Steakhouse 的事後分析報告揭露了 3 月 30 日安全事件的新細節。攻擊者短暫劫持了其網域來提供釣魚網站,暴露了鏈下基礎設施而非鏈上系統的關鍵弱點。
團隊確認攻擊源於針對其網域註冊商 OVHcloud 的成功社交工程攻擊。這使攻擊者能夠繞過雙因素驗證並控制 DNS 記錄。
社交工程導致帳戶完全被接管
根據報告,攻擊者聯繫了註冊商的支援服務台,冒充帳戶所有者,並說服支援人員移除基於硬體的雙因素驗證。
一旦獲得存取權限,攻擊者迅速執行了一系列自動化操作。這包括刪除現有的安全憑證、註冊新的驗證裝置,以及將 DNS 記錄重定向到他們控制的基礎設施。
這使得嵌入錢包竊取程式的克隆 Steakhouse 網站得以部署,該網站在大約四小時內間歇性可存取。
釣魚網站啟動,但資金保持安全
儘管漏洞嚴重,Steakhouse 表示沒有用戶資金損失,也沒有確認任何惡意交易。
漏洞僅限於網域層。獨立於前端運作的鏈上金庫和智能合約未受影響。該協議強調其不持有可以存取用戶存款的管理密鑰。
MetaMask 和 Phantom 等提供商的瀏覽器錢包保護功能迅速標記了釣魚網站,而團隊在偵測到事件後 30 分鐘內發布了公開警告。
事後分析突顯供應商風險和單點故障
報告指出 Steakhouse 安全假設中的關鍵失誤:依賴單一註冊商,其支援流程可以覆蓋基於硬體的保護措施。
在沒有強大的帶外驗證的情況下,透過電話禁用雙因素驗證的能力,實際上將憑證洩漏轉變為完全的帳戶接管。
Steakhouse 承認未充分評估此風險,將註冊商描述為其基礎設施中的「單點故障」。
鏈下漏洞仍是薄弱環節
該事件凸顯了加密安全中的一個更廣泛問題——強大的鏈上保護並不能消除周邊基礎設施的風險。
雖然智能合約和金庫保持安全,但對 DNS 的控制使攻擊者能夠透過釣魚攻擊目標用戶,這種方法在生態系統中越來越常見。
該攻擊還涉及與「竊取即服務」操作一致的工具,突顯攻擊者如何繼續將社交工程與現成的攻擊工具組合使用。
安全升級和後續步驟
事件發生後,Steakhouse 已遷移到更安全的註冊商。它實施了持續的 DNS 監控、輪換了憑證,並啟動了對供應商安全實踐的更廣泛審查。
團隊還引入了更嚴格的網域管理控制措施,包括硬體密鑰強制執行和註冊商級別的鎖定。
最終摘要
- Steakhouse 的事後分析揭示,註冊商級別的雙因素驗證繞過導致了 DNS 劫持,儘管鏈上系統安全,用戶仍暴露於釣魚攻擊。
- 該事件突顯了鏈下基礎設施和供應商安全在加密生態系統中仍是關鍵漏洞。
來源: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
