Hacker gaben sich als eth.limo-Team aus, um dessen Domain zu kapern: Post-Mortem
Das Ethereum Name Service-Gateway eth.limo hat enthüllt, dass der Domain-Hijacking am Freitag durch einen Social-Engineering-Angriff verursacht wurde, der sich gegen EasyDNS, seinen Domain-Name-Service-Provider, richtete.
Laut einer am Samstag von eth.limo veröffentlichten Obduktion gab sich ein Angreifer als eines seiner Teammitglieder aus, um mit easyDNS einen Kontowiederherstellungsprozess einzuleiten, der ihm Zugriff auf das eth.limo-Konto gewährte und ihm erlaubte, Domäneneinstellungen zu ändern.
„Die NS-Einträge wurden geändert und an Cloudflare weitergeleitet … Als wir erfuhren, dass ein DNS-Hijack stattgefunden hatte, benachrichtigten wir sofort die Community sowie Vitalik Buterin und andere. Anschließend begannen wir, EasyDNS zu kontaktieren, um auf den Vorfall zu reagieren“, sagte das Unternehmen.
Eth.limo dient als Web2-Brücke und ermöglicht den Zugriff auf rund 2 Millionen dezentrale Websites unter dem Domänennamen .eth. Die Entführung des Dienstes könnte es einem Angreifer ermöglichen, Benutzer auf bösartige Websites umzuleiten. Ethereum-Mitbegründer Vitalik Buterin warnte die Benutzer am Freitag, seinen Blog zu meiden, bis der Vorfall geklärt sei.
Mark Jeftovic, CEO von easyDNS, hat in seinem eigenen Obduktionsbericht öffentlich die Verantwortung für den Vorfall übernommen.
„Wir haben es vermasselt und das gehört uns“, sagte Jeftovic am Samstag.
„Dies wäre der erste erfolgreiche Social-Engineering-Angriff gegen einen easyDNS-Client in unserer 28-jährigen Geschichte. Es gab unzählige Versuche.“
Beide Unternehmen haben auf die Domain Name System Security Extension (DNSSEC) verwiesen, um die Versuche des Hackers, weiteren Schaden anzurichten, zu vereiteln.
Der Angreifer konnte keine gültigen kryptografischen Signaturen erstellen, daher lehnten die Domain Name System-Resolver die gefälschten DNS-Antworten des Angreifers ab, was dazu führte, dass Benutzern Fehlermeldungen angezeigt wurden, anstatt auf bösartige Websites umgeleitet zu werden.
„DNSSEC wurde für ihre Domain aktiviert, als die Angreifer versuchten, ihre Nameserver umzudrehen, vermutlich um einen Phishing- oder Malware-Injection-Angriff auszulösen. DNSSEC-fähige Resolver, was heutzutage die meisten sind, begannen, Abfragen zu verwerfen“, sagte Jeftovic.
Quelle: eth.limo
In seiner Obduktion stellte eth.limo fest, dass der Angreifer aufgrund des Fehlens der Signaturschlüssel nicht in der Lage war, die Sicherheitsmaßnahmen zu umgehen, was wahrscheinlich „den Explosionsradius des Hijacks verringerte. Uns sind derzeit keine Auswirkungen auf die Benutzer bekannt. Wir werden Updates bereitstellen, wenn sich dies ändert.“
easyDNS hat seit dem Angriff Änderungen vorgenommen
Jeftovic beschrieb den Social-Engineering-Angriff als „sehr raffiniert“ und sagte, easyDNS führe immer noch eine Obduktion darüber durch, wie es zu dem Verstoß kam, und habe bereits mit der Einführung von Änderungen begonnen, um eine Wiederholung zu verhindern.
Quelle: easyDNS
„Im Fall von eth.limo werden wir sie zu Domainsure migrieren, dessen Sicherheitslage eher für Unternehmens- und hochwertige Fintech-Domains geeignet ist. TLDR, es gibt keinen Mechanismus für eine Kontowiederherstellung auf Domainsure, das ist keine Sache“, fügte er hinzu.
„Im Namen aller hier entschuldige ich mich beim eth.limo-Team und der breiteren Ethereum-Community. $ENS hatte schon immer einen besonderen Platz in unserem Herzen, da wir der erste Registrar waren, der die Verknüpfung von $ENS mit web2-Domains ermöglichte, und wir engagieren uns seit 2017 in diesem Bereich.“
Der eth.limo-Vorfall ist der jüngste in einer Reihe von Domain-Hijackings, die auf Krypto-Projekte abzielen. Tage zuvor verlor der dezentrale Börsenaggregator CoW Swap die Kontrolle über seine Website, nachdem eine unbekannte Partei seine Domain gekapert hatte.
Steakhouse Financial, ein DeFi-Beratungs- und Forschungsunternehmen, gab Ende März ebenfalls bekannt, dass es die Kontrolle über seine Domain an einen Angreifer verloren hatte.