北京时间3月15日，DeFi 抵押借贷平台 Cream Finance （CREAM）在推特紧急发布通知：我们网站的 DNS 已被第三方攻破，一些用户会在官网上看到需要输入用户私钥的请求，请不要输入任何有关私钥和 seed phrase 的内容，我们绝不会要求用户提交任何与私钥或seed phrase 相关的内容。

无独有偶，币安交易所（Binance）上最大的去中心化加密货币交易所PancakeSwap也随后在其官方推特上发布了类似公告：我们平台的DNS可能已遭受劫持，在我们还没有确认是不是这种情况之前，请用户不要使用交易所，我们将尽快确认，请记住，安全胜过遗憾。

币安交易所（Binance）的首席执行官CZ针对上述问题也提出了严重警告：可能有许多DeFi项目已经遭受DNS劫持攻击，请用户务必小心谨慎，不要向任何人透露您的私钥和seed phrase。

如果不算尚未发现的DNS劫持事件，仅目前已知的Cream Finance 及PancakeSwap两起DNS劫持事件也可说明，这次黑客进行的是一次大范围的恶意攻击。

网安信针对Cream Finance DNS遭劫持的原因分析

1、根据Cream Finance官方推特公告及网安信相关威胁情报数据进行分析，网安信判断本次攻击事件是由于黑客控制了Cream Finance的DNS服务器，导致大量交易所用户受到影响。因为只有运营方的DNS服务器解析不正确才会导致像这种大量用户不可访问，或者被钓鱼的情况，如果只是本地DNS或路由器DNS指向出现问题，则只能对某些特定用户产生影响。

如果以上分析不能说明上述判断，且看以下两幅截图：

上图是Cream Finance 域名的whois公开信息，大家可以看到从创立之日起至2021年1月4日，Cream Finance一直都是使用Godaddy公司提供的DNS解析服务。

而上图是Cream Finance目前的DNS解析信息，大家可以看到Cream Finance 的DNS解析已经迁移到了Cloudflare公司。

要知道，作为重要的IT基础服务，一般企业的DNS服务器是不会随便进行迁移的，因此，以上两幅截图很明显的说明Cream Finance网站DNS肯定发生了重大安全事故。

2 、关于Godaddy 的DNS解析服务器的说明

Godaddy 作为被广泛使用的DNS解析提供商在业内具有一定知名度，拥有自己的安全标准和较强的运维能力，也就是说通过单纯的外部技术一般很难完全控制某个客户的DNS解析服务。如果发生了重大劫持事件，最大可能就是客户内部管理不严谨造成，如客户内部的钓鱼攻击、内部人员失控以及内部隔离失效等因素被黑客有机可乘。

3、关于新的Cloudflare的DNS解析服务的说明

Cloudflare作为安全服务提供商，在DNS解析服务方面提供的安全力度会比Godaddy 更大，将DNS解析服务器迁移到Cloudflare势必会提高企业DNS解析的安全强度，这让仅凭单纯的技术手段去控制客户DNS解析服务变得更加困难。

综上所述，网安信认为，造成本次安全事故的主要原因肯定不是单纯的外部技术手段攻击，而是Cream Finance内部安全管理不完善导致。本起安全事故直接导致很多钱包提供商把Cream Finance网站认定为危险网站禁止用户交易，但具体的用户损失还没有准确数据披露，网安信将会进一步观察和跟踪本起安全事件。

让DNS解析免遭劫持防护建议

Cream Finance网站DNS遭劫持事件告诉我们，安全事故往往是一件很小的疏忽造成的，因此，网安信建议在实际工作中，务必做好以下三点：1、制定严格的内部管理流程，对公司管理节点进行清晰的区域分割，对相关人员的权限进行分权管理，且随时根据公司的发展情况对管理节点进行定期更新维护。2、一定要选择可靠的DNS解析服务商进行合作。3、网站域名一定要安装HTTPS安全证书且保持更新。