Cổng Ethereum Name Service (ENS) eth.limo đã bị chiếm quyền kiểm soát trong một thời gian ngắn tại nhà đăng ký tên miền của nó vào tối thứ Sáu thông qua một cuộc tấn công kỹ thuật xã hội, dự án cho biết trong một bản phân tích sau sự cố được công bố vào thứ Bảy.
Vào lúc 7:07 tối EDT ngày 17 tháng 4, một kẻ tấn công đã mạo danh thành viên nhóm eth.limo để lừa nhà đăng ký EasyDNS thực hiện quy trình khôi phục tài khoản, theo bản phân tích sau sự cố và một bài đăng blog riêng biệt từ CEO EasyDNS Mark Jeftovic.
Kẻ tấn công đã chuyển các máy chủ tên miền (nameservers) của eth.limo sang Cloudflare vào lúc 2:23 sáng EDT ngày 18 tháng 4, kích hoạt cảnh báo ngừng hoạt động tự động làm nhóm eth.limo thức giấc. Các máy chủ tên miền sau đó lại được chuyển sang Namecheap vào lúc 3:57 sáng EDT trước khi EasyDNS khôi phục quyền truy cập tài khoản của nhóm vào lúc 7:49 sáng EDT, theo mốc thời gian.
eth.limo là một proxy ngược miễn phí, mã nguồn mở cho phép người dùng truy cập nội dung liên kết với ENS được lưu trữ trên IPFS, Arweave hoặc Swarm thông qua trình duyệt tiêu chuẩn bằng cách thêm ".limo" vào bất kỳ tên .eth nào. Bản ghi DNS ký tự đại diện (*.eth.limo) của nó bao phủ khoảng 2 triệu tên miền .eth đã đăng ký thông qua ENS, theo số liệu của EasyDNS.
Việc chiếm quyền kiểm soát thành công bản ghi ký tự đại diện đó đã có thể cho phép kẻ tấn công chuyển hướng lưu lượng truy cập cho bất kỳ trang .eth nào được truy cập qua cổng, bao gồm blog cá nhân của người đồng sáng lập Ethereum Vitalik Buterin tại vitalik.eth.limo, đến cơ sở hạ tầng lừa đảo (phishing).
"Thay mặt tất cả mọi người ở đây, tôi xin lỗi đội ngũ eth.limo và cộng đồng Ethereum rộng lớn hơn," Jeftovic viết. "ENS luôn có một vị trí đặc biệt trong trái tim chúng tôi với tư cách là nhà đăng ký đầu tiên cho phép liên kết ENS với các tên miền web2 và chúng tôi đã tham gia vào không gian này từ năm 2017."
Điều đã ngăn chặn kết quả đó, cả hai đội cho biết, là DNSSEC. Tiêu chuẩn này mã hóa chữ ký các bản ghi DNS để các trình phân giải xác thực có thể từ chối các phản hồi không có chữ ký hoặc chữ ký không chính xác.
Bởi vì kẻ tấn công chưa bao giờ có được khóa ký của eth.limo, chuỗi tin cậy đã bị phá vỡ khi các trình phân giải kiểm tra các phản hồi máy chủ tên miền mới của kẻ tấn công so với bản ghi DS hợp pháp vẫn được lưu trong bộ nhớ cache từ vùng cha. Các trình phân giải đã trả về lỗi SERVFAIL thay vì các câu trả lời độc hại, theo eth.limo.
"DNSSEC có khả năng đã giảm phạm vi ảnh hưởng của vụ tấn công. Chúng tôi không ghi nhận bất kỳ tác động nào đến người dùng vào thời điểm này," đội ngũ eth.limo viết.
Buterin, người đã cảnh báo người dùng vào thứ Sáu tránh tất cả các URL eth.limo và hướng họ truy cập IPFS trực tiếp, đã xác nhận vào thứ Bảy rằng tình hình "đã được giải quyết hoàn toàn."
Trong bài đăng blog của mình, có tiêu đề "Chúng tôi đã sai lầm và chúng tôi chịu trách nhiệm," Jeftovic cho biết sự cố này đánh dấu cuộc tấn công kỹ thuật xã hội thành công đầu tiên nhằm vào khách hàng của EasyDNS trong lịch sử 28 năm của công ty, và rằng không có khách hàng nào khác bị ảnh hưởng.
Jeftovic cho biết eth.limo sẽ được chuyển sang Domainsure, một dịch vụ liên kết với EasyDNS dành cho khách hàng doanh nghiệp và fintech không cung cấp bất kỳ cơ chế khôi phục tài khoản nào. Ông từ chối tiết lộ chi tiết chính xác cách kẻ tấn công lừa quy trình hỗ trợ, viện dẫn một bản phân tích nội bộ sau sự cố đang diễn ra.
Sự cố này là vụ mới nhất trong một loạt các vụ xâm nhập cấp nhà đăng ký liên tục nhắm mục tiêu vào các giao diện người dùng (front-ends) tiền điện tử mà các hợp đồng thông minh cơ bản của chúng là phi tập trung nhưng các tên miền mà người dùng truy cập thì không.
Vào tháng 11, các vụ chiếm quyền DNS của các sàn giao dịch phi tập trung Aerodrome và Velodrome đã rút hơn 700.000 đô la từ người dùng sau khi những kẻ tấn công xâm nhập tài khoản tại nhà đăng ký NameSilo và loại bỏ DNSSEC khỏi các tên miền bị ảnh hưởng.
Giao thức tập trung vào stablecoin Steakhouse Financial đã tiết lộ một sự cố tương tự vào ngày 30 tháng 3 sau khi nhân viên hỗ trợ của OVH bị lừa gỡ bỏ xác thực hai yếu tố khỏi tài khoản của họ, cho phép một kẻ rút ví được phục vụ từ một trang web giả mạo trong một thời gian ngắn. Nền tảng lợi nhuận Neutrl cũng chịu một sự cố tương tự vào tháng 3.
Trớ trêu thay, eth.limo đã cung cấp hỗ trợ "đặc biệt" cho đội ngũ Aerodrome trong vụ chiếm quyền vào tháng 11, theo một cập nhật của ENS DAO Q4 2025, với cổng của nó thường được coi là lựa chọn dự phòng phi tập trung khi một giao diện người dùng DeFi ngừng hoạt động.
Buterin từ lâu đã lập luận rằng sự phụ thuộc của Ethereum vào việc phân giải DNS tập trung là một dạng thoái lùi niềm tin, và vào tháng 1, ông tuyên bố năm 2026 là năm mà các nhà phát triển nên đảo ngược điều này bằng cách thúc đẩy người dùng sử dụng các đường dẫn truy cập IPFS trực tiếp. Đó cũng là giải pháp thay thế mà ông đã chỉ ra trong sự cố vào thứ Sáu, nói với những người theo dõi rằng họ có thể "kiểm tra blog của tôi trực tiếp qua IPFS" khi cổng đang ngoại tuyến.
Dịch vụ của eth.limo đã hoạt động trở lại dưới sự kiểm soát của đội ngũ ban đầu của nó, theo dự án.
Tuyên bố từ chối trách nhiệm: The Block là một cơ quan truyền thông độc lập cung cấp tin tức, nghiên cứu và dữ liệu. Tính đến tháng 11 năm 2023, Foresight Ventures là nhà đầu tư đa số của The Block. Foresight Ventures đầu tư vào các công ty khác trong lĩnh vực tiền điện tử. Sàn giao dịch tiền điện tử Bitget là một đối tác LP chính cho Foresight Ventures. The Block tiếp tục hoạt động độc lập để cung cấp thông tin khách quan, có tác động và kịp thời về ngành công nghiệp tiền điện tử. Dưới đây là các công bố tài chính hiện tại của chúng tôi.
© 2026 The Block. Mọi quyền được bảo lưu. Bài viết này chỉ được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc các lời khuyên khác.
