El gateway de Ethereum Name Service, eth.limo, ha revelado que el secuestro de dominio del viernes fue causado por un ataque de ingeniería social dirigido contra EasyDNS, su proveedor de servicio de nombres de dominio.
Según un informe postmortem publicado por eth.limo el sábado, un atacante se hizo pasar por uno de los miembros de su equipo para iniciar un proceso de recuperación de cuenta con easyDNS, obteniendo acceso a la cuenta de eth.limo y permitiéndoles alterar la configuración del dominio.
“Los registros NS fueron cambiados y dirigidos a Cloudflare… Una vez que comprendimos que se había producido un secuestro de DNS, notificamos inmediatamente a la comunidad, así como a Vitalik Buterin y otros. Luego comenzamos a contactar a EasyDNS en un intento de responder al incidente”, dijo la compañía.
Eth.limo sirve como un puente Web2, proporcionando acceso a alrededor de 2 millones de sitios web descentralizados utilizando el nombre de dominio .eth. Secuestrar el servicio podría permitir a un atacante redirigir a los usuarios a sitios web maliciosos. El cofundador de Ethereum, Vitalik Buterin, advirtió a los usuarios el viernes que evitaran su blog hasta que se resolviera el incidente.
Mark Jeftovic, CEO de easyDNS, ha aceptado públicamente la responsabilidad por el incidente en su propio informe postmortem.
“Metimos la pata y lo asumimos”, dijo Jeftovic el sábado.
“Esto marcaría el primer ataque de ingeniería social exitoso contra un cliente de easyDNS en nuestros 28 años de historia. Ha habido innumerables intentos.”
Ambas compañías han señalado a la Extensión de Seguridad del Sistema de Nombres de Dominio (DNSSEC) como clave para frustrar los intentos del hacker de causar más daño.
El atacante no pudo producir firmas criptográficas válidas, por lo que los resolvedores del Sistema de Nombres de Dominio rechazaron las respuestas DNS falsificadas del atacante, lo que provocó que los usuarios vieran mensajes de error en lugar de ser redirigidos a sitios maliciosos.
“DNSSEC estaba habilitado para su dominio cuando los atacantes intentaron cambiar sus servidores de nombres, presumiblemente para llevar a cabo algún tipo de ataque de phishing o inyección de malware. Los resolvedores conscientes de DNSSEC, que son la mayoría hoy en día, comenzaron a descartar las consultas”, dijo Jeftovic.
En su postmortem, eth.limo señaló que, debido a que el atacante carecía de las claves de firma, no pudo eludir las salvaguardias, lo que probablemente “redujo el radio de explosión del secuestro. No tenemos conocimiento de ningún impacto en los usuarios en este momento. Proporcionaremos actualizaciones si eso cambia.”
Jeftovic describió el ataque de ingeniería social como “altamente sofisticado” y dijo que easyDNS todavía está llevando a cabo un postmortem sobre cómo ocurrió la brecha, y ya ha comenzado a implementar cambios para evitar una recurrencia.
“En el caso de eth.limo, los migraremos a Domainsure, que tiene una postura de seguridad más adecuada para dominios empresariales y fintech de alto valor. En resumen, no hay un mecanismo de recuperación de cuenta en Domainsure, no es algo que exista”, añadió.
“En nombre de todos nosotros, pido disculpas al equipo de eth.limo y a la comunidad de Ethereum en general. ENS siempre ha tenido un lugar especial en nuestro corazón como el primer registrador en permitir la vinculación de ENS a dominios web2 y hemos estado involucrados en el espacio desde 2017.”
Relacionado: RaveDAO niega manipulación mientras Binance y Bitget investigan la actividad comercial de RAVE
El incidente de eth.limo es el último de una serie de secuestros de dominios que han afectado a proyectos de cripto. Días antes, el agregador de intercambios descentralizados CoW Swap perdió el control de su sitio web después de que una parte desconocida secuestrara su dominio.
Steakhouse Financial, una firma de asesoría e investigación DeFi, reveló de manera similar a finales de marzo que había perdido el control de su dominio a manos de un atacante.
Revista: ¿Será la Ley CLARITY buena o mala para DeFi?
