Das Ethereum Name Service Gateway eth.limo hat bekannt gegeben, dass die Domain-Entführung am Freitag durch einen Social-Engineering-Angriff auf EasyDNS, seinen Domain-Namen-Dienstanbieter, verursacht wurde.
Laut einem Postmortem-Bericht, den eth.limo am Samstag veröffentlichte, gab sich ein Angreifer als eines seiner Teammitglieder aus, um einen Kontowiederherstellungsprozess bei easyDNS einzuleiten. Dies gewährte ihm Zugang zum eth.limo-Konto und ermöglichte die Änderung der Domain-Einstellungen.
„Die NS-Einträge wurden geändert und auf Cloudflare umgeleitet… Sobald wir verstanden hatten, dass ein DNS-Hijacking stattgefunden hatte, informierten wir sofort die Community sowie Vitalik Buterin und andere. Wir begannen dann, EasyDNS zu kontaktieren, um auf den Vorfall zu reagieren“, sagte das Unternehmen.
Eth.limo dient als Web2-Brücke, die Zugang zu rund 2 Millionen dezentralen Webseiten unter Verwendung des .eth-Domainnamens bietet. Ein Hijacking des Dienstes könnte es einem Angreifer ermöglichen, Nutzer auf bösartige Webseiten umzuleiten. Ethereum-Mitbegründer Vitalik Buterin warnte Nutzer am Freitag, seinen Blog zu meiden, bis der Vorfall behoben sei.
Mark Jeftovic, CEO von easyDNS, hat in seinem eigenen Postmortem-Bericht öffentlich die Verantwortung für den Vorfall übernommen.
„Wir haben Mist gebaut und stehen dazu“, sagte Jeftovic am Samstag.
„Dies wäre der erste erfolgreiche Social-Engineering-Angriff auf einen easyDNS-Kunden in unserer 28-jährigen Geschichte. Es gab unzählige Versuche.“
Beide Unternehmen verwiesen auf die Domain Name System Security Extension (DNSSEC), die die Versuche des Hackers, weiteren Schaden anzurichten, vereitelt hat.
Der Angreifer konnte keine gültigen kryptografischen Signaturen vorlegen, sodass Domain Name System Resolver die gefälschten DNS-Antworten des Angreifers ablehnten. Dies führte dazu, dass Nutzer Fehlermeldungen sahen, anstatt auf bösartige Seiten umgeleitet zu werden.
„DNSSEC war für ihre Domain aktiviert. Als die Angreifer versuchten, ihre Nameserver zu ändern, vermutlich um eine Art Phishing- oder Malware-Injektionsangriff durchzuführen, begannen DNSSEC-fähige Resolver, die die meisten heutzutage sind, Anfragen abzulehnen“, sagte Jeftovic.
In seinem Postmortem-Bericht stellte eth.limo fest, dass der Angreifer, da er die Signierschlüssel nicht besaß, die Sicherheitsvorkehrungen nicht umgehen konnte, was wahrscheinlich „das Schadensausmaß des Hijackings reduzierte. Wir sind uns derzeit keiner Auswirkungen auf Nutzer bewusst. Wir werden Updates bereitstellen, falls sich dies ändert.“
Jeftovic beschrieb den Social-Engineering-Angriff als „hochgradig raffiniert“ und sagte, easyDNS führe immer noch eine Postmortem-Analyse durch, wie die Sicherheitsverletzung aufgetreten sei, und habe bereits begonnen, Änderungen einzuführen, um ein Wiederauftreten zu verhindern.
„Im Fall von eth.limo werden wir sie zu Domainsure migrieren, das eine Sicherheitshaltung aufweist, die besser für Unternehmens- und hochwertige Fintech-Domains geeignet ist. Kurz gesagt: Bei Domainsure gibt es keinen Mechanismus zur Kontowiederherstellung, das ist dort nicht vorgesehen“, fügte er hinzu.
„Im Namen aller hier entschuldige ich mich beim eth.limo-Team und der gesamten Ethereum-Community. ENS hatte schon immer einen besonderen Platz in unserem Herzen als erster Registrar, der die Verknüpfung von ENS mit Web2-Domains ermöglichte, und wir sind seit 2017 in diesem Bereich aktiv.“
Verwandt: RaveDAO weist Manipulationen zurück, während Binance und Bitget RAVE-Handelsaktivitäten untersuchen
Der eth.limo-Vorfall ist der jüngste in einer Reihe von Domain-Hijackings, die Krypto-Projekte betreffen. Tage zuvor verlor der Aggregator für dezentrale Börsen, CoW Swap, die Kontrolle über seine Webseite, nachdem eine unbekannte Partei seine Domain entführt hatte.
Steakhouse Financial, ein DeFi-Beratungs- und Forschungsunternehmen, gab Ende März ebenfalls bekannt, dass es die Kontrolle über seine Domain an einen Angreifer verloren hatte.
Magazin: Wird der CLARITY Act gut – oder schlecht – für DeFi sein?
