Wie ein Social-Engineering-Angriff auf eth.limo die Domain-Sicherheitslücke von Crypto aufdeckte

Inhaltsverzeichnis Ein Domain-Hijacking-Vorfall zielte am späten Freitagabend auf das Ethereum Name Service-Gateway eth.limo ab, nachdem ein Angreifer das EasyDNS-Personal durch Social-Engineering-Taktiken erfolgreich manipuliert hatte. 🚨UPDATE: @eth_limo bestätigt einen DNS-Hijack, nachdem Angreifer sein EasyDNS-Konto über Social Engineering kompromittiert haben. Böswillige Nameserver-Änderungen leiten den Datenverkehr kurzzeitig um, bevor sie rückgängig gemacht werden. DNSSEC half, den Angriff einzudämmen – es wurden keine Auswirkungen auf die Benutzer gemeldet. pic.twitter.com/I6ebk0bL5A – The Crypto Times (@CryptoTimes_io) 20. April 2026 Der böswillige Akteur leitete um 19:07 Uhr ein betrügerisches Kontowiederherstellungsverfahren mit EasyDNS ein. Eastern Time am 17. April, wobei er sich als legitimes eth.limo-Personal ausgab. Am 18. April um 2:23 Uhr Ostküstenzeit hatte der Angreifer die Nameserver-Konfiguration von eth.limo erfolgreich so geändert, dass sie auf die Cloudflare-Infrastruktur zeigte. Eine zweite Nameserver-Änderung leitete den Datenverkehr um 3:57 Uhr Eastern Time zu Namecheap um. Die legitime Kontokontrolle wurde den echten eth.limo-Betreibern um 7:49 Uhr Eastern Time wiederhergestellt, womit ein etwa fünfstündiger unbefugter Zugriff endete. https://t.co/of1ktfaPss – ETH.LIMO 🦇🔊 (@eth_limo) 18. April 2026 Die eth.limo-Plattform fungiert als wichtige Brücke, die herkömmliche Webbrowser mit Ethereum Name Service-Adressen verbindet. Der Dienst unterstützt etwa 2 Millionen .eth-Domains, einschließlich der persönlichen Website des Ethereum-Mitbegründers Vitalik Buterin unter vitalik.eth.limo. Wäre der Hijack vollständig gelungen, hätte der Täter Besucher über jede .eth-Domain auf eine bösartige Phishing-Infrastruktur umleiten können. Buterin gab am Freitag Warnungen heraus und empfahl seiner Zielgruppe, alle eth.limo-URLs vorübergehend zu umgehen und stattdessen über IPFS auf Inhalte zuzugreifen. Dem böswilligen Akteur gelang es nicht, die kryptografischen DNSSEC-Signaturschlüssel von eth.limo zu erhalten. Dieses Fehlen bedeutete, dass der Angreifer keine authentisch signierten DNS-Antworten generieren konnte. DNS-Resolver-Systeme, die die geänderten Nameserver-Daten validieren, haben Diskrepanzen mit legitimen kryptografischen Datensätzen festgestellt. Anstatt Besucher an vom Angreifer kontrollierte Ziele weiterzuleiten, generierten Resolver Fehlerbenachrichtigungen. „DNSSEC hat wahrscheinlich den Explosionsradius der Entführung reduziert. Uns sind derzeit keine Auswirkungen auf die Benutzer bekannt“, erklärte das eth.limo-Team in seiner Vorfallanalyse. Buterin bestätigte am Samstag, dass die Krise „jetzt vollständig gelöst“ sei. Mark Jeftovic, CEO von EasyDNS, veröffentlichte seine persönliche Stellungnahme zu dem Kompromiss mit dem Titel „Wir haben es vermasselt und es gehört uns.“ Er bezeichnete es als die erste erfolgreiche Social-Engineering-Penetration gegen jeden EasyDNS-Kunden in der fast drei Jahrzehnte währenden Betriebsgeschichte des Unternehmens. „Dies wäre der erste erfolgreiche Social-Engineering-Angriff gegen einen easyDNS-Client in unserer 28-jährigen Geschichte. Es gab unzählige Versuche“, räumte Jeftovic ein. Jeftovic betonte, dass es bei diesem Vorfall keine weiteren EasyDNS-Kunden zu Kompromittierungen gekommen sei. Die eth.limo-Domäne wird zu Domainsure migriert, einer mit EasyDNS verbundenen Plattform, die speziell für Unternehmens- und Hochsicherheitskunden entwickelt wurde. Die Architektur von Domainsure schließt bewusst die Funktion zur Kontowiederherstellung aus und eliminiert so den bei diesem Angriff ausgenutzten Schwachstellenvektor. Jeftovic gab an, dass EasyDNS weiterhin die genaue Methodik untersucht, die der Angreifer bei der Sicherheitsverletzung eingesetzt hat. Dieser Vorfall stellt einen weiteren Datenpunkt in einem eskalierenden Trend dar. Im November 2025 kam es zu DNS-Hijackings, die auf die dezentralen Börsen Aerodrome und Velodrome abzielten, was dazu führte, dass Benutzern über 700.000 US-Dollar gestohlen wurden, nachdem Angreifer den Registrar NameSilo kompromittiert und den DNSSEC-Schutz dieser Domänen entfernt hatten. Der Stablecoin-Infrastrukturanbieter Steakhouse Financial hat am 30. März einen vergleichbaren Verstoß aufgedeckt, nachdem das OVH-Supportpersonal erfolgreich manipuliert hatte und die Zwei-Faktor-Authentifizierungsschutzmaßnahmen vom Konto entfernt hatte. Das eth.limo-Gateway hat unter der Leitung eines autorisierten Teams den normalen Betrieb wieder aufgenommen.