Gateway-ul Ethereum Name Service eth.limo a dezvăluit că deturnarea domeniului de vineri a fost cauzată de un atac de inginerie socială direcționat împotriva EasyDNS, furnizorul său de servicii de nume de domeniu.
Conform unei analize post-incident publicate de eth.limo sâmbătă, un atacator a uzurpat identitatea unuia dintre membrii echipei sale pentru a iniția un proces de recuperare a contului la easyDNS, obținând acces la contul eth.limo și permițându-i să modifice setările domeniului.
„Înregistrările NS au fost modificate și direcționate către Cloudflare… Odată ce am înțeles că a avut loc o deturnare DNS, am notificat imediat comunitatea, precum și pe Vitalik Buterin și pe alții. Apoi am început să contactăm EasyDNS în încercarea de a răspunde incidentului”, a declarat compania.
Eth.limo servește ca o punte Web2, oferind acces la aproximativ 2 milioane de site-uri web descentralizate folosind numele de domeniu .eth. Deturnarea serviciului ar putea permite unui atacator să redirecționeze utilizatorii către site-uri web malițioase. Cofondatorul Ethereum, Vitalik Buterin, a avertizat vineri utilizatorii să evite blogul său până la rezolvarea incidentului.
Mark Jeftovic, CEO al easyDNS, și-a asumat public responsabilitatea pentru incident în propriul său raport post-incident.
„Am greșit și ne asumăm responsabilitatea”, a spus Jeftovic sâmbătă.
„Acesta ar marca primul atac de inginerie socială reușit împotriva unui client easyDNS în istoria noastră de 28 de ani. Au existat nenumărate încercări.”
Ambele companii au indicat Domain Name System Security Extension (DNSSEC) în zădărnicirea încercărilor hackerului de a provoca daune suplimentare.
Atacatorul nu a putut produce semnături criptografice valide, astfel încât rezolvatorii Domain Name System au respins răspunsurile DNS falsificate ale atacatorului, făcând ca utilizatorii să vadă mesaje de eroare în loc să fie redirecționați către site-uri malițioase.
„DNSSEC a fost activat pentru domeniul lor, iar când atacatorii au încercat să schimbe serverele de nume, probabil pentru a efectua un atac de phishing sau de injectare de malware, rezolvatorii conștienți de DNSSEC, care sunt majoritatea în prezent, au început să respingă interogările”, a declarat Jeftovic.
În analiza sa post-incident, eth.limo a menționat că, deoarece atacatorul nu avea cheile de semnare, acesta nu a putut ocoli măsurile de siguranță, ceea ce probabil a „redus raza de acțiune a deturnării. Nu suntem conștienți de niciun impact asupra utilizatorilor în acest moment. Vom oferi actualizări dacă acest lucru se schimbă.”
Jeftovic a descris atacul de inginerie socială ca fiind „foarte sofisticat” și a declarat că easyDNS efectuează în continuare o analiză post-incident asupra modului în care a avut loc breșa și a început deja să implementeze modificări pentru a preveni o recurență.
„În cazul eth.limo, îi vom migra la Domainsure, care are o postură de securitate mai potrivită pentru domeniile enterprise și fintech de mare valoare, TLDR nu există niciun mecanism de recuperare a contului pe Domainsure, nu este o opțiune”, a adăugat el.
„În numele tuturor de aici, îmi cer scuze echipei eth.limo și comunității Ethereum în ansamblu. ENS a avut întotdeauna un loc special în inima noastră ca fiind primul registrator care a permis legarea ENS la domeniile web2 și am fost implicați în acest domeniu din 2017.”
Legat: RaveDAO neagă manipularea, în timp ce Binance, Bitget investighează activitatea de tranzacționare RAVE
Incidentul eth.limo este cel mai recent dintr-o serie de deturnări de domenii care vizează proiecte cripto. Zile mai devreme, agregatorul de exchange-uri descentralizate CoW Swap a pierdut controlul asupra site-ului său după ce o parte necunoscută i-a deturnat domeniul.
Steakhouse Financial, o firmă de consultanță și cercetare DeFi, a dezvăluit în mod similar la sfârșitul lunii martie că și-a pierdut controlul asupra domeniului său în fața unui atacator.
Revistă: Va fi Legea CLARITY bună — sau rea — pentru DeFi?
