O gateway do Ethereum Name Service, eth.limo, foi brevemente sequestrado em seu registrador de domínio na noite de sexta-feira por meio de um ataque de engenharia social, disse o projeto em uma análise pós-incidente publicada no sábado.
Às 19h07 EDT de 17 de abril, um atacante se fez passar por um membro da equipe eth.limo para enganar o registrador EasyDNS e fazer com que iniciasse um processo de recuperação de conta, de acordo com a análise pós-incidente e uma publicação de blog separada do CEO da EasyDNS, Mark Jeftovic.
O atacante alterou os servidores de nomes (nameservers) do eth.limo para o Cloudflare às 2h23 EDT de 18 de abril, o que acionou alertas automatizados de tempo de inatividade que acordaram a equipe eth.limo. Os nameservers foram então novamente trocados para o Namecheap às 3h57 EDT antes que a EasyDNS restaurasse o acesso da equipe à conta às 7h49 EDT, conforme a linha do tempo.
eth.limo é um proxy reverso gratuito e de código aberto que permite aos usuários acessar conteúdo vinculado ao ENS hospedado no IPFS, Arweave ou Swarm por meio de um navegador padrão, anexando ".limo" a qualquer nome .eth. Seu registro DNS curinga em *.eth.limo abrange aproximadamente 2 milhões de domínios .eth registrados através do ENS, de acordo com números citados pela EasyDNS.
Um sequestro bem-sucedido desse curinga teria permitido ao atacante redirecionar o tráfego para qualquer página .eth acessada através do gateway, incluindo o blog pessoal do co-fundador do Ethereum, Vitalik Buterin, em vitalik.eth.limo, em direção a uma infraestrutura de phishing.
"Em nome de todos aqui, peço desculpas à equipe eth.limo e à comunidade Ethereum em geral", escreveu Jeftovic. "O ENS sempre teve um lugar especial em nossos corações como o primeiro registrador a permitir a vinculação do ENS a domínios web2 e estamos envolvidos neste espaço desde 2017."
O que impediu esse resultado, disseram ambas as equipes, foi o DNSSEC. O padrão assina criptograficamente os registros DNS para que os resolvedores validadores possam rejeitar respostas não assinadas ou assinadas incorretamente.
Como o atacante nunca obteve as chaves de assinatura do eth.limo, a cadeia de confiança foi quebrada quando os resolvedores verificaram as novas respostas dos nameservers do atacante contra o registro DS legítimo ainda em cache da zona pai. Os resolvedores retornaram erros SERVFAIL em vez das respostas maliciosas, de acordo com o eth.limo.
"O DNSSEC provavelmente reduziu o raio de impacto do sequestro. Não temos conhecimento de qualquer impacto para o usuário neste momento", escreveu a equipe eth.limo.
Buterin, que havia alertado os usuários na sexta-feira para evitar todos os URLs eth.limo e os direcionado diretamente para o IPFS, confirmou no sábado que a situação estava "toda resolvida agora".
Em sua publicação de blog, intitulada "Nós erramos e assumimos a responsabilidade", Jeftovic disse que o incidente marcou o primeiro ataque de engenharia social bem-sucedido contra um cliente da EasyDNS nos 28 anos de história da empresa, e que nenhum outro cliente foi afetado.
Jeftovic disse que eth.limo será migrado para o Domainsure, um serviço afiliado à EasyDNS destinado a clientes empresariais e de fintech que não oferece nenhum mecanismo de recuperação de conta. Ele se recusou a detalhar exatamente como o atacante enganou o processo de suporte, citando uma análise pós-incidente interna em andamento.
O incidente é o mais recente em uma série contínua de comprometimentos no nível do registrador que visam front-ends de cripto cujos contratos inteligentes subjacentes são descentralizados, mas cujos domínios voltados para o usuário não o são.
Em novembro, sequestros de DNS das exchanges descentralizadas Aerodrome e Velodrome drenaram mais de US$ 700.000 de usuários depois que atacantes comprometeram uma conta no registrador NameSilo e removeram o DNSSEC dos domínios afetados.
O protocolo focado em stablecoins Steakhouse Financial divulgou um incidente semelhante em 30 de março, depois que a equipe de suporte da OVH foi enganada por engenharia social para remover a autenticação de dois fatores de sua conta, permitindo brevemente que um drenador de carteiras fosse servido de um site clonado. A plataforma de rendimento Neutrl sofreu um incidente semelhante em março também.
Em uma reviravolta irônica, o eth.limo havia fornecido suporte "de luva branca" à equipe da Aerodrome durante o sequestro de novembro, de acordo com uma atualização do ENS DAO do 4º trimestre de 2025, com seu gateway frequentemente considerado o fallback descentralizado de escolha quando um front-end DeFi fica offline.
Buterin há muito argumenta que a dependência do Ethereum na resolução centralizada de DNS é uma forma de retrocesso de confiança, e em janeiro declarou 2026 como o ano em que os desenvolvedores deveriam reverter isso, empurrando os usuários para caminhos de acesso direto ao IPFS. Esse foi o mesmo contorno que ele apontou durante o incidente de sexta-feira, dizendo aos seguidores que poderiam "verificar meu blog via IPFS diretamente" enquanto o gateway estava fora do ar.
O serviço do eth.limo está novamente online sob o controle de sua equipe original, de acordo com o projeto.
Aviso Legal: O Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. A partir de novembro de 2023, a Foresight Ventures é a investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar de forma independente para entregar informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
