Brama usługi nazw Ethereum (Ethereum Name Service) eth.limo ujawniła, że piątkowe przejęcie domeny zostało spowodowane atakiem socjotechnicznym skierowanym przeciwko EasyDNS, jej dostawcy usług nazw domen.
Zgodnie z raportem powypadkowym opublikowanym przez eth.limo w sobotę, napastnik podszył się pod jednego z członków zespołu, aby zainicjować proces odzyskiwania konta w easyDNS, uzyskując dostęp do konta eth.limo i umożliwiając sobie zmianę ustawień domeny.
„Rekordy NS zostały zmienione i skierowane na Cloudflare… Gdy tylko zrozumieliśmy, że doszło do przejęcia DNS, natychmiast powiadomiliśmy społeczność, a także Vitalika Buterina i innych. Następnie skontaktowaliśmy się z EasyDNS w celu podjęcia działań w związku z incydentem” – podała firma.
Eth.limo służy jako most Web2, zapewniając dostęp do około 2 milionów zdecentralizowanych stron internetowych korzystających z nazwy domeny .eth. Przejęcie usługi mogłoby umożliwić atakującemu przekierowanie użytkowników na złośliwe strony internetowe. Współzałożyciel Ethereum, Vitalik Buterin, ostrzegał w piątek użytkowników, aby unikali jego bloga do czasu rozwiązania incydentu.
Mark Jeftovic, dyrektor generalny easyDNS, publicznie przyjął odpowiedzialność za incydent w swoim własnym raporcie powypadkowym.
„Zawiedliśmy i bierzemy za to odpowiedzialność” – powiedział Jeftovic w sobotę.
„Byłby to pierwszy udany atak socjotechniczny przeciwko klientowi easyDNS w naszej 28-letniej historii. Było niezliczonych prób.”
Obie firmy wskazały na Rozszerzenia Zabezpieczeń Systemu Nazw Domen (DNSSEC) jako czynnik, który udaremnił dalsze próby hakera w zakresie wyrządzenia szkód.
Napastnik nie był w stanie wygenerować ważnych podpisów kryptograficznych, dlatego resolvery Systemu Nazw Domen odrzucały sfałszowane odpowiedzi DNS napastnika, co powodowało, że użytkownicy widzieli komunikaty o błędach zamiast być przekierowywanymi na złośliwe strony.
„DNSSEC było włączone dla ich domeny, gdy atakujący próbowali zmienić swoje serwery nazw, przypuszczalnie w celu przeprowadzenia jakiegoś ataku phishingowego lub wstrzyknięcia złośliwego oprogramowania. Resolvery obsługujące DNSSEC, których większość obecnie używa, zaczęły odrzucać zapytania” – powiedział Jeftovic.
W swoim raporcie powypadkowym eth.limo zauważyło, że ponieważ atakujący nie posiadał kluczy do podpisywania, nie był w stanie ominąć zabezpieczeń, co prawdopodobnie „zmniejszyło promień rażenia przejęcia. Nie mamy obecnie wiedzy o żadnym wpływie na użytkowników. Będziemy informować o wszelkich zmianach.”
Jeftovic określił atak socjotechniczny jako „wysoce wyrafinowany” i powiedział, że easyDNS wciąż prowadzi analizę powypadkową, jak doszło do naruszenia, i już rozpoczęło wprowadzanie zmian, aby zapobiec powtórzeniu się.
„W przypadku eth.limo, migrujemy ich do Domainsure, który ma postawę bezpieczeństwa bardziej odpowiednią dla domen korporacyjnych i wysokiej wartości fintech, w skrócie, nie ma mechanizmu odzyskiwania konta w Domainsure, to po prostu nie istnieje” – dodał.
„W imieniu wszystkich tutaj, przepraszam zespół eth.limo i szerszą społeczność Ethereum. ENS zawsze zajmował szczególne miejsce w naszych sercach jako pierwszy rejestrator, który umożliwił łączenie ENS z domenami web2, i jesteśmy zaangażowani w tę przestrzeń od 2017 roku.”
Powiązane: RaveDAO zaprzecza manipulacjom, podczas gdy Binance i Bitget badają aktywność handlową RAVE
Incydent z eth.limo jest najnowszym z serii przejęć domen, które dotykają projekty kryptograficzne. Kilka dni wcześniej, zdecentralizowany agregator giełd CoW Swap stracił kontrolę nad swoją stroną internetową po tym, jak nieznana strona przejęła jego domenę.
Steakhouse Financial, firma doradcza i badawcza z obszaru DeFi, podobnie ujawniła pod koniec marca, że straciła kontrolę nad swoją domeną na rzecz atakującego.
Magazyn: Czy ustawa CLARITY będzie dobra – czy zła – dla DeFi?
