Das Ethereum Name Service Gateway eth.limo wurde am Freitagabend kurzzeitig bei seinem Domain-Registrar durch einen Social-Engineering-Angriff gekapert, teilte das Projekt in einem am Samstag veröffentlichten Post-Mortem-Bericht mit.
Am 17. April um 19:07 Uhr EDT gab sich ein Angreifer als eth.limo-Teammitglied aus, um den Registrar EasyDNS dazu zu bringen, einen Konto-Wiederherstellungsprozess durchzuführen, so der Post-Mortem-Bericht und ein separater Blog-Beitrag von EasyDNS CEO Mark Jeftovic.
Der Angreifer stellte die Nameserver von eth.limo am 18. April um 2:23 Uhr EDT auf Cloudflare um, was automatische Ausfallwarnungen auslöste, die das eth.limo-Team weckten. Die Nameserver wurden dann um 3:57 Uhr EDT erneut auf Namecheap umgestellt, bevor EasyDNS den Kontozugriff des Teams um 7:49 Uhr EDT wiederherstellte, gemäß der Zeitachse.
eth.limo ist ein kostenloser, quelloffener Reverse-Proxy, der es Benutzern ermöglicht, ENS-verknüpfte Inhalte, die auf IPFS, Arweave oder Swarm gehostet werden, über einen Standardbrowser zu erreichen, indem sie jedem .eth-Namen „.limo“ anhängen. Sein Wildcard-DNS-Eintrag unter *.eth.limo umfasst laut EasyDNS-Angaben etwa 2 Millionen über ENS registrierte .eth-Domains.
Eine erfolgreiche Kaperung dieser Wildcard hätte es dem Angreifer ermöglicht, den Datenverkehr für jede über das Gateway aufgerufene .eth-Seite, einschließlich des persönlichen Blogs von Ethereum-Mitbegründer Vitalik Buterin unter vitalik.eth.limo, auf Phishing-Infrastruktur umzuleiten.
„Im Namen aller hier entschuldige ich mich beim eth.limo-Team und der gesamten Ethereum-Community“, schrieb Jeftovic. „ENS hatte schon immer einen besonderen Platz in unserem Herzen, als erster Registrar, der die ENS-Verknüpfung mit Web2-Domains ermöglichte, und wir sind seit 2017 in diesem Bereich tätig.“
Was dieses Ergebnis verhinderte, so beide Teams, war DNSSEC. Der Standard signiert DNS-Einträge kryptografisch, sodass validierende Resolver nicht signierte oder falsch signierte Antworten ablehnen können.
Da der Angreifer die Signierschlüssel von eth.limo nie erlangte, brach die Vertrauenskette, als Resolver die neuen Nameserver-Antworten des Angreifers mit dem legitimen, noch aus der übergeordneten Zone zwischengespeicherten DS-Eintrag überprüften. Die Resolver gaben SERVFAIL-Fehler anstelle der böswilligen Antworten zurück, so eth.limo.
„DNSSEC hat den Aktionsradius der Kaperung wahrscheinlich reduziert. Wir sind uns derzeit keiner Benutzerbeeinträchtigung bewusst“, schrieb das eth.limo-Team.
Buterin, der Nutzer am Freitag gewarnt hatte, alle eth.limo-URLs zu meiden und sie direkt auf IPFS verwiesen hatte, bestätigte am Samstag, dass die Situation „jetzt alles gelöst“ sei.
In seinem Blog-Beitrag mit dem Titel „Wir haben es vermasselt und wir stehen dazu“ sagte Jeftovic, der Vorfall sei der erste erfolgreiche Social-Engineering-Angriff gegen einen EasyDNS-Kunden in der 28-jährigen Geschichte des Unternehmens gewesen, und dass keine anderen Kunden betroffen waren.
Jeftovic sagte, eth.limo werde zu Domainsure migriert, einem mit EasyDNS verbundenen Dienst, der auf Unternehmens- und Fintech-Kunden abzielt und keinen Kontowiederherstellungsmechanismus bietet. Er lehnte es ab, genau zu erläutern, wie der Angreifer den Support-Prozess täuschte, unter Verweis auf eine laufende interne Post-Mortem-Analyse.
Der Vorfall ist der jüngste in einer Reihe von Kompromittierungen auf Registrar-Ebene, die auf Krypto-Frontends abzielen, deren zugrunde liegende Smart Contracts dezentralisiert sind, deren benutzerseitige Domains jedoch nicht.
Im November entzogen DNS-Hijacks der dezentralen Börsen Aerodrome und Velodrome den Nutzern mehr als 700.000 US-Dollar, nachdem Angreifer ein Konto beim Registrar NameSilo kompromittiert und DNSSEC von den betroffenen Domains entfernt hatten.
Das auf Stablecoins fokussierte Protokoll Steakhouse Financial meldete am 30. März einen ähnlichen Vorfall, nachdem OVH-Supportmitarbeiter durch Social Engineering dazu gebracht wurden, die Zwei-Faktor-Authentifizierung von ihrem Konto zu entfernen, was kurzzeitig die Bereitstellung eines Wallet Drainers von einer geklonten Website ermöglichte. Die Yield-Plattform Neutrl erlitt im März ebenfalls einen ähnlichen Vorfall.
Ironischerweise hatte eth.limo dem Aerodrome-Team während des Hijacks im November „Whiteglove“-Support geleistet, so ein ENS DAO Q4 2025 Update, wobei sein Gateway oft als dezentraler Ausweichpunkt der Wahl galt, wenn ein DeFi-Frontend ausfiel.
Buterin hat lange argumentiert, dass Ethereums Abhängigkeit von zentraler DNS-Auflösung eine Form des Vertrauensrückgangs darstellt, und erklärte im Januar 2026 zum Jahr, in dem Entwickler dies umkehren sollten, indem sie Benutzer zu direkten IPFS-Zugriffspfaden drängen. Dies ist derselbe Workaround, auf den er während des Vorfalls am Freitag hinwies, indem er seinen Followern sagte, sie könnten „meinen Blog direkt über IPFS überprüfen“, während das Gateway ausgefallen war.
Der Dienst von eth.limo ist laut Projekt wieder online und unter der Kontrolle des ursprünglichen Teams.
Disclaimer: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Krypto-Bereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Industrie zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.
© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder ist dafür bestimmt.
