Cryptonews

Des pirates se sont fait passer pour l'équipe eth.limo pour pirater son domaine : post-mortem

Source
cryptonewstrend.com
Publié
Des pirates se sont fait passer pour l'équipe eth.limo pour pirater son domaine : post-mortem

La passerelle Ethereum Name Service eth.limo a révélé que le piratage de domaine de vendredi avait été causé par une attaque d'ingénierie sociale dirigée contre EasyDNS, son fournisseur de services de noms de domaine.

Selon une autopsie publiée par eth.limo samedi, un attaquant s'est fait passer pour l'un des membres de son équipe pour lancer un processus de récupération de compte avec easyDNS, accordant l'accès au compte eth.limo et leur permettant de modifier les paramètres de domaine.

"Les enregistrements NS ont été modifiés et dirigés vers Cloudflare... Une fois que nous avons compris qu'un piratage DNS avait eu lieu, nous avons immédiatement informé la communauté ainsi que Vitalik Buterin et d'autres. Nous avons ensuite commencé à contacter EasyDNS pour tenter de répondre à l'incident", a déclaré la société.

Eth.limo sert de pont Web2, donnant accès à environ 2 millions de sites Web décentralisés utilisant le nom de domaine .eth. Le détournement du service pourrait permettre à un attaquant de rediriger les utilisateurs vers des sites Web malveillants. Le co-fondateur d'Ethereum, Vitalik Buterin, a averti vendredi les utilisateurs d'éviter son blog jusqu'à ce que l'incident soit résolu.

Mark Jeftovic, PDG d'easyDNS, a publiquement reconnu la responsabilité de l'incident dans son propre rapport post-mortem.

"Nous avons fait une erreur et nous en sommes propriétaires", a déclaré Jeftovic samedi.

"Il s'agirait de la première attaque d'ingénierie sociale réussie contre un client easyDNS au cours de nos 28 ans d'histoire. Il y a eu d'innombrables tentatives."

Les deux sociétés ont souligné l’extension de sécurité du système de noms de domaine (DNSSEC) pour contrecarrer les tentatives du pirate informatique de causer davantage de dégâts.

L’attaquant n’a pas pu produire de signatures cryptographiques valides. Les résolveurs du système de noms de domaine ont donc rejeté les réponses DNS falsifiées de l’attaquant, ce qui a amené les utilisateurs à voir des messages d’erreur au lieu d’être redirigés vers des sites malveillants.

"DNSSEC a été activé pour leur domaine lorsque les attaquants ont tenté de retourner leurs serveurs de noms, probablement pour effectuer une sorte d'attaque de phishing ou d'injection de logiciels malveillants, les résolveurs prenant en charge DNSSEC, comme la plupart le sont de nos jours, ont commencé à abandonner les requêtes", a déclaré Jeftovic.

Source : eth.limo

Dans son autopsie, eth.limo a noté que l'attaquant n'ayant pas les clés de signature, il n'a pas pu contourner les protections, ce qui a probablement "réduit le rayon d'explosion du détournement. Nous ne sommes au courant d'aucun impact sur l'utilisateur pour le moment. Nous fournirons des mises à jour si cela change".

easyDNS apporte des modifications depuis l'attaque

Jeftovic a qualifié l'attaque d'ingénierie sociale de « très sophistiquée » et a déclaré qu'easyDNS procédait toujours à une analyse post-mortem de la façon dont la violation s'était produite et avait déjà commencé à déployer des changements pour éviter qu'elle ne se reproduise.

Source : easyDNS

"Dans le cas d'eth.limo, nous allons les migrer vers Domainsure, qui a une posture de sécurité plus adaptée aux domaines d'entreprise et de technologie financière de grande valeur, TLDR il n'y a pas de mécanisme de récupération de compte sur Domainsure, ce n'est pas une chose", a-t-il ajouté.

"Au nom de tout le monde ici, je m'excuse auprès de l'équipe eth.limo et de la communauté Ethereum au sens large. $ENS a toujours eu une place particulière dans notre cœur en tant que premier registraire à permettre la liaison $ENS aux domaines web2 et nous sommes impliqués dans l'espace depuis 2017. "

L'incident eth.limo est le dernier d'une série de piratages de domaines ciblant des projets de cryptographie. Quelques jours plus tôt, l'agrégateur d'échange décentralisé CoW Swap avait perdu le contrôle de son site Web après qu'un inconnu ait détourné son domaine.

Steakhouse Financial, une société de conseil et de recherche DeFi, a également révélé fin mars qu'elle avait perdu le contrôle de son domaine au profit d'un attaquant.