EasyDNS تأیید کرده است که یک نقص امنیتی در سیستم‌های خود، به یک مهاجم مهندسی اجتماعی اجازه داد تا به طور موقت کنترل eth.limo، یک درگاه اصلی برای سرویس نام اتریوم (Ethereum Name Service)، را در دست بگیرد.

این حادثه روز جمعه رخ داد، زمانی که یک مهاجم با موفقیت هویت یکی از اعضای تیم eth.limo را جعل کرد تا فرآیند بازیابی حساب را آغاز کند و اختیار تغییر رکوردهای نام سرور (name server records) و هدایت دامنه به Cloudflare را به دست آورد.

تیم eth.limo، در گزارشی پس از حادثه که روز شنبه منتشر شد، اظهار داشت که آنها بلافاصله جامعه و چهره‌های برجسته مانند ویتالیک بوترین، هم‌بنیانگذار اتریوم را به محض شناسایی ربایش DNS، مطلع کردند. 

eth.limo که به عنوان پلی برای تقریباً 2 میلیون وب‌سایت غیرمتمرکز عمل می‌کند، هدف پرمخاطره‌ای است زیرا یک نفوذ موفق می‌تواند به هکرها اجازه دهد کاربران را به صفحات مخرب هدایت کنند. خود بوترین روز جمعه یک هشدار فوری صادر کرد و به خوانندگان خود توصیه کرد که از وبلاگ او دوری کنند تا زمانی که تیم بتواند عملیات امن را بازگرداند.

افزونه‌های امنیتی از تأثیر گسترده جلوگیری می‌کنند

مارک جفتوویچ، مدیرعامل EasyDNS، اشاره کرد که وجود افزونه امنیتی سیستم نام دامنه (DNSSEC) نقش حیاتی در جلوگیری از وارد آمدن آسیب بیشتر توسط مهاجم ایفا کرد. 

از آنجایی که هکر فاقد کلیدهای امضای رمزنگاری لازم بود، حل‌کننده‌های مدرن مطلع از DNS پاسخ‌های جعلی را رد کردند، که منجر به مشاهده پیام‌های خطا توسط کاربران شد به جای اینکه به سایت‌های فیشینگ هدایت شوند.

جفتوویچ روز شنبه اظهار داشت: "ما اشتباه کردیم و مسئولیت آن را بر عهده می‌گیریم." و اذعان کرد که این اولین نفوذ موفق مهندسی اجتماعی در تاریخ 28 ساله این ارائه‌دهنده بوده است.

توسعه‌دهندگان eth.limo در گزارش خود برجسته کردند که این محافظت‌ها احتمالاً "شعاع انفجار" (blast radius) ربایش را کاهش داده است. در حالی که سرویس مختل شده بود، تیم در حال حاضر از هیچ گونه تأثیر تأیید شده بر کاربران یا از دست رفتن وجوه بی‌اطلاع است. 

جفتوویچ اضافه کرد که eth.limo در حال حاضر به Domainsure منتقل می‌شود، یک پلتفرم در سطح سازمانی که مکانیزم بازیابی حساب دستی را ارائه نمی‌دهد، و به طور مؤثر حفره‌ای را که در این حمله مورد سوءاستفاده قرار گرفته بود، می‌بندد.

این آخرین حادثه یکی از حملات زیرساختی متعددی است که اخیراً بخش کریپتو را هدف قرار داده است. تنها چند روز قبل، در 14 آوریل، جمع‌آورنده صرافی غیرمتمرکز CoW Swap کنترل دامنه خود را برای چندین ساعت از دست داد، به دنبال یک حمله مهندسی اجتماعی مشابه علیه رجیستری .fi، که منجر به از دست رفتن تخمینی 1.2 میلیون دلار از کاربران متأثر شد.