Как атака социальной инженерии на eth.limo выявила недостаток безопасности домена Crypto

Оглавление Инцидент с захватом домена был нацелен на шлюз службы имен Ethereum eth.limo поздно вечером в пятницу после того, как злоумышленник успешно манипулировал персоналом EasyDNS с помощью тактики социальной инженерии. 🚨ОБНОВЛЕНИЕ: @eth_limo подтверждает взлом DNS после того, как злоумышленники скомпрометировали его учетную запись EasyDNS с помощью социальной инженерии. Вредоносный сервер имен кратковременно перенаправляет трафик, прежде чем его реверсируют. DNSSEC помог сдержать атаку — о воздействии на пользователей не сообщалось. pic.twitter.com/I6ebk0bL5A — The Crypto Times (@CryptoTimes_io) 20 апреля 2026 г. В 19:07 злоумышленник инициировал мошенническую процедуру восстановления учетной записи с помощью EasyDNS. 17 апреля по восточному времени, выдавая себя за законного персонала eth.limo. К 2:23 ночи по восточному времени 18 апреля злоумышленник успешно изменил конфигурацию сервера имен eth.limo, указав на инфраструктуру Cloudflare. Вторая модификация сервера имен перенаправила трафик на Namecheap в 3:57 утра по восточному времени. Законный контроль над счетами был восстановлен подлинным операторам eth.limo в 7:49 утра по восточному времени, что положило конец примерно пяти часам несанкционированного доступа. https://t.co/of1ktfaPss — ETH.LIMO 🦇🔊 (@eth_limo) 18 апреля 2026 г. Платформа eth.limo функционирует как критически важный мост, соединяющий обычные веб-браузеры с адресами службы имен Ethereum. Сервис поддерживает около 2 миллионов доменов .eth, включая личный сайт соавтора Ethereum Виталика Бутерина по адресуvitalik.eth.limo. Если бы взлом удался полностью, злоумышленник мог бы перенаправить посетителей через любой домен .eth на вредоносную фишинговую инфраструктуру. В пятницу Бутерин выступил с предупреждениями, посоветовав своей аудитории временно обойти все URL-адреса eth.limo и вместо этого получить доступ к контенту через IPFS. Злоумышленнику не удалось получить ключи криптографической подписи DNSSEC eth.limo. Это отсутствие означало, что злоумышленник не мог генерировать подлинно подписанные ответы DNS. Системы DNS-преобразователей, проверяющие измененные данные сервера имен, обнаружили несоответствия с законными криптографическими записями. Вместо того, чтобы перенаправлять посетителей в пункты назначения, контролируемые злоумышленниками, преобразователи генерировали уведомления об ошибках. "DNSSEC, вероятно, уменьшил радиус взрыва в результате угона. В настоящее время нам не известно о каком-либо воздействии на пользователя", - заявила команда eth.limo в своем анализе инцидента. В субботу Бутерин подтвердил, что кризис «теперь полностью решен». Марк Ефтович, генеральный директор EasyDNS, опубликовал свое личное заявление по поводу компромисса под названием «Мы облажались, и мы признаем это». Он охарактеризовал это как первое успешное проникновение социальной инженерии против любого клиента EasyDNS за почти трехдесятилетнюю историю деятельности компании. "Это будет первая успешная атака с помощью социальной инженерии против клиента easyDNS за нашу 28-летнюю историю. Попыток было бесчисленное множество", - признал Ефтович. Джефтович подчеркнул, что во время этого инцидента ни один дополнительный клиент EasyDNS не пострадал. Домен eth.limo будет перенесен на Domainsure, платформу, дочернюю EasyDNS, разработанную специально для корпоративных клиентов и клиентов с высоким уровнем безопасности. Архитектура Domainsure намеренно исключает функцию восстановления учетной записи, устраняя вектор уязвимости, используемый в этой атаке. Джефтович отметил, что EasyDNS продолжает расследование точной методологии, которую злоумышленник использовал во время взлома. Этот инцидент представляет собой еще одну точку данных в усиливающейся тенденции. В ноябре 2025 года произошла перехват DNS, нацеленная на децентрализованные биржи Aerodrome и Velodrome, в результате чего у пользователей было украдено более 700 000 долларов после того, как злоумышленники скомпрометировали регистратора NameSilo и лишили этих доменов защиты DNSSEC. Поставщик инфраструктуры стейблкоинов Steakhouse Financial обнаружил аналогичное нарушение 30 марта после успешных манипуляций персоналом службы поддержки OVH, который удалил средства двухфакторной аутентификации из учетной записи. Шлюз eth.limo возобновил нормальную работу под руководством авторизованной команды.