EasyDNS heeft bevestigd dat een beveiligingsfout binnen zijn eigen systemen een social engineering-aanvaller in staat stelde om kortstondig de controle over eth.limo over te nemen, een primaire gateway voor de Ethereum Name Service.
Het incident vond plaats op vrijdag, toen een aanvaller zich met succes voordeed als een teamlid van eth.limo om een accountherstelproces te starten, waardoor hij de bevoegdheid kreeg om nameserver-records te wijzigen en het domein om te leiden naar Cloudflare.
Het eth.limo-team verklaarde in een zaterdag gepubliceerde post-mortem dat ze de gemeenschap en prominente figuren zoals Ethereum-medeoprichter Vitalik Buterin onmiddellijk op de hoogte stelden zodra de DNS-kaping was geïdentificeerd.
Als brug voor ongeveer 2 miljoen gedecentraliseerde websites is eth.limo een doelwit met hoge inzet, omdat een succesvolle compromittering hackers in staat zou kunnen stellen gebruikers om te leiden naar kwaadaardige pagina's. Buterin zelf gaf vrijdag een dringende waarschuwing uit, waarin hij zijn lezers adviseerde zijn blog te vermijden totdat het team de veilige werking kon herstellen.
EasyDNS CEO Mark Jeftovic merkte op dat de aanwezigheid van Domain Name System Security Extension (DNSSEC) een cruciale rol speelde bij het voorkomen dat de aanvaller verdere schade aanrichtte.
Omdat de hacker niet beschikte over de benodigde cryptografische ondertekeningssleutels, wezen moderne DNS-bewuste resolvers de vervalste antwoorden af, wat ertoe leidde dat gebruikers foutmeldingen zagen in plaats van te worden omgeleid naar phishing-sites.
“We hebben het verknoeid en we erkennen het,” verklaarde Jeftovic zaterdag, en gaf toe dat dit de eerste succesvolle social engineering-inbreuk was in de 28-jarige geschiedenis van de provider.
De eth.limo-ontwikkelaars benadrukten in hun eigen rapport dat deze beveiligingsmaatregelen waarschijnlijk de ‘blast radius’ van de kaping hebben verminderd. Hoewel de dienst werd verstoord, is het team momenteel niet op de hoogte van bevestigde gebruikersimpact of fondsverliezen.
Jeftovic voegde eraan toe dat eth.limo nu wordt gemigreerd naar Domainsure, een enterprise-grade platform dat geen handmatig accountherstelmechanisme aanbiedt, waardoor de kwetsbaarheid die in deze aanval werd uitgebuit, effectief wordt gedicht.
Het meest recente incident is een van de vele recente infrastructuuraanvallen die de cryptosector treffen. Slechts enkele dagen eerder, op 14 april, verloor de gedecentraliseerde uitwisselingsaggregator CoW Swap de controle over zijn domein gedurende meerdere uren na een vergelijkbare social engineering-aanval op het .fi-register, wat leidde tot een geschat verlies van $1,2 miljoen voor getroffen gebruikers.
