La passerelle eth.limo d'Ethereum Name Service a été brièvement piratée chez son registraire de noms de domaine vendredi soir via une attaque d'ingénierie sociale, a déclaré le projet dans un post-mortem publié samedi.
Le 17 avril à 19h07 EDT, un attaquant s'est fait passer pour un membre de l'équipe eth.limo pour inciter le registraire EasyDNS à lancer un processus de récupération de compte, selon le post-mortem et un article de blog séparé du PDG d'EasyDNS, Mark Jeftovic.
L'attaquant a basculé les serveurs de noms d'eth.limo vers Cloudflare le 18 avril à 2h23 EDT, déclenchant des alertes de temps d'arrêt automatisées qui ont réveillé l'équipe eth.limo. Les serveurs de noms ont ensuite été de nouveau basculés vers Namecheap à 3h57 EDT avant qu'EasyDNS ne restaure l'accès au compte de l'équipe à 7h49 EDT, selon la chronologie.
eth.limo est un proxy inverse gratuit et open-source qui permet aux utilisateurs d'accéder au contenu lié à l'ENS hébergé sur IPFS, Arweave ou Swarm via un navigateur standard en ajoutant ".limo" à n'importe quel nom .eth. Son enregistrement DNS wildcard à *.eth.limo couvre environ 2 millions de domaines .eth enregistrés via ENS, selon les chiffres cités par EasyDNS.
Un piratage réussi de ce wildcard aurait permis à l'attaquant de rediriger le trafic pour toute page .eth accessible via la passerelle, y compris le blog personnel du co-fondateur d'Ethereum, Vitalik Buterin, à vitalik.eth.limo, vers une infrastructure de phishing.
« Au nom de toute l'équipe ici, je m'excuse auprès de l'équipe eth.limo et de la communauté Ethereum au sens large », a écrit Jeftovic. « ENS a toujours eu une place spéciale dans nos cœurs en tant que premier registraire à permettre la liaison ENS avec les domaines web2 et nous sommes impliqués dans cet espace depuis 2017. »
Ce qui a empêché ce résultat, ont déclaré les deux équipes, est le DNSSEC. La norme signe cryptographiquement les enregistrements DNS afin que les résolveurs de validation puissent rejeter les réponses non signées ou mal signées.
Parce que l'attaquant n'a jamais obtenu les clés de signature d'eth.limo, la chaîne de confiance a été rompue lorsque les résolveurs ont vérifié les nouvelles réponses des serveurs de noms de l'attaquant par rapport à l'enregistrement DS légitime toujours en cache de la zone parente. Les résolveurs ont renvoyé des erreurs SERVFAIL plutôt que les réponses malveillantes, selon eth.limo.
« DNSSEC a probablement réduit le rayon d'impact du piratage. Nous n'avons connaissance d'aucun impact sur les utilisateurs à l'heure actuelle », a écrit l'équipe eth.limo.
Buterin, qui avait averti les utilisateurs vendredi d'éviter toutes les URL eth.limo et les avait dirigés directement vers IPFS, a confirmé samedi que la situation était « désormais entièrement résolue ».
Dans son article de blog, intitulé « Nous avons fait une erreur et nous l'assumons », Jeftovic a déclaré que l'incident marquait la première attaque d'ingénierie sociale réussie contre un client d'EasyDNS en 28 ans d'histoire de l'entreprise, et qu'aucun autre client n'avait été affecté.
Jeftovic a déclaré qu'eth.limo serait migré vers Domainsure, un service affilié à EasyDNS destiné aux entreprises et aux clients fintech qui n'offre aucun mécanisme de récupération de compte. Il a refusé de détailler exactement comment l'attaquant avait trompé le processus de support, citant un post-mortem interne en cours.
Cet incident est le dernier d'une série continue de compromissions au niveau du registraire ciblant les interfaces frontales crypto dont les contrats intelligents sous-jacents sont décentralisés mais dont les domaines accessibles aux utilisateurs ne le sont pas.
En novembre, les piratages DNS des échanges décentralisés Aerodrome et Velodrome ont siphonné plus de 700 000 $ aux utilisateurs après que des attaquants ont compromis un compte chez le registraire NameSilo et ont supprimé le DNSSEC des domaines affectés.
Le protocole axé sur les stablecoins, Steakhouse Financial, a divulgué un incident similaire le 30 mars après que le personnel de support d'OVH ait été dupé par ingénierie sociale pour supprimer l'authentification à deux facteurs de son compte, permettant brièvement à un « draineur de portefeuille » d'être servi depuis un site cloné. La plateforme de rendement Neutrl a également subi un incident similaire en mars.
Ironiquement, eth.limo avait fourni un support « gants blancs » à l'équipe Aerodrome lors du piratage de novembre, selon une mise à jour du quatrième trimestre 2025 d'ENS DAO, sa passerelle étant souvent présentée comme le repli décentralisé de choix lorsqu'une interface frontale DeFi tombe en panne.
Buterin a longtemps soutenu que la dépendance d'Ethereum à la résolution DNS centralisée est une forme de régression de la confiance, et en janvier, il a déclaré 2026 l'année où les développeurs devraient inverser cette tendance en poussant les utilisateurs vers des chemins d'accès directs à IPFS. C'est la même solution de contournement qu'il a signalée lors de l'incident de vendredi, disant à ses abonnés qu'ils pouvaient « consulter mon blog directement via IPFS » pendant que la passerelle était hors service.
Le service d'eth.limo est de nouveau en ligne sous le contrôle de son équipe d'origine, selon le projet.
Clause de non-responsabilité : The Block est un média indépendant qui fournit des nouvelles, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres entreprises du secteur de la cryptographie. L'échange de cryptomonnaies Bitget est un commanditaire principal (LP) pour Foresight Ventures. The Block continue d'opérer de manière indépendante pour fournir des informations objectives, percutantes et opportunes sur l'industrie de la cryptographie. Voici nos déclarations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
