O gateway do Ethereum Name Service, eth.limo, revelou que o sequestro de domínio na sexta-feira foi causado por um ataque de engenharia social direcionado à EasyDNS, seu provedor de serviço de nomes de domínio.
De acordo com um post-mortem publicado pelo eth.limo no sábado, um invasor personificou um de seus membros da equipe para iniciar um processo de recuperação de conta com a easyDNS, concedendo acesso à conta eth.limo e permitindo-lhes alterar as configurações do domínio.
"Os registros NS foram alterados e direcionados para o Cloudflare... Assim que entendemos que um sequestro de DNS havia ocorrido, notificamos imediatamente a comunidade, bem como Vitalik Buterin e outros. Em seguida, começamos a entrar em contato com a EasyDNS na tentativa de responder ao incidente", disse a empresa.
O Eth.limo atua como uma ponte Web2, fornecendo acesso a cerca de 2 milhões de sites descentralizados usando o nome de domínio .eth. O sequestro do serviço poderia permitir que um invasor redirecionasse usuários para sites maliciosos. O co-fundador do Ethereum, Vitalik Buterin, alertou os usuários na sexta-feira para evitar seu blog até que o incidente fosse resolvido.
Mark Jeftovic, CEO da easyDNS, aceitou publicamente a responsabilidade pelo incidente em seu próprio relatório post-mortem.
"Nós erramos e assumimos", disse Jeftovic no sábado.
"Este seria o primeiro ataque de engenharia social bem-sucedido contra um cliente easyDNS em nossos 28 anos de história. Houve inúmeras tentativas."
Ambas as empresas apontaram a Extensão de Segurança do Sistema de Nomes de Domínio (DNSSEC) para frustrar as tentativas do hacker de causar mais danos.
O invasor não conseguiu produzir assinaturas criptográficas válidas, então os resolvedores de Sistema de Nomes de Domínio rejeitaram as respostas DNS forjadas do invasor, fazendo com que os usuários vissem mensagens de erro em vez de serem redirecionados para sites maliciosos.
"O DNSSEC estava habilitado para o domínio deles quando os invasores tentaram inverter seus nameservers, presumivelmente para efetuar algum tipo de ataque de phishing ou injeção de malware, resolvedores compatíveis com DNSSEC, que a maioria é hoje em dia, começaram a descartar consultas", disse Jeftovic.
Em seu post-mortem, o eth.limo observou que, como o invasor não tinha as chaves de assinatura, eles não conseguiram contornar as salvaguardas, o que provavelmente "reduziu o raio de impacto do sequestro. Não temos conhecimento de qualquer impacto nos usuários neste momento. Forneceremos atualizações se isso mudar."
Jeftovic descreveu o ataque de engenharia social como "altamente sofisticado" e disse que a easyDNS ainda está conduzindo uma análise post-mortem sobre como a violação ocorreu, e já começou a implementar mudanças para evitar uma recorrência.
"No caso do eth.limo, vamos migrá-los para o Domainsure, que possui uma postura de segurança mais adequada para domínios empresariais e de fintech de alto valor. TLDR, não há mecanismo para recuperação de conta no Domainsure, não é algo possível", acrescentou.
"Em nome de todos aqui, peço desculpas à equipe do eth.limo e à comunidade Ethereum em geral. O ENS sempre teve um lugar especial em nossos corações como o primeiro registrador a permitir a ligação de ENS a domínios web2 e estamos envolvidos neste espaço desde 2017."
Relacionado: RaveDAO nega manipulação enquanto Binance e Bitget investigam atividade de negociação de RAVE
O incidente do eth.limo é o mais recente de uma série de sequestros de domínio que visam projetos de cripto. Dias antes, o agregador de exchange descentralizada CoW Swap perdeu o controle de seu site depois que uma parte desconhecida sequestrou seu domínio.
A Steakhouse Financial, uma empresa de consultoria e pesquisa DeFi, divulgou de forma semelhante no final de março que havia perdido o controle de seu domínio para um invasor.
Revista: A Lei CLARITY será boa — ou ruim — para o DeFi?
