De Ethereum Name Service gateway eth.limo heeft onthuld dat de domeinkaping op vrijdag werd veroorzaakt door een social engineering-aanval gericht tegen EasyDNS, zijn domeinnaamprovider.
Volgens een postmortem dat zaterdag door eth.limo werd gepubliceerd, deed een aanvaller zich voor als een van zijn teamleden om een accountherstelpoging bij easyDNS te initiëren, waardoor ze toegang kregen tot het eth.limo-account en de domeininstellingen konden wijzigen.
“De NS-records werden gewijzigd en naar Cloudflare geleid… Zodra we begrepen dat er een DNS-kaping had plaatsgevonden, hebben we onmiddellijk de gemeenschap, Vitalik Buterin en anderen op de hoogte gesteld. We namen vervolgens contact op met EasyDNS om op het incident te reageren,” aldus het bedrijf.
Eth.limo fungeert als een Web2-brug en biedt toegang tot ongeveer 2 miljoen gedecentraliseerde websites via de .eth-domeinnaam. Het kapen van de dienst zou een aanvaller in staat kunnen stellen gebruikers om te leiden naar kwaadaardige websites. Ethereum mede-oprichter Vitalik Buterin waarschuwde gebruikers vrijdag om zijn blog te vermijden totdat het incident was opgelost.
Mark Jeftovic, CEO van easyDNS, heeft publiekelijk de verantwoordelijkheid voor het incident aanvaard in zijn eigen postmortemrapport.
“We hebben het verknald en we nemen de verantwoordelijkheid,” zei Jeftovic zaterdag.
“Dit zou de eerste succesvolle social engineering-aanval op een easyDNS-cliënt in onze 28-jarige geschiedenis markeren. Er zijn talloze pogingen geweest.”
Beide bedrijven hebben gewezen op de Domain Name System Security Extension (DNSSEC) bij het dwarsbomen van de pogingen van de hacker om verdere schade aan te richten.
De aanvaller kon geen geldige cryptografische handtekeningen produceren, dus Domain Name System-resolvers weigerden de vervalste DNS-antwoorden van de aanvaller, waardoor gebruikers foutmeldingen zagen in plaats van te worden omgeleid naar kwaadaardige sites.
“DNSSEC was ingeschakeld voor hun domein toen de aanvallers probeerden hun nameservers om te zetten, vermoedelijk om een vorm van phishing- of malware-injectieaanval uit te voeren, begonnen DNSSEC-bewuste resolvers, wat de meeste tegenwoordig zijn, queries te weigeren,” zei Jeftovic.
In zijn postmortem merkte eth.limo op dat omdat de aanvaller geen toegang had tot de ondertekeningssleutels, ze de beveiligingsmaatregelen niet konden omzeilen, wat waarschijnlijk “de omvang van de kaping heeft beperkt. We zijn op dit moment niet op de hoogte van enige impact op gebruikers. We zullen updates geven als dat verandert.”
Jeftovic beschreef de social engineering-aanval als “zeer geavanceerd” en zei dat easyDNS nog steeds een postmortem uitvoert over hoe de inbreuk heeft plaatsgevonden, en al is begonnen met het doorvoeren van wijzigingen om herhaling te voorkomen.
“In het geval van eth.limo zullen we ze migreren naar Domainsure, dat een beveiligingshouding heeft die beter geschikt is voor zakelijke en hoogwaardige fintech-domeinen; kort gezegd is er geen mechanisme voor accountherstel op Domainsure, dat bestaat gewoon niet,” voegde hij eraan toe.
“Namens iedereen hier bied ik mijn excuses aan aan het eth.limo-team en de bredere Ethereum-gemeenschap. ENS heeft altijd een speciale plek in ons hart gehad als de eerste registrar die ENS-koppeling aan web2-domeinen mogelijk maakte, en we zijn sinds 2017 betrokken bij deze ruimte.”
Gerelateerd: RaveDAO ontkent manipulatie nu Binance en Bitget RAVE-handelsactiviteit onderzoeken
Het eth.limo-incident is het meest recente in een reeks domeinkapingen gericht op cryptoprojecten. Dagen eerder verloor gedecentraliseerde uitwisselingsaggregator CoW Swap de controle over zijn website nadat een onbekende partij zijn domein had gekaapt.
Steakhouse Financial, een DeFi-advies- en onderzoeksbureau, maakte eind maart op vergelijkbare wijze bekend dat het de controle over zijn domein had verloren aan een aanvaller.
Magazine: Zal de CLARITY Act goed – of slecht – zijn voor DeFi?
