EasyDNS hat bestätigt, dass ein Sicherheitsversagen innerhalb seiner eigenen Systeme es einem Social-Engineering-Angreifer ermöglichte, kurzzeitig die Kontrolle über eth.limo zu erlangen, ein primäres Gateway für den Ethereum Name Service.
Der Vorfall ereignete sich am Freitag, als ein Angreifer erfolgreich ein eth.limo-Teammitglied imitierte, um einen Kontowiederherstellungsprozess einzuleiten und so die Berechtigung zu erlangen, Nameserver-Einträge zu ändern und die Domain zu Cloudflare umzuleiten.
Das eth.limo-Team erklärte in einem am Samstag veröffentlichten Post-Mortem-Bericht, dass sie die Community und prominente Persönlichkeiten wie Ethereum-Mitbegründer Vitalik Buterin sofort benachrichtigten, als das DNS-Hijacking identifiziert wurde.
Als Brücke für etwa 2 Millionen dezentrale Websites ist eth.limo ein hochriskantes Ziel, da eine erfolgreiche Kompromittierung Hackern ermöglichen könnte, Nutzer auf bösartige Seiten umzuleiten. Buterin selbst gab am Freitag eine dringende Warnung heraus und riet seinen Lesern, seinen Blog zu meiden, bis das Team den sicheren Betrieb wiederherstellen konnte.
EasyDNS-CEO Mark Jeftovic bemerkte, dass die Präsenz der Domain Name System Security Extension (DNSSEC) eine entscheidende Rolle dabei spielte, den Angreifer daran zu hindern, weiteren Schaden anzurichten.
Da dem Hacker die notwendigen kryptografischen Signaturschlüssel fehlten, lehnten moderne DNS-fähige Resolver die gefälschten Antworten ab, was dazu führte, dass Nutzer Fehlermeldungen sahen, anstatt auf Phishing-Seiten geleitet zu werden.
„Wir haben es vermasselt und wir stehen dazu“, erklärte Jeftovic am Samstag und räumte ein, dass dies der erste erfolgreiche Social-Engineering-Angriff in der 28-jährigen Geschichte des Anbieters war.
Die eth.limo-Entwickler hoben in ihrem eigenen Bericht hervor, dass diese Schutzmaßnahmen wahrscheinlich den „Explosionsradius“ des Hijackings reduzierten. Während der Dienst gestört war, ist dem Team derzeit keine bestätigte Nutzerbeeinträchtigung oder Geldverluste bekannt.
Jeftovic fügte hinzu, dass eth.limo nun auf Domainsure migriert wird, eine Unternehmensplattform, die keinen manuellen Kontowiederherstellungsmechanismus anbietet und damit die in diesem Angriff ausgenutzte Sicherheitslücke effektiv schließt.
Der jüngste Vorfall ist einer von vielen Infrastrukturangriffen, die den Krypto-Sektor in letzter Zeit getroffen haben. Nur wenige Tage zuvor, am 14. April, verlor der dezentrale Börsenaggregator CoW Swap für mehrere Stunden die Kontrolle über seine Domain, nachdem ein ähnlicher Social-Engineering-Angriff gegen die .fi-Registry stattgefunden hatte, was zu einem geschätzten Verlust von 1,2 Millionen US-Dollar für betroffene Nutzer führte.
