Хакеры выдали себя за команду eth.limo и захватили домен: Разбор инцидента

Шлюз Ethereum Name Service eth.limo сообщил, что подмена адреса домена в пятницу была вызвана атакой социальной инженерии, направленной против EasyDNS, его провайдера доменных имен. 

Согласно отчету, опубликованному eth.limo в субботу, злоумышленник выдал себя за одного из членов команды, чтобы инициировать процесс восстановления аккаунта в easyDNS, получив доступ к аккаунту eth.limo и позволив изменить настройки домена.

«NS-записи были изменены и направлены на Cloudflare... Как только мы поняли, что произошла подмена DNS, мы немедленно уведомили сообщество, а также Виталика Бутерина и других. Затем мы начали связываться с EasyDNS, пытаясь отреагировать на инцидент», — заявила компания.

Eth.limo служит мостом Web2, обеспечивая доступ к примерно 2 миллионам децентрализованных веб-сайтов, использующих доменное имя .eth. Взлом сервиса мог позволить злоумышленнику перенаправлять пользователей на вредоносные веб-сайты. Сооснователь Ethereum Виталик Бутерин предупредил пользователей в пятницу избегать его блога до тех пор, пока инцидент не будет разрешен.

Марк Джефтович, генеральный директор easyDNS, публично принял ответственность за инцидент в своем собственном отчете. 

«Мы облажались, и мы это признаем», — сказал Джефтович в субботу. 

Обе компании указали на расширение безопасности системы доменных имен (DNSSEC) в предотвращении попыток хакера нанести дальнейший ущерб. 

Злоумышленник не смог создать действительные криптографические подписи, поэтому резолверы системы доменных имен отклонили поддельные DNS-ответы злоумышленника, в результате чего пользователи видели сообщения об ошибках вместо перенаправления на вредоносные сайты. 

«DNSSEC был включен для их домена, когда злоумышленники попытались переключить их серверы имен, предположительно для осуществления какой-то атаки фишинга или внедрения вредоносного ПО, резолверы с поддержкой DNSSEC, которых в наши дни большинство, начали отбрасывать запросы», — сказал Джефтович. 

В своем отчете eth.limo отметил, что поскольку у злоумышленника не было ключей подписи, он не смог обойти меры защиты, что, вероятно, «уменьшило радиус поражения взлома. В настоящее время мы не знаем о каких-либо последствиях для пользователей. Мы предоставим обновления, если это изменится».

easyDNS вносит изменения после атаки

Джефтович описал атаку социальной инженерии как «высокосложную» и заявил, что easyDNS все еще проводит анализ того, как произошло нарушение, и уже начал внедрять изменения для предотвращения повторения.

«В случае eth.limo мы переведем их на Domainsure, которая имеет более подходящую политику безопасности для корпоративных и высокоценных финтех-доменов. Вкратце, на Domainsure нет механизма восстановления аккаунта, это невозможно», — добавил он.

«От имени всех присутствующих я приношу извинения команде eth.limo и более широкому сообществу Ethereum. ENS всегда занимал особое место в нашем сердце как первый регистратор, который обеспечил связь ENS с доменами web2, и мы участвуем в этом пространстве с 2017 года».

По теме: RaveDAO отрицает манипуляции, поскольку Binance и Bitget расследуют торговую активность RAVE

Инцидент с eth.limo является последним в серии взломов доменов, нацеленных на криптопроекты. Несколькими днями ранее агрегатор децентрализованных бирж CoW Swap потерял контроль над своим веб-сайтом после того, как неизвестная сторона взломала его домен. 

Steakhouse Financial, консалтинговая и исследовательская фирма DeFi, аналогично сообщила в конце марта, что потеряла контроль над своим доменом в пользу злоумышленника.

Журнал: Будет ли закон CLARITY хорошим — или плохим — для DeFi?