EasyDNS a confirmé qu'une faille de sécurité au sein de ses propres systèmes a permis à un attaquant par ingénierie sociale de prendre brièvement le contrôle d'eth.limo, une passerelle primaire pour le service de noms Ethereum.
L'incident s'est produit vendredi lorsqu'un attaquant s'est fait passer avec succès pour un membre de l'équipe eth.limo afin d'initier un processus de récupération de compte, obtenant ainsi l'autorité de modifier les enregistrements de serveur de noms et de rediriger le domaine vers Cloudflare.
L'équipe eth.limo, dans un rapport post-mortem publié samedi, a déclaré avoir immédiatement informé la communauté et des personnalités éminentes comme le co-fondateur d'Ethereum, Vitalik Buterin, dès que le piratage DNS a été identifié.
Servant de pont pour environ 2 millions de sites web décentralisés, eth.limo est une cible à fort enjeu car un compromis réussi pourrait permettre aux pirates de détourner les utilisateurs vers des pages malveillantes. Buterin lui-même a émis un avertissement urgent vendredi, conseillant à ses lecteurs d'éviter son blog jusqu'à ce que l'équipe puisse restaurer des opérations sécurisées.
Mark Jeftovic, PDG d'EasyDNS, a souligné que la présence de l'extension de sécurité du système de noms de domaine (DNSSEC) a joué un rôle essentiel pour empêcher l'attaquant de causer davantage de dommages.
Comme le pirate ne possédait pas les clés de signature cryptographiques nécessaires, les résolveurs DNS modernes compatibles ont rejeté les réponses falsifiées, ce qui a eu pour conséquence que les utilisateurs ont vu des messages d'erreur plutôt que d'être dirigés vers des sites de phishing.
« Nous avons fait une erreur et nous l'assumons », a déclaré Jeftovic samedi, reconnaissant qu'il s'agissait de la première violation réussie par ingénierie sociale dans l'histoire de 28 ans du fournisseur.
Les développeurs d'eth.limo ont souligné dans leur propre rapport que ces mesures de sécurité ont probablement réduit le « rayon d'action » du piratage. Bien que le service ait été perturbé, l'équipe n'a actuellement connaissance d'aucun impact confirmé sur les utilisateurs ou de pertes de fonds.
Jeftovic a ajouté qu'eth.limo est maintenant en cours de migration vers Domainsure, une plateforme de niveau entreprise qui n'offre pas de mécanisme manuel de récupération de compte, fermant ainsi la faille exploitée lors de cette attaque.
Le dernier incident est l'une des nombreuses attaques d'infrastructure récentes touchant le secteur de la crypto. Quelques jours plus tôt, le 14 avril, l'agrégateur d'échange décentralisé CoW Swap a perdu le contrôle de son domaine pendant plusieurs heures suite à une attaque d'ingénierie sociale similaire contre le registre .fi, entraînant une perte estimée à 1,2 million de dollars pour les utilisateurs affectés.
