Хакеры выдали себя за команду eth.limo, чтобы захватить ее домен: вскрытие
Шлюз службы имен Ethereum eth.limo сообщил, что захват домена в пятницу был вызван атакой социальной инженерии, направленной против EasyDNS, поставщика услуг доменных имен.
Согласно отчету, опубликованному eth.limo в субботу, злоумышленник выдал себя за одного из членов своей команды, чтобы инициировать процесс восстановления учетной записи с помощью easyDNS, предоставив доступ к учетной записи eth.limo и позволив им изменять настройки домена.
"Записи NS были изменены и направлены в Cloudflare... Как только мы поняли, что произошел захват DNS, мы немедленно уведомили сообщество, а также Виталика Бутерина и других. Затем мы начали связываться с EasyDNS, пытаясь отреагировать на инцидент", - заявили в компании.
Eth.limo служит мостом Web2, обеспечивая доступ примерно к 2 миллионам децентрализованных веб-сайтов, использующих доменное имя .eth. Взлом службы может позволить злоумышленнику перенаправить пользователей на вредоносные веб-сайты. Соучредитель Ethereum Виталик Бутерин в пятницу предупредил пользователей, чтобы они не посещали его блог, пока инцидент не будет решен.
Марк Ефтович, генеральный директор easyDNS, публично признал ответственность за инцидент в своем собственном отчете о вскрытии.
«Мы облажались, и мы владеем этим», — сказал Ефтович в субботу.
"Это станет первой успешной атакой социальной инженерии на клиента easyDNS за нашу 28-летнюю историю. Попыток было бесчисленное множество".
Обе компании указали на расширение безопасности системы доменных имен (DNSSEC), которое предотвратит попытки хакера нанести дальнейший ущерб.
Злоумышленник не смог создать действительные криптографические подписи, поэтому преобразователи системы доменных имен отклонили поддельные ответы DNS злоумышленника, в результате чего пользователи увидели сообщения об ошибках, а не были перенаправлены на вредоносные сайты.
«DNSSEC был включен для их домена, когда злоумышленники попытались переключить свои серверы имен, предположительно для проведения какой-то фишинговой атаки или атаки с внедрением вредоносного ПО, резолверы, поддерживающие DNSSEC, которых в наши дни большинство, начали отбрасывать запросы», — сказал Джефтович.
Источник: eth.limo
В своем исследовании eth.limo отметил, что, поскольку у злоумышленника не было ключей подписи, он не смог обойти меры безопасности, что, вероятно, "уменьшило радиус взрыва от взлома. В настоящее время нам не известно о каком-либо влиянии на пользователей. Мы предоставим обновления, если что-то изменится".
easyDNS вносит изменения после атаки
Джефтович охарактеризовал атаку с помощью социальной инженерии как «очень сложную» и сказал, что easyDNS все еще проводит вскрытие того, как произошла утечка, и уже начала вносить изменения, чтобы предотвратить повторение.
Источник: easyDNS
«В случае с eth.limo мы перенесем их в Domainsure, уровень безопасности которого больше подходит для корпоративных и дорогостоящих доменов финансовых технологий. TLDR, в Domainsure нет механизма восстановления учетной записи, это не проблема», — добавил он.
«От имени всех присутствующих я приношу извинения команде eth.limo и всему сообществу Ethereum. $ENS всегда занимал особое место в нашем сердце как первый регистратор, который позволил $ENS привязываться к доменам web2, и мы участвуем в этой сфере с 2017 года».
Инцидент с eth.limo — последний в серии захватов доменов, нацеленных на криптопроекты. Несколькими днями ранее децентрализованный агрегатор бирж CoW Swap потерял контроль над своим веб-сайтом после того, как неизвестная сторона захватила его домен.
Steakhouse Financial, консультационная и исследовательская фирма DeFi, также сообщила в конце марта, что потеряла контроль над своим доменом из-за злоумышленника.