Cổng Ethereum Name Service eth.limo đã tiết lộ rằng vụ chiếm đoạt tên miền vào thứ Sáu là do một cuộc tấn công kỹ thuật xã hội nhắm vào EasyDNS, nhà cung cấp dịch vụ tên miền của họ.
Theo báo cáo phân tích sự cố (postmortem) được eth.limo công bố vào thứ Bảy, một kẻ tấn công đã mạo danh một thành viên trong nhóm của họ để bắt đầu quá trình khôi phục tài khoản với easyDNS, qua đó có quyền truy cập vào tài khoản eth.limo và cho phép thay đổi cài đặt tên miền.
“Các bản ghi NS đã bị thay đổi và chuyển hướng đến Cloudflare… Ngay sau khi chúng tôi nhận ra rằng một vụ chiếm đoạt DNS đã xảy ra, chúng tôi ngay lập tức thông báo cho cộng đồng cũng như Vitalik Buterin và những người khác. Sau đó, chúng tôi bắt đầu liên hệ với EasyDNS để cố gắng ứng phó với sự cố,” công ty cho biết.
Eth.limo hoạt động như một cầu nối Web2, cung cấp quyền truy cập vào khoảng 2 triệu trang web phi tập trung sử dụng tên miền .eth. Chiếm đoạt dịch vụ này có thể cho phép kẻ tấn công chuyển hướng người dùng đến các trang web độc hại. Đồng sáng lập Ethereum Vitalik Buterin đã cảnh báo người dùng vào thứ Sáu rằng nên tránh blog của ông cho đến khi sự cố được giải quyết.
Mark Jeftovic, CEO của easyDNS, đã công khai nhận trách nhiệm về sự cố trong báo cáo phân tích sự cố của mình.
“Chúng tôi đã mắc lỗi và chúng tôi chịu trách nhiệm hoàn toàn,” Jeftovic nói vào thứ Bảy.
“Đây sẽ đánh dấu cuộc tấn công kỹ thuật xã hội thành công đầu tiên nhằm vào một khách hàng của easyDNS trong lịch sử 28 năm của chúng tôi. Đã có vô số nỗ lực.”
Cả hai công ty đều chỉ ra rằng Phần mở rộng bảo mật hệ thống tên miền (DNSSEC) đã ngăn chặn những nỗ lực gây thiệt hại thêm của tin tặc.
Kẻ tấn công không thể tạo ra các chữ ký mã hóa hợp lệ, vì vậy các bộ phân giải Hệ thống Tên miền đã từ chối các phản hồi DNS giả mạo của kẻ tấn công, khiến người dùng thấy thông báo lỗi thay vì bị chuyển hướng đến các trang web độc hại.
“DNSSEC đã được kích hoạt cho tên miền của họ khi kẻ tấn công cố gắng thay đổi máy chủ định danh (nameserver) của họ, có lẽ để thực hiện một hình thức tấn công lừa đảo (phishing) hoặc tiêm mã độc (malware injection), các bộ phân giải nhận biết DNSSEC, mà hầu hết hiện nay đều có, đã bắt đầu từ chối các truy vấn,” Jeftovic cho biết.
Trong báo cáo phân tích sự cố của mình, eth.limo lưu ý rằng vì kẻ tấn công thiếu các khóa ký, chúng không thể vượt qua các biện pháp bảo vệ, điều này có khả năng “làm giảm phạm vi ảnh hưởng của vụ chiếm đoạt. Chúng tôi hiện không ghi nhận bất kỳ tác động nào đến người dùng. Chúng tôi sẽ cung cấp thông tin cập nhật nếu có thay đổi.”
Jeftovic mô tả cuộc tấn công kỹ thuật xã hội là “cực kỳ tinh vi,” và cho biết easyDNS vẫn đang tiến hành phân tích sự cố để tìm hiểu cách thức vi phạm xảy ra, đồng thời đã bắt đầu triển khai các thay đổi để ngăn chặn tái diễn.
“Trong trường hợp của eth.limo, chúng tôi sẽ di chuyển họ sang Domainsure, nơi có tư thế bảo mật phù hợp hơn với các tên miền doanh nghiệp và fintech giá trị cao, tóm lại là không có cơ chế khôi phục tài khoản trên Domainsure, điều đó không tồn tại,” ông nói thêm.
“Thay mặt cho tất cả mọi người ở đây, tôi xin lỗi đội ngũ eth.limo và cộng đồng Ethereum rộng lớn hơn. ENS luôn có một vị trí đặc biệt trong trái tim chúng tôi với tư cách là nhà đăng ký đầu tiên cho phép liên kết ENS với các tên miền web2 và chúng tôi đã tham gia vào lĩnh vực này từ năm 2017.”
Liên quan: RaveDAO phủ nhận thao túng khi Binance, Bitget điều tra hoạt động giao dịch RAVE
Sự cố eth.limo là vụ chiếm đoạt tên miền mới nhất trong một loạt các vụ tấn công nhắm vào các dự án crypto. Vài ngày trước đó, công cụ tổng hợp sàn giao dịch phi tập trung CoW Swap đã mất quyền kiểm soát trang web của mình sau khi một bên không xác định chiếm đoạt tên miền của họ.
Steakhouse Financial, một công ty tư vấn và nghiên cứu DeFi, cũng tương tự đã tiết lộ vào cuối tháng 3 rằng họ đã mất quyền kiểm soát tên miền của mình vào tay một kẻ tấn công.
Tạp chí: Đạo luật CLARITY sẽ tốt – hay tệ – cho DeFi?
