PancakeSwapのDNSハイジャックに関する見解が出たので考察する

パンケーキスワップ (PancakeSwap) が
自身で振り返る「DNSハイジャック」の
報告を出しました。

その解説と考察をしてみます。

DNS Incident Recap

はじめに、本記事の結論です。

・DNSハイジャック自体はパンケーキ運営が被害者
　→　DNS管理任せていた業者 GoDaddy の品質が粗悪だった
・しかし、そもそも粗悪なGoDaddy を選んだのは
　パンケーキ運営。ここは反省ポイントだろう
・一方で一連の対応について
　パンケーキ運営は総じてレベルが高いと思われる

----

「DNSハイジャック」のてんまつは、
私が以前書いた記事がありますので、
そちらを読んで頂いた方が理解がスムーズかもしれません。
(手前味噌ですみません)

一点お詫び。

上記の記事の中で今回の顛末は、
「パンケーキ運営のミスでは？」という
記述をしました。

これは明確な誤りです。

不確定なことを書いてはいけない。
今後改善します。
誤解させる表現をして申し訳ありません。

----

On March 15th, PancakeSwap was targeted by an attacker who managed to successfully gain access to our GoDaddy account and hijack our DNS (Domain Name Servers).

(超意訳)
・3月15日にパンケーキをホストしていた
　GoDaddy のアカウントが奪われた
・不正にGoDaddy の管理ページへログインされ、
　DNS を改竄（かいざん）されてしまった

GoDaddy とは？
米国に本拠地をおくホスティング事業者のようです。
日本語版のサイトがありますね。

DNS の機能もこのGoDaddy を利用して
運営していたようです。

自分の流儀で | GoDaddy JP

GoDaddy - Wikipedia

----

Simply put, while we’re still investigating, our current understanding is that the attacker managed to trick our domain registrar, GoDaddy, into giving them access to our account. They then redirected our site’s URL to a copycat site which tried to trick users into inputting their wallet’s seed phrase.

・攻撃者はGoDaddy を騙して
　管理アカウントへのアクセス権を得たと思われる

We’re still in the process of investigating, but the attack on PancakeSwap aligns very closely with the C.R.E.A.M attack: It is likely the attacker socially engineered their way into our GoDaddy account through GoDaddy customer service. It’s clear that this lack of security is not unusual for GoDaddy (see: GoDaddy Employees Used in Attacks on Multiple Cryptocurrency Services).

GoDaddy に対し、ソーシャルエンジニアリング的な
手法ですり抜けてしまったようです。

つまり、攻撃者が中の人の振りをしたら、
GoDaddy はそれに騙されて本物のパンケーキの人だと
思い込んでしまったということです。

それにより、DNS の設定権限を得てしまったものと
考えられます。

----

PancakeSwap’s contracts were not affected: the attack was limited only to the website front-end, which is just one way to interact with the contracts.

・本物のパンケーキには影響がなかった
・偽物は「見てくれ (front-end)」だけをコピーしたものだったから

偽物のサイトを閲覧する ... 被害なし
「シードフレーズ」を入れない ... 被害なし
「シードフレーズ」を入れてしまった  ...  アウト

----

A simple timeline of events (all times listed are UTC+8).

時系列の事実と、対応記録がありました。
ユニークな点をピックアップします。

22:27 — PancakeSwap website becomes inaccessible. Tweet
22:36 — PancakeSwap team tweets that there’s a possibility our DNS has also been hijacked. We believe it’s better to warn early and be wrong than put users at risk by waiting. Tweet
22:42 — We confirm that our DNS has been hijacked and immediately start to work on a solution. Tweet

・アクセスできなくなったことを確認 ... 22時27分
・DNSハイジャックと特定、行動開始　... 22時42分

その差、15分間なので原因特定から行動までが速いです。
それに追従して、情報発信(呟き) もできています。

・調査体制
・情報発信体制

が、キチンと整っている
チームという印象を受けました。

簡単なようにみえますが、
何が起こっているか分からない中で、

・情報を外部へ発信する

ことは勇気がいることです。

誤った情報を出してしまったら？
「訂正する」ことはとても大変なのです。

・調査精度の高さと速さ　＝　技術力の高さ
・情報発信の正確さと速さ　＝　チーム運営のレベルの高さ

と言い換えていいと思います。

----

22:45 — We start reaching out to as many information service providers as possible that link to PancakeSwap, such as CoinGecko, CoinMarketCap etc, to remove links to PancakeSwap where possible or/and add warning notes on their sites.

・情報提供プロバイダに可能な限り、
　今、パンケーキが危険であることを周知した

こういう関係各所への通知が迅速に行える発想を
チームが取れることはとてもポジティブです。

・思想的にユーザファーストである
・機転が利く人がチームにいる

障害が発生している現場は、
冷静さを失いやすいですものです。

----

今後の対策は？

What steps are we taking forward to prevent this from happening again?
We are migrating from GoDaddy to MarkMonitor to ensure that our domains are managed in the most secure manner.
We will maintain multiple backup domains, both on and off IPFS, to ensure that the site stays accessible in case of emergency.
We’ve ensured that every account owned by the PancakeSwap team has the highest security settings available, and improved our overall security settings when accessing our services (removed legacy TLS protocols, ensured email spoofing not possible with pancakeswap.finance domain, DNSSEC)

・DNS サービスを GoDaddy → MarkMonitor へ変更した
・バックアップドメインも用意した
・全体的にセキュリティを強化した

MarkMonitor も米国企業のようです。
1999年創業の老舗ということです。

MarkMonitor - Wikipedia

MarkMonitor も私は知らないので、
品質は... よく分かりません。

考察は以上です。
ありがとうございました。

----

最後に少し脱線しますが、
事件発生直後はTwitter で「ホワイトハッカー」説が
出ていました。

「シードフレーズ盗むという手法が
　簡単すぎるから」

ということでしたが、
これには私は技術者の観点で懐疑的でした。

なぜなら、このような「front-end コピー」は、

・実装が楽
・デプロイも楽

だからです。改変箇所はただ一つ。

・ウォレット接続処理で
　シードフレーズを求めるポップアップを差し込むだけ。

超低コストなのに、得られるリターンは最大だな、
と関心をしました。

なぜなら、シードフレーズ一つあれば、
パンケーキに限らない全資産を
差し抑えることが可能だからです。

加えるなら、このような「情弱手法」引っかかってしまう
人をターゲットにすることで、
犯人の追求がより困難となります。

なぜなら、被害者は知識が無いので、

・被害に気付いても資産退避ができない
　（何すればいいの...? となる) 
・そもそも資産を盗んだことに気付かれない可能性
・BSC Scan 等の使い方も知らず、
　加害者を特定する情報（送信先Address ) を
　情報発信できないかもしれない

などなど、攻撃者側はメリットしかないな、
という感想を持ちました。

----

この記事へのサポーター様のご紹介コーナー

note の「気に入ったらサポート」機能を使って
サポートを頂きました！

◎ヒヨコロ様

ヒヨコロ｜note