EasyDns admite fallo de seguridad tras el secuestro del dominio eth.limo

EasyDNS ha confirmado que una falla de seguridad en sus propios sistemas permitió que un atacante de ingeniería social tomara brevemente el control de eth.limo, una puerta de entrada principal para el Servicio de Nombres de Ethereum.

Resumen

• Un atacante se hizo pasar por un miembro del equipo de eth.limo para eludir los protocolos de recuperación de cuenta en easyDNS y obtener control de la configuración del dominio.
• Las salvaguardas DNSSEC impidieron la redirección de usuarios a sitios maliciosos al rechazar respuestas falsificadas que carecían de firmas criptográficas válidas.
• EasyDNS está migrando el servicio a Domainsure para eliminar las vulnerabilidades en la recuperación de cuentas y prevenir futuros ataques de ingeniería social.

El incidente ocurrió el viernes cuando un atacante logró hacerse pasar por un miembro del equipo de eth.limo para iniciar un proceso de recuperación de cuenta, obteniendo la autoridad para modificar los registros de los servidores de nombres y redirigir el dominio a Cloudflare.

El equipo de eth.limo, en un informe posterior publicado el sábado, afirmó que notificaron de inmediato a la comunidad y a figuras prominentes como Vitalik Buterin, cofundador de Ethereum, una vez que se identificó el secuestro de DNS.

Sirviendo como un puente para aproximadamente 2 millones de sitios web descentralizados, eth.limo es un objetivo de alto riesgo porque un compromiso exitoso podría permitir a los hackers desviar a los usuarios a páginas maliciosas. El propio Buterin emitió una advertencia urgente el viernes, aconsejando a sus lectores que evitaran su blog hasta que el equipo pudiera restaurar operaciones seguras.

Las extensiones de seguridad previenen un impacto generalizado

El CEO de EasyDNS, Mark Jeftovic, señaló que la presencia de la Extensión de Seguridad del Sistema de Nombres de Dominio (DNSSEC) jugó un papel crucial para detener al atacante de causar más daños.

Debido a que el hacker carecía de las claves criptográficas necesarias para firmar, los resolutores modernos con conocimiento de DNS rechazaron las respuestas falsificadas, lo que resultó en que los usuarios vieran mensajes de error en lugar de ser dirigidos a sitios de phishing.

“Cometimos un error y lo asumimos”, declaró Jeftovic el sábado, reconociendo que esta fue la primera brecha exitosa de ingeniería social en los 28 años de historia del proveedor.

Los desarrolladores de eth.limo destacaron en su propio informe que estas salvaguardas probablemente redujeron el “radio de impacto” del secuestro. Aunque el servicio fue interrumpido, el equipo actualmente no tiene conocimiento de ningún impacto confirmado en los usuarios ni pérdidas de fondos.

Jeftovic agregó que eth.limo ahora está siendo migrado a Domainsure, una plataforma de nivel empresarial que no ofrece un mecanismo manual de recuperación de cuentas, cerrando efectivamente la brecha explotada en este ataque.

El incidente más reciente es uno de los muchos ataques recientes a la infraestructura que afectan al sector cripto. Solo unos días antes, el 14 de abril, el agregador de intercambios descentralizados CoW Swap perdió el control de su dominio durante varias horas tras un ataque similar de ingeniería social contra el registro .fi, lo que llevó a una pérdida estimada de 1,2 millones de dólares de los usuarios afectados.