EasyDns admite falha de segurança após sequestro do domínio eth.limo

A EasyDNS confirmou que uma falha de segurança em seus próprios sistemas permitiu que um atacante de engenharia social assumisse temporariamente o controle do eth.limo, um gateway principal para o Serviço de Nomes Ethereum.

Resumo

• Um atacante se passou por um membro da equipe eth.limo para contornar os protocolos de recuperação de conta na easyDNS e obter controle das configurações do domínio.
• As salvaguardas DNSSEC impediram o redirecionamento de usuários para sites maliciosos ao rejeitar respostas forjadas que não possuíam assinaturas criptográficas válidas.
• A EasyDNS está migrando o serviço para a Domainsure para eliminar vulnerabilidades de recuperação de conta e evitar futuras brechas de engenharia social.

O incidente ocorreu na sexta-feira, quando um atacante conseguiu se passar por um membro da equipe eth.limo para iniciar um processo de recuperação de conta, adquirindo autoridade para modificar registros de servidores de nomes e redirecionar o domínio para a Cloudflare.

A equipe eth.limo, em uma análise post-mortem publicada no sábado, afirmou que notificou imediatamente a comunidade e figuras de destaque como o cofundador do Ethereum, Vitalik Buterin, assim que o sequestro do DNS foi identificado.

Servindo como uma ponte para cerca de 2 milhões de sites descentralizados, o eth.limo é um alvo de alto risco porque uma violação bem-sucedida poderia permitir que hackers desviassem usuários para páginas maliciosas. Buterin mesmo emitiu um aviso urgente na sexta-feira, aconselhando seus leitores a evitarem seu blog até que a equipe pudesse restaurar operações seguras.

Extensões de segurança evitam impacto generalizado

O CEO da EasyDNS, Mark Jeftovic, observou que a presença da Extensão de Segurança do Sistema de Nomes de Domínio (DNSSEC) desempenhou um papel fundamental ao impedir que o atacante causasse mais danos.

Como o hacker não possuía as chaves criptográficas necessárias, os resolvers modernos compatíveis com DNS rejeitaram as respostas forjadas, resultando na exibição de mensagens de erro aos usuários em vez de serem direcionados para sites de phishing.

“Erramos e assumimos a responsabilidade,” afirmou Jeftovic no sábado, reconhecendo que esta foi a primeira brecha de engenharia social bem-sucedida na história de 28 anos do provedor.

Os desenvolvedores do eth.limo destacaram em seu próprio relatório que essas salvaguardas provavelmente reduziram o “raio de impacto” do sequestro. Embora o serviço tenha sido interrompido, a equipe atualmente não tem conhecimento de impacto confirmado nos usuários ou perdas de fundos.

Jeftovic acrescentou que o eth.limo está sendo migrado para a Domainsure, uma plataforma de nível empresarial que não oferece um mecanismo manual de recuperação de conta, fechando efetivamente a brecha explorada neste ataque.

O incidente mais recente é um dos muitos ataques recentes à infraestrutura que atingem o setor de criptomoedas. Apenas dias antes, em 14 de abril, o agregador de trocas descentralizadas CoW Swap perdeu o controle de seu domínio por várias horas após um ataque de engenharia social semelhante contra o registro .fi, levando a uma perda estimada de 1,2 milhões de dólares dos usuários afetados.