La puerta de enlace (gateway) eth.limo de Ethereum Name Service fue brevemente secuestrada en su registrador de dominios el viernes por la noche mediante un ataque de ingeniería social, según informó el proyecto en un informe post-mortem publicado el sábado.
A las 7:07 p.m. EDT del 17 de abril, un atacante se hizo pasar por un miembro del equipo de eth.limo para engañar al registrador EasyDNS y que iniciara un proceso de recuperación de cuenta, según el informe post-mortem y una entrada de blog separada del CEO de EasyDNS, Mark Jeftovic.
El atacante cambió los servidores de nombres (nameservers) de eth.limo a Cloudflare a las 2:23 a.m. EDT del 18 de abril, lo que activó alertas automáticas de tiempo de inactividad que despertaron al equipo de eth.limo. Los servidores de nombres fueron cambiados de nuevo a Namecheap a las 3:57 a.m. EDT antes de que EasyDNS restaurara el acceso a la cuenta del equipo a las 7:49 a.m. EDT, según la cronología.
eth.limo es un proxy inverso gratuito y de código abierto que permite a los usuarios acceder a contenido vinculado a ENS alojado en IPFS, Arweave o Swarm a través de un navegador estándar, añadiendo ".limo" a cualquier nombre .eth. Su registro DNS comodín en *.eth.limo cubre aproximadamente 2 millones de dominios .eth registrados a través de ENS, según cifras citadas por EasyDNS.
Un secuestro exitoso de ese comodín habría permitido al atacante redirigir el tráfico de cualquier página .eth accedida a través de la puerta de enlace, incluido el blog personal del cofundador de Ethereum Vitalik Buterin en vitalik.eth.limo, hacia infraestructura de phishing.
"En nombre de todos aquí, pido disculpas al equipo de eth.limo y a la comunidad Ethereum en general", escribió Jeftovic. "ENS siempre ha tenido un lugar especial en nuestro corazón como el primer registrador en permitir la vinculación de ENS a dominios web2 y hemos estado involucrados en el espacio desde 2017."
Lo que evitó ese resultado, según ambos equipos, fue DNSSEC. El estándar firma criptográficamente los registros DNS para que los resolvedores de validación puedan rechazar respuestas no firmadas o firmadas incorrectamente.
Debido a que el atacante nunca obtuvo las claves de firma de eth.limo, la cadena de confianza se rompió cuando los resolvedores verificaron las nuevas respuestas del servidor de nombres del atacante contra el registro DS legítimo aún almacenado en caché de la zona padre. Los resolvedores devolvieron errores SERVFAIL en lugar de las respuestas maliciosas, según eth.limo.
"DNSSEC probablemente redujo el radio de impacto del secuestro. No tenemos conocimiento de ningún impacto en los usuarios en este momento", escribió el equipo de eth.limo.
Buterin, quien había advertido a los usuarios el viernes que evitaran todas las URL de eth.limo y los había dirigido directamente a IPFS, confirmó el sábado que la situación estaba "todo resuelto ahora".
En su entrada de blog, titulada "Metimos la pata y lo asumimos", Jeftovic dijo que el incidente marcó el primer ataque de ingeniería social exitoso contra un cliente de EasyDNS en los 28 años de historia de la empresa, y que ningún otro cliente se vio afectado.
Jeftovic dijo que eth.limo se migrará a Domainsure, un servicio afiliado a EasyDNS dirigido a clientes empresariales y fintech que no ofrece ningún mecanismo de recuperación de cuenta. Se negó a detallar exactamente cómo el atacante engañó el proceso de soporte, citando un post-mortem interno en curso.
El incidente es el más reciente en una serie constante de compromisos a nivel de registrador que apuntan a interfaces criptográficas cuyos contratos inteligentes subyacentes están descentralizados, pero cuyos dominios de cara al usuario no lo están.
En noviembre, los secuestros de DNS de los intercambios descentralizados Aerodrome y Velodrome drenaron más de 700.000 dólares de los usuarios después de que los atacantes comprometieran una cuenta en el registrador NameSilo y eliminaran DNSSEC de los dominios afectados.
El protocolo centrado en stablecoins Steakhouse Financial reveló un incidente similar el 30 de marzo después de que el personal de soporte de OVH fuera manipulado mediante ingeniería social para eliminar la autenticación de dos factores de su cuenta, permitiendo brevemente que se sirviera un drenador de monederos desde un sitio clonado. La plataforma de rendimiento Neutrl sufrió un incidente similar también en marzo.
En un giro irónico, eth.limo había proporcionado soporte "guante blanco" al equipo de Aerodrome durante el secuestro de noviembre, según una actualización del ENS DAO del cuarto trimestre de 2025, siendo su puerta de enlace a menudo considerada como la alternativa descentralizada de elección cuando una interfaz DeFi deja de funcionar.
Buterin ha argumentado durante mucho tiempo que la dependencia de Ethereum de la resolución centralizada de DNS es una forma de retroceso de la confianza, y en enero declaró 2026 como el año en que los desarrolladores deberían revertirlo empujando a los usuarios hacia rutas de acceso directo a IPFS. Ese es el mismo método alternativo que señaló durante el incidente del viernes, diciendo a sus seguidores que podían "consultar mi blog directamente a través de IPFS" mientras la puerta de enlace estaba caída.
El servicio de eth.limo ha vuelto a estar en línea bajo el control de su equipo original, según el proyecto.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
