پروژه در گزارش پس از حادثه که روز شنبه منتشر شد، اعلام کرد که درگاه سرویس نام اتریوم (Ethereum Name Service) با نام eth.limo، جمعه شب به دلیل یک حمله مهندسی اجتماعی، به طور موقت در ثبتکننده دامنه خود ربوده شده است.
بر اساس گزارش پس از حادثه و پست وبلاگ جداگانه از مارک جفتوویچ، مدیر عامل EasyDNS، در ساعت ۷:۰۷ عصر به وقت EDT در ۱۷ آوریل، یک مهاجم خود را به جای یکی از اعضای تیم eth.limo جا زد تا ثبتکننده EasyDNS را فریب دهد و فرآیند بازیابی حساب را اجرا کند.
مهاجم در ساعت ۲:۲۳ صبح به وقت EDT در ۱۸ آوریل، سرورهای نام eth.limo را به Cloudflare تغییر داد و هشدارهای خودکار خرابی را فعال کرد که تیم eth.limo را بیدار کرد. سپس سرورهای نام در ساعت ۳:۵۷ صبح به وقت EDT دوباره به Namecheap تغییر یافتند، قبل از اینکه EasyDNS دسترسی تیم به حساب را در ساعت ۷:۴۹ صبح به وقت EDT بازیابی کند، طبق جدول زمانی.
eth.limo یک پروکسی معکوس رایگان و متنباز است که به کاربران امکان میدهد محتوای مرتبط با ENS را که در IPFS، Arweave یا Swarm میزبانی شده است، از طریق یک مرورگر استاندارد با افزودن ".limo" به هر نام .eth، دسترسی پیدا کنند. رکورد DNS وایلدکارد آن در *.eth.limo، طبق ارقام ذکر شده توسط EasyDNS، تقریباً ۲ میلیون دامنه .eth ثبت شده از طریق ENS را پوشش میدهد.
یک ربایش موفقیتآمیز این وایلدکارد میتوانست به مهاجم اجازه دهد ترافیک هر صفحه .eth که از طریق این درگاه دسترسی پیدا میکرد، از جمله وبلاگ شخصی ویتالیک بوترین، همبنیانگذار اتریوم، در vitalik.eth.limo را به سمت زیرساختهای فیشینگ هدایت کند.
جفتوویچ نوشت: "از طرف همه اینجا، من از تیم eth.limo و جامعه گستردهتر اتریوم عذرخواهی میکنم. ENS همیشه جایگاه ویژهای در قلب ما داشته است، به عنوان اولین ثبتکنندهای که اتصال ENS به دامنههای وب۲ را ممکن ساخت و ما از سال ۲۰۱۷ در این فضا فعالیت داشتهایم."
آنچه از این اتفاق جلوگیری کرد، به گفته هر دو تیم، DNSSEC بود. این استاندارد رکوردهای DNS را به صورت رمزنگاری شده امضا میکند تا رزولورهای تأییدکننده بتوانند پاسخهای بدون امضا یا اشتباه امضا شده را رد کنند.
از آنجا که مهاجم هرگز کلیدهای امضای eth.limo را به دست نیاورد، زنجیره اعتماد هنگامی که رزولورها پاسخهای سرور نام جدید مهاجم را با رکورد DS قانونی که هنوز از منطقه والد کش شده بود مقایسه کردند، شکست. طبق گفته eth.limo، رزولورها به جای پاسخهای مخرب، خطاهای SERVFAIL را بازگرداندند.
تیم eth.limo نوشت: "DNSSEC به احتمال زیاد شعاع تأثیر ربایش را کاهش داد. ما در حال حاضر از هیچ گونه تأثیر بر روی کاربران اطلاعی نداریم."
بوترین، که روز جمعه به کاربران هشدار داده بود از همه URLهای eth.limo خودداری کنند و آنها را مستقیماً به IPFS هدایت کرده بود، روز شنبه تأیید کرد که وضعیت "اکنون کاملاً حل شده است."
جفتوویچ در پست وبلاگ خود با عنوان "ما خرابکاری کردیم و مسئولیت آن را بر عهده میگیریم"، گفت که این حادثه اولین حمله موفقیتآمیز مهندسی اجتماعی علیه مشتری EasyDNS در تاریخ ۲۸ ساله این شرکت بود و هیچ مشتری دیگری تحت تأثیر قرار نگرفت.
جفتوویچ گفت که eth.limo به Domainsure منتقل خواهد شد، یک سرویس وابسته به EasyDNS که برای مشتریان سازمانی و فینتک طراحی شده و هیچ مکانیسم بازیابی حسابی ارائه نمیدهد. او از ارائه جزئیات دقیق در مورد اینکه چگونه مهاجم فرآیند پشتیبانی را فریب داده است، خودداری کرد و به یک گزارش پس از حادثه داخلی در حال انجام اشاره کرد.
این حادثه جدیدترین مورد در سلسلهای از حملات در سطح ثبتکننده است که رابطهای کاربری پروژههای کریپتو را هدف قرار میدهند؛ پروژههایی که قراردادهای هوشمند زیربنایی آنها غیرمتمرکز هستند اما دامنههای رو به کاربر آنها اینطور نیستند.
در ماه نوامبر، ربایشهای DNS صرافیهای غیرمتمرکز Aerodrome و Velodrome بیش از ۷۰۰,۰۰۰ دلار از کاربران را به سرقت برد، پس از اینکه مهاجمان یک حساب در ثبتکننده NameSilo را به خطر انداختند و DNSSEC را از دامنههای آسیبدیده حذف کردند.
پروتکل Steakhouse Financial با تمرکز بر استیبلکوین، در ۳۰ مارس حادثهای مشابه را افشا کرد؛ پس از اینکه کارکنان پشتیبانی OVH از طریق مهندسی اجتماعی فریب خوردند تا احراز هویت دو عاملی را از حساب آن حذف کنند، و به طور موقت به یک درگاه تخلیه کیف پول اجازه داده شد که از یک سایت شبیهسازی شده ارائه شود. پلتفرم ییلد Neutrl نیز در ماه مارس دچار حادثهای مشابه شد.
در یک چرخش طعنهآمیز، eth.limo در جریان ربایش ماه نوامبر، طبق بهروزرسانی سهماهه چهارم ۲۰۲۵ ENS DAO، پشتیبانی "سفید" (whiteglove) به تیم Aerodrome ارائه کرده بود، و درگاه آن اغلب به عنوان گزینه پشتیبان غیرمتمرکز ترجیحی زمانی که یک فرانتاند دیفای از کار میافتد، معرفی میشد.
بوترین مدتهاست که استدلال میکند وابستگی اتریوم به حل DNS متمرکز نوعی عقبگرد اعتماد است، و در ژانویه ۲۰۲۶ را سالی اعلام کرد که توسعهدهندگان باید با سوق دادن کاربران به سمت مسیرهای دسترسی مستقیم IPFS این روند را معکوس کنند. این همان راهحلی بود که او در طول حادثه روز جمعه به آن اشاره کرد و به دنبالکنندگانش گفت که میتوانند "وبلاگ من را مستقیماً از طریق IPFS بررسی کنند" در حالی که درگاه از کار افتاده بود.
طبق اعلام پروژه، سرویس eth.limo تحت کنترل تیم اصلی خود دوباره آنلاین شده است.
سلب مسئولیت: The Block یک رسانه مستقل است که اخبار، تحقیقات و دادهها را ارائه میدهد. از نوامبر ۲۰۲۳، Foresight Ventures سرمایهگذار اصلی The Block است. Foresight Ventures در سایر شرکتهای حوزه کریپتو سرمایهگذاری میکند. صرافی کریپتو Bitget یک LP اصلی برای Foresight Ventures است. The Block به طور مستقل به فعالیت خود ادامه میدهد تا اطلاعات عینی، تأثیرگذار و به موقع در مورد صنعت کریپتو ارائه دهد. در اینجا اطلاعات مالی فعلی ما آمده است.
© ۲۰۲۶ The Block. تمامی حقوق محفوظ است. این مقاله فقط برای مقاصد اطلاعرسانی ارائه شده است. این مقاله به عنوان مشاوره حقوقی، مالیاتی، سرمایهگذاری، مالی یا سایر مشاورهها ارائه یا منظور نشده است.
