Inihayag ng Ethereum Name Service gateway na eth.limo na ang pag-hijack ng domain noong Biyernes ay sanhi ng isang social engineering attack na idinirekta laban sa EasyDNS, ang tagapagbigay nito ng serbisyo ng pangalan ng domain.
Ayon sa isang postmortem na inilabas ng eth.limo noong Sabado, nagpanggap ang isang attacker na isa sa mga miyembro ng kanilang team upang simulan ang proseso ng pag-recover ng account sa easyDNS, na nagbigay ng access sa eth.limo account at nagpahintulot sa kanila na baguhin ang mga setting ng domain.
“Ang mga NS record ay binago at idinirekta sa Cloudflare… Nang maunawaan namin na may naganap na DNS hijack, agad naming ipinaalam ito sa komunidad pati na rin kay Vitalik Buterin at iba pa. Pagkatapos, sinimulan naming makipag-ugnayan sa EasyDNS upang tumugon sa insidente,” sabi ng kumpanya.
Ang Eth.limo ay nagsisilbing Web2 bridge, na nagbibigay ng access sa humigit-kumulang 2 milyong decentralized na website gamit ang .eth domain name. Ang pag-hijack sa serbisyo ay maaaring magpahintulot sa isang attacker na i-redirect ang mga user sa mga malisyosong website. Binalaan ng co-founder ng Ethereum na si Vitalik Buterin ang mga user noong Biyernes na iwasan ang kanyang blog hanggang sa malutas ang insidente.
Si Mark Jeftovic, CEO ng easyDNS, ay pampublikong tinanggap ang responsibilidad para sa insidente sa sarili nitong postmortem report.
“Nagkamali kami at responsibilidad namin ito,” sabi ni Jeftovic noong Sabado.
“Ito ang magiging unang matagumpay na social engineering attack laban sa isang easyDNS client sa aming 28-taong kasaysayan. Marami nang pagtatangka.”
Itinuro ng parehong kumpanya ang Domain Name System Security Extension (DNSSEC) sa pagpigil sa mga pagtatangka ng hacker na gumawa ng karagdagang pinsala.
Hindi nakapaglabas ang attacker ng balidong cryptographic signatures, kaya tinanggihan ng Domain Name System resolvers ang mga huwad na tugon ng DNS ng attacker, na naging dahilan upang makita ng mga user ang mga mensahe ng error sa halip na ma-redirect sa mga malisyosong site.
“Naka-enable ang DNSSEC para sa kanilang domain nang subukan ng mga attacker na baguhin ang kanilang nameservers, marahil upang magsagawa ng uri ng phishing o malware injection attack, ang mga DNSSEC-aware resolvers, na karamihan sa mga ito ngayon, ay nagsimulang mag-drop ng mga query,” sabi ni Jeftovic.
Sa postmortem nito, nabanggit ng eth.limo na dahil walang signing keys ang attacker, hindi nila nalampasan ang mga pananggalang, na malamang ay “binawasan ang blast radius ng hijack. Wala kaming nalalamang anumang epekto sa user sa ngayon. Magbibigay kami ng mga update kung magbabago ito.”
Inilarawan ni Jeftovic ang social engineering attack bilang “napaka-sopistikado,” at sinabing ang easyDNS ay nagsasagawa pa rin ng post-mortem kung paano nangyari ang paglabag, at nagsimula nang magpatupad ng mga pagbabago upang maiwasan ang pag-ulit.
“Sa kaso ng eth.limo, ililipat namin sila sa Domainsure, na may security posture na mas akma para sa enterprise at high-value fintech domains, TLDR walang mekanismo para sa pag-recover ng account sa Domainsure, hindi ito umiiral,” dagdag niya.
“Sa ngalan ng lahat dito, humihingi ako ng paumanhin sa team ng eth.limo at sa mas malawak na komunidad ng Ethereum. Ang ENS ay palaging may espesyal na lugar sa aming puso bilang ang unang registrar na nagbigay-daan sa ENS linking sa web2 domains at kasama na kami sa espasyong ito mula pa noong 2017.”
Kaugnay: Itinanggi ng RaveDAO ang manipulasyon habang iniimbestigahan ng Binance, Bitget ang aktibidad ng pag-trade ng RAVE
Ang insidente ng eth.limo ay ang pinakabago sa serye ng mga domain hijacking na target ang mga proyekto ng crypto. Ilang araw bago nito, nawalan ng kontrol ang decentralized exchange aggregator na CoW Swap sa website nito matapos i-hijack ng isang hindi kilalang partido ang domain nito.
Ang Steakhouse Financial, isang DeFi advisory at research firm, ay katulad ding nagbunyag sa katapusan ng Marso na nawalan ito ng kontrol sa domain nito sa isang attacker.
Magasin: Magiging mabuti — o masama — ba ang CLARITY Act para sa DeFi?
