Los piratas informáticos se hicieron pasar por el equipo de eth.limo para secuestrar su dominio: post-mortem
La puerta de enlace del servicio de nombres Ethereum eth.limo ha revelado que el secuestro de dominio del viernes fue causado por un ataque de ingeniería social dirigido contra EasyDNS, su proveedor de servicios de nombres de dominio.
Según una autopsia publicada por eth.limo el sábado, un atacante se hizo pasar por uno de los miembros de su equipo para iniciar un proceso de recuperación de cuenta con easyDNS, otorgándole acceso a la cuenta eth.limo y permitiéndole modificar la configuración del dominio.
"Los registros NS fueron cambiados y dirigidos a Cloudflare... Una vez que entendimos que se había producido un secuestro de DNS, notificamos inmediatamente a la comunidad, así como a Vitalik Buterin y otros. Luego comenzamos a contactar a EasyDNS en un intento de responder al incidente", dijo la compañía.
Eth.limo sirve como puente Web2 y brinda acceso a alrededor de 2 millones de sitios web descentralizados que utilizan el nombre de dominio .eth. El secuestro del servicio podría permitir a un atacante redirigir a los usuarios a sitios web maliciosos. El cofundador de Ethereum, Vitalik Buterin, advirtió a los usuarios el viernes que evitaran su blog hasta que se resolviera el incidente.
Mark Jeftovic, director ejecutivo de easyDNS, aceptó públicamente la responsabilidad del incidente en su propio informe post mortem.
"Cometimos un error y somos responsables", dijo Jeftovic el sábado.
"Esto marcaría el primer ataque exitoso de ingeniería social contra un cliente easyDNS en nuestros 28 años de historia. Ha habido innumerables intentos".
Ambas compañías han señalado a la Extensión de Seguridad del Sistema de Nombres de Dominio (DNSSEC) para frustrar los intentos del hacker de causar más daño.
El atacante no pudo producir firmas criptográficas válidas, por lo que los solucionadores del sistema de nombres de dominio rechazaron las respuestas DNS falsificadas del atacante, lo que provocó que los usuarios vieran mensajes de error en lugar de ser redirigidos a sitios maliciosos.
"Se habilitó DNSSEC para su dominio cuando los atacantes intentaron cambiar sus servidores de nombres, presumiblemente para efectuar algún tipo de ataque de phishing o inyección de malware, los solucionadores compatibles con DNSSEC, que son la mayoría en estos días, comenzaron a descartar consultas", dijo Jeftovic.
Fuente: eth.limo
En su autopsia, eth.limo señaló que debido a que el atacante carecía de las claves de firma, no pudo eludir las salvaguardas, lo que probablemente "redujo el radio de explosión del secuestro. No tenemos conocimiento de ningún impacto en el usuario en este momento. Proporcionaremos actualizaciones si eso cambia".
easyDNS realiza cambios desde el ataque
Jeftovic describió el ataque de ingeniería social como "altamente sofisticado" y dijo que easyDNS todavía está realizando una autopsia sobre cómo ocurrió la infracción y ya ha comenzado a implementar cambios para evitar que se repita.
Fuente: fácilDNS
"En el caso de eth.limo, los migraremos a Domainsure, que tiene una postura de seguridad más adecuada para dominios empresariales y fintech de alto valor. TLDR, no existe ningún mecanismo para la recuperación de una cuenta en Domainsure, no existe", agregó.
"En nombre de todos los presentes, pido disculpas al equipo de eth.limo y a la comunidad Ethereum en general. $ENS siempre ha tenido un lugar especial en nuestro corazón como el primer registrador que permitió el enlace de $ENS a dominios web2 y hemos estado involucrados en el espacio desde 2017".
El incidente de eth.limo es el último de una serie de secuestros de dominios dirigidos a proyectos criptográficos. Días antes, el agregador de intercambios descentralizado CoW Swap perdió el control de su sitio web después de que un desconocido secuestrara su dominio.
Steakhouse Financial, una empresa de investigación y asesoramiento de DeFi, reveló de manera similar a finales de marzo que había perdido el control de su dominio a manos de un atacante.