Un raport post-mortem de la Steakhouse a adus noi informații despre un incident de securitate din 30 martie. Atacatorii au deturnat temporar domeniul său pentru a afișa un site de phishing, expunând o vulnerabilitate critică în infrastructura off-chain, mai degrabă decât în sistemele on-chain.
Echipa a confirmat că atacul a provenit din o tentativă reușită de inginerie socială care a vizat registratorul său de domenii, OVHcloud. Acest lucru a permis atacatorului să ocolească autentificarea cu doi factori și să preia controlul asupra înregistrărilor DNS.
Ingineria socială a condus la preluarea completă a contului
Conform raportului, atacatorul a contactat biroul de asistență al registratorului, s-a dat drept proprietarul contului și a convins un agent de asistență să elimine autentificarea cu doi factori bazată pe hardware.
Odată ce accesul a fost acordat, atacatorul a executat rapid o serie de acțiuni automatizate. Acestea au inclus ștergerea credențialelor de securitate existente, înrolarea unor noi dispozitive de autentificare și redirecționarea înregistrărilor DNS către infrastructura aflată sub controlul lor.
Acest lucru a permis implementarea unui site web Steakhouse clonat, încorporat cu un wallet drainer, care a rămas accesibil intermitent timp de aproximativ patru ore.
Site de phishing activ, dar fondurile au rămas în siguranță
În ciuda gravității încălcării, Steakhouse a declarat că niciun fond al utilizatorilor nu a fost pierdut și nicio tranzacție malițioasă nu a fost confirmată.
Compromiterea a fost limitată la nivelul domeniului. Seifurile on-chain și contractele inteligente, care operează independent de frontend, nu au fost afectate. Protocolul a subliniat că nu deține chei de administrator care ar putea accesa depozitele utilizatorilor.
Protecțiile wallet-urilor din browser de la furnizori precum MetaMask și Phantom au semnalat rapid site-ul de phishing, în timp ce echipa a emis o avertizare publică în 30 de minute de la detectarea incidentului.
Raportul post-mortem evidențiază riscul furnizorilor și punctele unice de eșec
Raportul indică o deficiență cheie în ipotezele de securitate ale Steakhouse: dependența de un singur registrator ale cărui procese de asistență ar putea anula protecțiile bazate pe hardware.
Capacitatea de a dezactiva autentificarea cu doi factori printr-un apel telefonic, fără o verificare robustă out-of-band, a transformat efectiv o scurgere de credențiale într-o preluare completă a contului.
Steakhouse a recunoscut că nu evaluase în mod adecvat acest risc, descriind registratorul ca un "punct unic de eșec" în infrastructura sa.
Vulnerabilitățile off-chain rămân o verigă slabă
Incidentul subliniază o problemă mai largă în securitatea crypto — că protecțiile on-chain puternice nu elimină riscurile din infrastructura înconjurătoare.
În timp ce contractele inteligente și seifurile au rămas sigure, controlul asupra DNS a permis atacatorului să vizeze utilizatorii prin phishing, o metodă din ce în ce mai comună în ecosistem.
Atacul a implicat, de asemenea, instrumente consistente cu operațiunile de tip "drainer-as-a-service", evidențiind modul în care atacatorii continuă să combine ingineria socială cu kituri de exploatare gata făcute.
Actualizări de securitate și pașii următori
În urma incidentului, Steakhouse a migrat la un registrator mai securizat. A implementat monitorizare DNS continuă, a rotit credențialele și a lansat o revizuire mai amplă a practicilor de securitate ale furnizorilor.
Echipa a introdus, de asemenea, controale mai stricte pentru gestionarea domeniilor, inclusiv aplicarea cheilor hardware și blocări la nivel de registrator.
Rezumat final
- Raportul post-mortem al Steakhouse relevă că o ocolire a 2FA la nivel de registrator a permis o deturnare DNS, expunând utilizatorii la phishing în ciuda sistemelor on-chain securizate.
- Incidentul evidențiază modul în care infrastructura off-chain și securitatea furnizorilor rămân vulnerabilități critice în ecosistemele crypto.
Sursă: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
