黑客冒充 eth.limo 团队劫持其域名：事后分析

以太坊名称服务网关 eth.limo 透露，周五的域名劫持是由针对其域名服务提供商 EasyDNS 的社会工程攻击引起的。

根据 eth.limo 周六发布的事后报告，攻击者冒充其团队成员之一使用 easyDNS 启动帐户恢复过程，授予对 eth.limo 帐户的访问权限并允许他们更改域设置。

“NS 记录已更改并定向到 Cloudflare……一旦我们了解到发生了 DNS 劫持，我们立即通知社区以及 Vitalik Buterin 和其他人。然后我们开始联系 EasyDNS，试图对这一事件做出回应，”该公司表示。

Eth.limo 充当 Web2 桥梁，使用 .eth 域名提供对约 200 万个去中心化网站的访问。劫持该服务可能会让攻击者将用户重定向到恶意网站。以太坊联合创始人 Vitalik Buterin 周五警告用户，在事件得到解决之前不要访问他的博客。

easyDNS 首席执行官马克·杰夫托维奇 (Mark Jeftovic) 在其事后分析报告中公开承认对此事件负责。

“我们搞砸了，但我们拥有了它，”杰夫托维奇周六说道。

“这将标志着我们 28 年历史上针对 easyDNS 客户端的首次成功的社会工程攻击。已经有无数次尝试了。”

两家公司都指出域名系统安全扩展 (DNSSEC) 阻止了黑客造成进一步破坏的企图。

攻击者无法生成有效的加密签名，因此域名系统解析器拒绝了攻击者伪造的 DNS 响应，导致用户看到错误消息，而不是被重定向到恶意站点。

Jeftovic 表示：“当攻击者试图翻转其域名服务器时，他们的域名启用了 DNSSEC，可能是为了实施某种形式的网络钓鱼或恶意软件注入攻击，而如今大多数支持 DNSSEC 的解析器开始丢弃查询。”

来源：eth.limo

eth.limo 在事后分析中指出，由于攻击者缺乏签名密钥，他们无法绕过安全措施，这可能“减少了劫持的影响范围。目前我们不知道对用户有任何影响。如果情况发生变化，我们将提供更新。”

easyDNS 自攻击以来进行了更改

Jeftovic 将此次社会工程攻击描述为“高度复杂”，并表示 easyDNS 仍在对泄露事件的发生方式进行事后分析，并已开始推出更改以防止再次发生。

来源：easyDNS

“就 eth.limo 而言，我们将把它们迁移到 Domainsure，Domainsure 的安全状况更适合企业和高价值金融科技领域，总之，Domainsure 上没有帐户恢复机制，这不是一件事，”他补充道。

“我代表这里的每个人，向 eth.limo 团队和更广泛的以太坊社区道歉。$ENS 作为第一个允许 $ENS 链接到 web2 域的注册商，在我们心中一直占有特殊的地位，我们自 2017 年以来一直参与该领域。”

eth.limo 事件是一系列针对加密项目的域名劫持事件中的最新一起。几天前，去中心化交易所聚合商 CoW Swap 在未知方劫持其域名后失去了对其网站的控制。

DeFi 咨询和研究公司 Steakhouse Financial 在 3 月底也同样披露，其域名的控制权已被攻击者夺走。