Gli utenti di OpenEden rischiano di perdere i propri asset a causa di un attacco DNS che dirotta i portali

OpenEden ha fatto notizia oggi, 16 febbraio, quando la consolidata piattaforma di gestione patrimoniale tokenizzata ha annunciato che degli aggressori avevano compromesso il Domain Name System (DNS) sia del suo sito web principale che del portale utente, creando una minaccia immediata alla sicurezza del portafoglio per chiunque tentasse di accedere alla piattaforma tramite normali browser web.

"Sembra che il DNS di openeden.com e portal.openeden.com sia stato compromesso. NON interagite con questi siti", ha scritto l'azienda sul suo accountX. 

L'avviso sottolineava che, sebbene "tutti gli asset di riserva rimangano al sicuro e possano essere verificati tramite di OpenEden Chainlink il feed Proof-of-Reserve", gli utenti che visitano i domini compromessi rischiano di perdere gli asset del proprio portafoglio. 

Il team di OpenEden ha dichiarato che sta attualmente indagando sulla violazione e ha promesso di fornire aggiornamenti man mano che la situazione si evolve.

Un duro colpo per un attore chiave nel settore delle criptovalute

La violazione del DNS ha destato molta preoccupazione, soprattutto considerando il ruolo di OpenEden come importante custode istituzionale di asset reali tokenizzati. La società è stata fondata nel 2022 e opera come emittente di buoni del Tesoro statunitensi tokenizzati attraverso il suo token di punta TBILL, che fornisce agli investitori accesso diretto a buoni del Tesoro tokenizzati garantiti da titoli corrispondenti detenuti in conti segregati.

La piattaforma è cresciuta fino a diventare un attore chiave nel settore delle criptovalute ed è diventata il primo emittente di RWA tokenizzati a ricevere rating A dagli analisti finanziari (A da Moody's e AA+ da S&P Global Ratings) per il suo fondo di tesoreria. 

Con un'impronta industriale così ampia (al servizio di investitori professionisti, tesorerie DAO e altre aziende), la compromissione del DNS crea rischi per gli utenti DeFi , ma soprattutto per i partecipanti al mercato più grandi che danno per scontato che le piattaforme di livello istituzionale dispongano di una sicurezza di livello aziendale a protezione dei loro punti di accesso web.

Come è avvenuto l'attacco DNS?

Gli attacchi di DNS hijacking agiscono compromettendo il sistema di indirizzamento di Internet. Il Domain Name System funziona come l'elenco telefonico di Internet, traducendo nomi di dominio leggibili dall'uomo come "openeden.com" in indirizzi IP numerici che i computer utilizzano per instradare il traffico. 

Pertanto, quando gli aggressori dirottano i record di un dominio, possono reindirizzare i visitatori verso siti dannosi senza toccare l'infrastruttura della piattaforma originale.

Nel caso di OpenEden, gli utenti che digitavano "openeden.com" o "portal.openeden.com" nei loro browser venivano reindirizzati ai server di proprietà degli aggressori che ospitavano versioni false della piattaforma originale. 

Questi siti falsi replicano l'interfaccia originale pixel per pixel, chiedendo poi agli utenti di connettere i propri wallet. Dopo la connessione, il sito dannoso può richiedere firme di transazione che appaiono sul sito web come normali interazioni, ma che in realtà autorizzano trasferimenti di token ai wallet degli aggressori.

Fortunatamente, questo aggressore operadentdagli smarttrace dai sistemi di custodia delle riserve di OpenEden. I token TBILL e USDO della piattaforma rimangono al sicuro nei rispettivi caveau e tutti gli asset di riserva che supportano tali token continuano a essere verificabili tramite gli oracoli Proof of Reserve di Chainlink. 

Ciò significa che l'attacco DNS crea rischi solo per gli utenti che visitano i domini dirottati e interagiscono con l'interfaccia di phishing, costringendo OpenEden ad annunciare un avviso a tutti gli utenti affinché smettano di interagire con il loro sito web.

L'ultimo di una serie di attacchi DNS che prendono di mira le piattaforme crittografiche

L'incidente di OpenEdendent inserisce in un preoccupante schema di dirottamenti DNS mirati alle piattaforme di criptovalute. Nel novembre 2025, Aerodrome Finance (il più grande exchange decentralizzato su Coinbase) è stato dirottato da hackerche hanno preso il controllo della registrazione del dominio della piattaforma per reindirizzare il traffico verso un sito falso. 

Gli smarttracdi Aerodrome sono rimasti intatti, ma il sito di phishing è riuscito a ingannare gli utenti ignari inducendoli a firmare approvazioni di transazioni che hanno prosciugato i portafogli di ETH, USDC e vari altri token.

Analogamente, Curve Finance ha subito un attacco di dirottamento DNS nel maggio 2025, quando gli aggressori si sono infiltrati nel registrar di domini "iwantmyname" e hanno modificato la delega DNS per il dominio "curve.fi". 

Naturalmente, gli utenti sono stati reindirizzati ad altri siti, ma il team di Curve ha risposto migrando verso un dominio alternativo sicuro e invitando gli utenti ad accedere alla piattaforma tramite mirror Ethereum Name Service (ENS) anziché tramite il tradizionale DNS.

Gli attacchi DNS funzionano bene soprattutto per le piattaforme crittografiche, perché gli utenti devono collegare i portafogli e firmare le transazioni frequentemente, il che crea diverse opportunità per i siti di phishing di prenderli di mira. 

OpenEden non ha rivelato in che modo gli aggressori abbiano ottenuto il controllo dei suoi record DNS o quale registrar gestisca i suoi domini, poiché le indagini sono ancora in corso. 

Tuttavia, la piattaforma non ha fornito una tempistica per il ripristino dell'accesso sicuro ai propri domini. Nel frattempo, gli utenti che desiderano verificare le riserve possono accedere direttamente alla Proof of Reserve di Chainlink per informazioni in tempo reale sugli asset collegati a OpenEden.