De gateway van Ethereum Name Service, eth.limo, werd vrijdagavond kortstondig gekaapt bij zijn domeinregistrar via een social engineering-aanval, zo meldde het project in een zaterdag gepubliceerde post-mortem.
Om 19:07 uur EDT op 17 april deed een aanvaller zich voor als een teamlid van eth.limo om registrar EasyDNS te misleiden tot het uitvoeren van een accountherstelproces, volgens de post-mortem en een afzonderlijke blogpost van EasyDNS CEO Mark Jeftovic.
De aanvaller schakelde de nameservers van eth.limo om naar Cloudflare om 2:23 uur EDT op 18 april, wat geautomatiseerde downtime-waarschuwingen activeerde die het eth.limo-team wakker maakten. De nameservers werden vervolgens opnieuw overgeschakeld naar Namecheap om 3:57 uur EDT voordat EasyDNS de accounttoegang van het team herstelde om 7:49 uur EDT, volgens de tijdlijn.
eth.limo is een gratis, open-source reverse proxy waarmee gebruikers ENS-gekoppelde inhoud, gehost op IPFS, Arweave of Swarm, kunnen bereiken via een standaardbrowser door ".limo" toe te voegen aan elke .eth-naam. Het wildcard DNS-record op *.eth.limo omvat ongeveer 2 miljoen .eth-domeinen die via ENS zijn geregistreerd, volgens cijfers van EasyDNS.
Een succesvolle kaping van die wildcard zou de aanvaller in staat hebben gesteld om verkeer voor elke .eth-pagina die via de gateway werd benaderd, inclusief de persoonlijke blog van Ethereum-medeoprichter Vitalik Buterin op vitalik.eth.limo, om te leiden naar phishing-infrastructuur.
"Namens iedereen hier bied ik mijn excuses aan aan het eth.limo-team en de bredere Ethereum-gemeenschap," schreef Jeftovic. "ENS heeft altijd een speciale plaats in ons hart gehad als de eerste registrar die ENS-koppeling aan web2-domeinen mogelijk maakte, en we zijn al sinds 2017 betrokken bij dit domein."
Wat die uitkomst voorkwam, zo zeiden beide teams, was DNSSEC. Deze standaard ondertekent cryptografisch DNS-records zodat validerende resolvers niet-ondertekende of incorrect ondertekende antwoorden kunnen weigeren.
Omdat de aanvaller de ondertekeningssleutels van eth.limo nooit heeft verkregen, werd de vertrouwensketen verbroken toen resolvers de nieuwe nameserver-antwoorden van de aanvaller controleerden tegen het legitieme DS-record dat nog in de cache van de ouderzone aanwezig was. Resolvers retourneerden SERVFAIL-fouten in plaats van de kwaadaardige antwoorden, aldus eth.limo.
"DNSSEC heeft waarschijnlijk de omvang van de kaping beperkt. We zijn op dit moment niet op de hoogte van enige gebruikersimpact," schreef het eth.limo-team.
Buterin, die gebruikers vrijdag had gewaarschuwd om alle eth.limo URL's te vermijden en hen direct naar IPFS had gewezen, bevestigde zaterdag dat de situatie "nu allemaal is opgelost."
In zijn blogpost, getiteld "We hebben het verknoeit en we nemen de verantwoordelijkheid," zei Jeftovic dat het incident de eerste succesvolle social engineering-aanval op een EasyDNS-klant in de 28-jarige geschiedenis van het bedrijf markeerde, en dat geen andere klanten werden getroffen.
Jeftovic zei dat eth.limo zal worden gemigreerd naar Domainsure, een met EasyDNS geassocieerde dienst gericht op zakelijke en fintech-klanten die geen mechanisme voor accountherstel aanbiedt. Hij weigerde gedetailleerd te beschrijven hoe de aanvaller het ondersteuningsproces misleidde, verwijzend naar een lopende interne post-mortem.
Het incident is het meest recente in een reeks van compromitteringen op registrar-niveau gericht op crypto-front-ends waarvan de onderliggende smart contracts gedecentraliseerd zijn, maar waarvan de gebruikersgerichte domeinen dat niet zijn.
In november onttrokken DNS-kapingen van gedecentraliseerde beurzen Aerodrome en Velodrome meer dan $700.000 van gebruikers nadat aanvallers een account bij registrar NameSilo hadden gecompromitteerd en DNSSEC van de getroffen domeinen hadden verwijderd.
Het op stablecoins gerichte protocol Steakhouse Financial meldde op 30 maart een soortgelijk incident nadat OVH-ondersteunend personeel door social engineering was misleid om tweefactorauthenticatie van hun account te verwijderen, waardoor een wallet drainer kortstondig vanaf een gekloonde site kon worden aangeboden. Yield-platform Neutrl onderging in maart ook een soortgelijk incident.
Ironisch genoeg had eth.limo "whiteglove"-ondersteuning geboden aan het Aerodrome-team tijdens de kaping in november, volgens een ENS DAO Q4 2025-update, waarbij de gateway vaak werd gezien als de gedecentraliseerde fallback-optie wanneer een DeFi-front-end uitvalt.
Buterin heeft lange tijd betoogd dat de afhankelijkheid van Ethereum van gecentraliseerde DNS-resolutie een vorm van terugval in vertrouwen is, en verklaarde in januari 2026 het jaar waarin ontwikkelaars dit moesten omkeren door gebruikers naar directe IPFS-toegangspaden te leiden. Dat is dezelfde oplossing waar hij naar verwees tijdens het incident van vrijdag, door volgers te vertellen dat ze "mijn blog direct via IPFS konden bekijken" terwijl de gateway offline was.
De dienst van eth.limo is weer online onder controle van het oorspronkelijke team, aldus het project.
Disclaimer: The Block is een onafhankelijk mediakanaal dat nieuws, onderzoek en data levert. Vanaf november 2023 is Foresight Ventures de meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de cryptoruimte. Crypto-exchange Bitget is een belangrijke LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld ter informatie. Het wordt niet aangeboden of is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
