

 

ちなみにこの時私のブラウザではPancakeSwapアクセス時に「エラー522」が出ていました。このあたりは全く詳しくないので、そのうち直るものだと思っていました。

3/15 22:27 (15:27) シェフ、サイトダウンをツイート

PancakeSwapのウェブサイトにアクセスできないことをHopsシェフがツイート。

≪補足≫
普段であれば発表前にざっと調査するところでしょうが、既にC.R.E.A.M.がドメイン乗っ取りをTwitterで報告していたため、おそらく同じ攻撃に遭っているいう想定の元、Hopsシェフは真っ先に「ユーザーに通知する」という選択をしました。後にDNSハイジャックである事が確定したことから考えるとこれは英断でした。

PancakeSwap’s FE is down, we are checking on it now.

You can still interact with all the contracts etc via @bscscan.

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 15, 2021

 

日本コミュニティ(なーちゃん(@crypto___baby)dicsord)では敏腕コンサルのぼのちん(@super_bonochin)さんがすかさず公式ツイートを共有し「フロントエンドのみのダウンであること」「資産は安全であること」を明記して日本ユーザーが落ち着けるように取り計らってくれました。

ちなみにこの時私のブラウザではPancakeSwapアクセス時に「エラー1016」が出ていました。

3/15 22:36 (15:33) DNSハイジャック被害が濃厚に

ウェブサイトにはアクセスできるようになりましたが、明らかに正規のルートではないことが確認できました。先述のDNSエラーが出た後https未使用になったのですから、もうこれはC.R.E.A.Mと同じ攻撃に遭っているのでは？と推測できました。

3/15 22:36 (15:36) シェフ、DNSハイジャック疑惑をツイート

PancakeSwapが、C.R.E.A.M.と同じくDNSハイジャックされた可能性をツイート。この時点ではまだDNSハイジャックは推測であり確証はありませんでしたが、シェフたちはユーザーを危険に晒さないことを第一とし、まず「PancakeSwapウェブサイトを利用しないで」と警告する決定をしました。ツイートと同時にHopsシェフが各テレグラムグループAdminメンバに本件を広く拡散するよう指示し、この情報は瞬く間に広がりました。

There is a chance we have been DNS hijacked, the same as @CreamdotFinance.

Until we are able to confirm this is not the case, do not use the site.

We will confirm ASAP.

In the meantime, better safe than sorry.

Please retweet for visibility! https://t.co/keLsiPFcOh

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 15, 2021

3/15 22:38 (15:38) シードフレーズウィンドウを確認

PancakeSwapサイトにアクセスするとウォレットのシードフレーズを尋ねるウィンドウがポップすることが確認されました。

3/15 22:42 (15:42) シェフ、DNSハイジャック確定ツイート

PancakeSwapのDNSが乗っ取られたと断定。シェフたちが解決に乗り出しました。
ユーザーの混乱が混乱を呼ぶことを防ぐため、PancakeSwap各コミュニティはミュートされました。

This is now confirmed.

DO NOT go to the Pancakeswap site until we confirm it is all clear.

NEVER EVER input your seed phrase or private keys on a website.

We are working on recovery now.

Sorry for the trouble. https://t.co/JN7TXlo9od

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 15, 2021

3/15 22:45 (15:45) シェフ、他サイトにリンク削除依頼

PancakeSwapへのリンクを貼っているサイトはたくさんありますが、本問題がある間はそれらが全て偽サイトへの入り口となります。シェフはCoinGeckoやCoinMarketCapなどの情報サービスプロバイダーに連絡を取り、可能な限りPancakeSwapへのリンクを削除したり、サイトに警告文を追加したりする依頼をしました。

3/15 22:48 (15:48) CZがDNSハイジャックについてツイート

Binance CEOのCZも本件に反応しました。

A number of DeFi projects are under DNS hijack attack. Pancake, Cream, etc. Please be VERY VERY careful and not use them until they recover the situation. Please also help spread the awareness. https://t.co/rG8Ad77nYF

— CZ 🔶 Binance (@cz_binance) March 15, 2021

 

PancakeSwapテレグラム日本コミュは非常に静かだったのですが、お知らせメッセージが流れてしまうことを危惧してひとまずミュートされました。

 

3/15 22:50 (15:50) シェフ、バックアップドメインを準備

PancakeSwapはバックアップドメインとして「https://pancakeswap.ai」を購入し、ウェブサイトをそのドメインにデプロイする準備を始めました。
＃これはあくまで一時的なドメインであって永続するものではないようですが、UIを通して本家PancakeSwapサイトと同じ操作でコントラクトにアクセスできます。

3/15 22:57 (15:57) ユーザーの不安が噴出

このあたりでユーザーから不安の声がどんどん出始めました。ウェブサイトダウンだけならまだしも、PancakeSwapサイトがウォレットのシードフレーズを訊いてくる。この異様な挙動から、ウェブ技術に明るくない人でもPancakeSwapが誰か悪意のある第三者に乗っ取られていることは明らかに分かります。

「攻撃対象はフロントエンドだけだから大丈夫」「コントラクトは無事」と言われても、一般ユーザーはそのフロントエンドを介してコントラクトにアクセスしているわけですから資産の安全性について不安が募るのも無理はありません。

「コントラクトrevoke方法を案内すべきか」「ユーザーはスマートコントラクトを直叩きしてPool/Farmからトークンを取り出しておくべきか」という話はAdmin間でも出ました。今回はフロントエンドのみへの攻撃だからそれらは不要だろう、というのが多数の見解でしたが、この時点では「本当にDNSハイジャックだけで終わるか」は分かりませんでした。

そのため私は独断と偏見でdicsord日本コミュニティにEmergencyWithdrawへのリンクとpidーLPトークンの対応表を貼りました。ただ貼っただけでなく、私はこの時念のためにCAKE PoolとメインFarmからトークンを全て引き上げました。

≪中略≫

 

この時Bugsシェフがdiscord日本コミュを気にしていたので、そちらも共有。

3/15 23:00 (16:00) シェフがDNS復旧に着手

シェフたちがDNSの復旧作業を開始。

3/15 23:01 (16:01) おや、日本コミュの様子が…？

日本ユーザーは終始非常に冷静だったので火消しに走る必要なんてまったくありませんでした。むしろこの件で皆普通に「投資家」なんだなと感心しました。
普段「ｷﾃｨﾙ！」とか「パンケーキ焼くよ🥞」とかしか言わないのに…。

 

3/16 00:03 (17:03) シェフ、DNSフルアクセス権を掌握

シェフがDNSへのアクセス権を全て掌握。
設定内容をDNSハイジャック前のものに復旧しました。

We have regained access to the DNS.

Some users might still be affected, depending on their DNS resolution as some propagation time may be needed.

Will send another update shortly.

Thanks for waiting.

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 15, 2021

 

3/16 00:30 (3/15 17:30) C.R.E.A.M.の支援

C.R.E.A.M.をBinanceに接続し、サービスの復旧を支援。

 

3/16 01:05 (18:05) テレグラム日本コミュ、アンミュート

テレグラム日本コミュを念のためミュートしていたのを解除しました。日本時間は既に深夜2時をまわっていたので誰も来ないかと思いましたが、皆しっかり起きていました。

日本コミュはいつも暖かいね…。

3/16 06:00 (3/15 23:00) IPFSバックアップ

IPFSのバックアップを展開。

 

3/17 00:49 (3/16 17:49) DNSハイジャック被害、完全復旧

PancakeSwapのDNSは完全に伝播され、すべてのユーザーにとって正常状態に復旧。

(1/3) We just got confirmation that the DNS had fully propagated and we are back!

It’s been a long 24 hours, but trading and farming never stopped!

We’re reaching out to all of the sites that helped up to add notes or alerts etc and they should be removed shortly. pic.twitter.com/mPfoFrQHPA

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 16, 2021

3/17 10:01 (03:01) メタマスクの警告画面を撤去依頼

PancakeSwapサイトが完全に復旧したので、フィッシング詐欺の警告画面を削除するようHarry.eth(@sniko_)さんがMetaMaskにプルリクエストを出してくれました。

PancakeSwapユーザーは何か心配すべき？

攻撃者はユーザーにシードフレーズの入力を要求する素朴なフィッシング攻撃を行いました。偽サイトでシードフレーズを入力していなければ、何も心配する必要はありません。

なぜこのようなことが起こったのか？

まだ調査中ですが、PancakeSwapへの攻撃はC.R.E.A.M攻撃と非常によく似ています。攻撃者はソーシャルエンジニアリングによってGoDaddyのカスタマーサービスを経由して我々のGoDaddyアカウントに侵入したと思われます。このようなセキュリティの欠如は、GoDaddyにとって珍しいことではないことは明らかです。
参照：GoDaddy Employees Used in Attacks on Multiple Cryptocurrency Services

 

 

再発防止策は？

最も安全にドメインを管理するため、PancakeSwapはGoDaddyからMarkMonitorに移行しています。また、緊急時にもサイトにアクセスできるよう、IPFS上およびIPFS外に複数のバックアップドメインを維持しています。
PancakeSwapシェフチームが所有する全てのアカウントに最高レベルのセキュリティ設定を施し、サービスにアクセスする際のセキュリティ設定を全体的に改善しました。
（レガシーTLSプロトコルの削除、pancakeswap.financeドメインではメールスプーフィングができないことの確認、DNSSEC）

被害を受けたユーザーは？

幸いなことに、これまでのところ本攻撃によってユーザーが損失を被ったという報告は確認されていません。

シードフレーズを偽サイトに入力し攻撃者に資金を盗まれたという証拠がある場合は、法執行機関に直接報告し、Binanceや他のBSC対応の取引所で盗まれた資金の受取アドレスをブラックリスト化するようフォローアップすることをお勧めします。

我々は、我々を助けるために連絡を取ってくれたすべての人々、そして本件の間、コミュニティが忍耐強くサポートしてくれたことに大きな感謝を捧げたいと思います。ご迷惑をおかけしましたことをお詫び申し上げますとともに、ご理解をお願いいたします。

ありがとうございました。🐰

 

 

本件に関する他プロジェクトの反応

Crypto界隈は「テクノロジーの進歩のため手を取り合いましょう」といったスタンスのプロジェクトが多いですが、同分野のプロジェクトは当然競合なわけで、こういった事件時に人間性が出ます。

特にPancakeSwapはBSCにおいて圧倒的トップですから、それを良く思わないプロジェクトもいるわけで…。discord日本コミュで他プロジェクトの反応が話題になっていたので私も調べてみました。

 

ApeSwap：営業

Hey #BSC traders!

While Pancake is incurring some downtime, please feel free to use ApeSwap’s DEX to continue trading at https://t.co/bnA0Cxjf5Q 🐵

If any yield farms are affected by this, please reach out and we can set you up on ApeSwap!

Stay safe out there everyone ❤️ https://t.co/BLK8QbgUcX

— ApeSwap (@ape_swap) March 15, 2021

 

Beefy Finance：応援メッセージ＋Syrup Pool参加

Hi moofamily, @PancakeSwap @CreamdotFinance and others are experiencing DNS hijacking attacks. DONT PUT YOUR SEED PHRASE in any of this sites, and as a rule don’t ever put it anywhere. Please spread the word to prevent others from getting hacked https://t.co/bgRxavVGlT

— beefy.finance (@beefyfinance) March 15, 2021

 

この翌日PancakeSwapはBeefy FinanceのPool実装投票を行い、それが可決されたため3/17、PancakeSwapにてBeefy Poolがオープンしました。もともと計画されていたものなのか、Beefyが何か申し出たのかは分かりません。

The @beefyfinance farm and Syrup Pool are live!

Stake $CAKE 🥞, earn $BIFI 🐮

👉 https://t.co/dbSBlaaHP3 pic.twitter.com/GZZT9Ui1Rm

— PancakeSwap 🥞 #BSC (@PancakeSwap) March 17, 2021

Swamp Finance：応援メッセージ＋Farm追加＋CAKE GiveAway

We know how it feels when page is not working. Support Pancake and stay safe.@PancakeSwap #SwampFinance #BSC #BinanceSmartChain $CAKE $BNB $SWAMP pic.twitter.com/JLB9R6RKMd

— Swamp.finance (@SwampFinance) March 15, 2021

 

Website is down. Your funds are SAFU. Dev team is working on the issue. Please keep calm

— Swamp.finance (@SwampFinance) March 14, 2021

同日中に5種のCAKE-LP Farmを実装。こちらもDNSハイジャック以前から計画されていたのか、被害にあったPancakeSwap応援のため入れたのかは分かりません。

☢️ New vaults in the SWAMP ☢️

We are launching new @PancakeSwap vaults:

🔒 BELT / BNB LP
🔒 BMXX / BNB LP
🔒 BUX / BNB LP
🔒 DEXE / BUSD LP
🔒 NULS / BUSD LP

➞ Stake on: https://t.co/FupOqTgyLc#BSC #BinanceSmartChain $BNB $SWAMP #PancakeSwap pic.twitter.com/SUClBBffst

— Swamp.finance (@SwampFinance) March 15, 2021

翌16日にはCAKEのギブアウェイを行いました。

☢️ $300 #CAKE giveaway! ☢️

We will choose 5 winners that share $300 in $CAKE tokens!

To participate:
Follow @SwampFinance & @PancakeSwap
Like & Retweet
Tag 3 Friends

➞ Stake on: https://t.co/k0rY5IBCjj#BSC #BinanceSmartChain $BNB $SWAMP @BinanceChain @cz_binance @binance pic.twitter.com/vlQYAcaYRJ

— Swamp.finance (@SwampFinance) March 16, 2021

 

Goose Finance：RTで注意喚起拡散

Goose Financeは「PancakeSwapがDNSハイジャックに遭った可能性がある」というツイートのみリツイート。

Panda Yield：RTで注意喚起拡散

Panda Yieldは「PancakeSwapがDNSハイジャックに遭った可能性がある」「PancakeSwapのDNSハイジャックが確定したことに対するCZの反応」ツイートのみリツイート。

Kebab Finance：言及無し

 

今回の騒動を経て思うこと

PancakeSwapの対応について

騒動最中の情報の速さと透明さ◎

PancakeSwapのサイトダウンお知らせツイートからDNSハイジャック確定ツイートまではわずか20分でした。その後もシェフはTwitterを頻繁に更新し、状況を共有することでユーザーの不安を軽減していたと思います。このあたりはさすがユーザーからの信頼厚いシェフの経営手腕です。

DNSハイジャックレポートがやや不明瞭・専門的で分かりづらい

まだ調査中であるため公開する情報を絞っているのかもしれませんが、PancakeSwapがレジストラの認証情報をどう扱っていたのか、騒動最中にドメイン管理システムに何が起きていたのかなどはあまり見えませんでした。その点はC.R.E.A.M. Financeのほうが詳細に報告していましたね。
またレポートにはセキュリティ関係のIT用語が多く並んでおり、そちらに明るくない人には伝わりづらい点も多々あると思われます。

 

全体を通してユーザーはシェフたちの働きを高く評価していました。その証拠にCAKE価格もほとんど下がりませんでした。

 

今後の心配

この項目は DNSハイジャックの勉強をした後、大きく編集しました。

【DNSって？】DNSハイジャックとキャッシュポイズニングについて調べてみた【サイバー攻撃】 こんにちは！ニナ（@_ninahaus_）🦆です。 昨日、C.R.E.A.M. FinanceとPanca...

 

 

これは人間不信なアヒルの考えすぎだったら良いし、皆を不安にさせたいわけではないのですが…

今回の攻撃者の犯行はちょっと杜撰でした。

DNSハイジャックの王道は「ユーザーに知られず本物そっくりの偽のサイトに誘導して、本物サイトでの操作をさせて情報やモノを盗む」です。今回の場合は「https無効」「ウォレットのシードフレーズを訊く」という本物ではあり得ない挙動をするサイトに誘導しており、多くのユーザーがサイトにアクセスした時点で違和感を抱くことになりました。このおかげで被害が大きくならなかったと思います。

残念ながらこのような攻撃は今後も起こり得るし、起こった場合、犯行手口はより巧妙になってくるでしょう。今回の件でC.R.E.A.M. FinanceとPancakeSwapがセキュリティを改善したのと同じように、攻撃者側も攻撃手法を磨いてくるはずだからです。

C.R.E.A.M. FinanceとPancakeSwapには「ドメイン管理をGoDaddyで行っている」という共通項がありました。C.R.E.A.M. FinanceのMedium記事に「犯人はログインパスワードリセットを試みた」とあるため、ログインID・パスワードが初めから流出していたわけではありません。そうすると「ログイン認証情報が漏れていた2つのプロジェクトが同時に攻撃された」わけではなく、「GoDaddyのログインシステムには何らかの脆弱性があり、GoDaddyを利用していた両者がターゲットにされた」と考えるほうが自然です。

GoDaddyが本件の調査に本腰を入れて脆弱性を修正しない限り、GoDaddy経由でドメイン登録していて、かつ、セキュリティリテラシーが高くないプロジェクトは今後もDNSハイジャックされる危険に晒されます。プロジェクトのセキュリティ意識の「高さ」は実施対策から伺えますが、逆の「低さ」は見えづらく判断しづらいです。その場合ユーザーのとれる自衛策は「プロジェクトのWhois情報をチェックして、GoDaddy利用の場合は投資しない」くらいでしょうか…。

個人的な興味ですが、今回のC.R.E.A.M. Finance、PancakeSwap DNSハイジャック事件の後で「セキュリティ強化のお知らせ」を出すBSCプロジェクトがどれだけあるかウォッチしたいと思います。見つけた場合はぜひ教えてください！

https://ninahaus.com/2021/03/20/cream-finance-dns-hijack/