Шлюз Ethereum Name Service eth.limo сообщил, что взлом домена в пятницу был вызван атакой социальной инженерии, направленной на EasyDNS, его поставщика услуг доменных имен.
Согласно посмертному анализу опубликованному eth.limo в субботу, злоумышленник выдавал себя за одного из членов команды, чтобы инициировать процесс восстановления учетной записи в easyDNS, предоставляя доступ к учетной записи eth.limo и позволяя ему изменять настройки домена.
“Записи NS были изменены и перенаправлены на Cloudflare… Как только мы поняли, что произошел захват DNS, мы немедленно уведомили сообщество, а также Виталика Бутерина и других. Затем мы начали связываться с EasyDNS в попытке отреагировать на инцидент”, - заявила компания.
Eth.limo служит мостом Web2, предоставляя доступ примерно к 2 миллионам децентрализованных веб-сайтов с использованием доменного имени .eth. Взлом сервиса мог позволить злоумышленнику перенаправлять пользователей на вредоносные веб-сайты. Соучредитель Ethereum Виталик Бутерин предупредил пользователей в пятницу воздерживаться от посещения своего блога до тех пор, пока инцидент не будет разрешен.
Марк Джефтовик, генеральный директор easyDNS, публично взял на себя ответственность за инцидент в своем собственном посмертном отчете.
“Мы облажались и признаем это”, - заявил Джефтовик в субботу.
“Это станет первой успешной атакой социальной инженерии на клиента easyDNS за нашу 28-летнюю историю. Было бесчисленное количество попыток.”
Обе компании указали на расширение безопасности системы доменных имен (DNSSEC) в предотвращении попыток хакера нанести дальнейший ущерб.
Злоумышленник не смог предоставить действительные криптографические подписи, поэтому решатели системы доменных имен отклонили поддельные DNS-ответы злоумышленника, в результате чего у пользователей отображались сообщения об ошибках вместо перенаправления на вредоносные сайты.
“DNSSEC был включен для их домена, когда злоумышленники попытались переключить их nameservers, предположительно, чтобы осуществить какую-либо фишинговую или вредоносную инъекцию, DNSSEC-aware resolvers, которые есть у большинства, начали отбрасывать запросы”, - сказал Джефтовик.
Источник: eth.limo
В своем посмертном анализе eth.limo отметил, что поскольку у злоумышленника не было ключей подписи, он не смог обойти механизмы защиты, что, вероятно, “ограничило масштаб взлома. На данный момент нам не известно о каких-либо последствиях для пользователей. Мы предоставим обновления, если ситуация изменится.”
easyDNS вносит изменения после атаки
Джефтовик описал атаку социальной инженерии как “высокотехнологичную” и сказал, что easyDNS все еще проводит посмертный анализ того, как произошел взлом, и уже начала внедрять изменения для предотвращения повторения.
Источник: easyDNS
“В случае с eth.limo мы переведем их на Domainsure, который имеет уровень безопасности, более подходящий для предприятий и финансовых доменов с высокой ценностью. TLDR там нет механизма восстановления учетной записи в Domainsure, это не предусмотрено”, - добавил он.
“От имени всех сотрудников я приношу извинения команде eth.limo и более широкому сообществу Ethereum. ENS всегда занимал особое место в нашем сердце как первый регистратор, обеспечивающий связь ENS с веб-доменами Web2, и мы участвуем в этом пространстве с 2017 года.”
Инцидент с eth.limo является последним в серии взломов доменов, нацеленных на криптопроекты. Несколько дней назад децентрализованный агрегатор обмена CoW Swap потерял контроль над своим веб-сайтом после того, как неизвестная сторона взломала его домен.
Steakhouse Financial, фирма по консультированию и исследованиям в области DeFi, также сообщила в конце марта, что она потеряла контроль над своим доменом из-за злоумышленника.
