EasyDns признается в сбое безопасности после похищения домена eth.limo

EasyDNS подтвердил, что сбой безопасности внутри их систем позволил злоумышленнику, использующему социальную инженерию, кратковременно захватить контроль над eth.limo, основным шлюзом для Ethereum Name Service.

Резюме

• Злоумышленник выдал себя за участника команды eth.limo, чтобы обойти протоколы восстановления аккаунта в easyDNS и получить контроль над настройками домена.
• Защиты DNSSEC предотвратили перенаправление пользователей на вредоносные сайты, отвергая поддельные ответы без действительных криптографических подписей.
• EasyDNS переносит сервис на платформу Domainsure, чтобы устранить уязвимости восстановления аккаунта и предотвратить будущие атаки социальной инженерии.

Инцидент произошел в пятницу, когда злоумышленник успешно выдал себя за участника команды eth.limo, чтобы инициировать процесс восстановления аккаунта, получив полномочия на изменение записей серверов имен и перенаправление домена на Cloudflare.

Команда eth.limo в опубликованном в субботу отчете заявила, что они немедленно уведомили сообщество и известных личностей, таких как соучредитель Ethereum Виталик Бутерин, как только было обнаружено перехватывание DNS.

Будучи мостом для примерно 2 миллионов децентрализованных сайтов, eth.limo является высокорисковой целью, поскольку успешное взлом может позволить хакерам перенаправлять пользователей на вредоносные страницы. Сам Бутерин в пятницу выпустил срочное предупреждение, советуя своим читателям избегать его блога, пока команда не восстановит безопасную работу сервиса.

Расширения безопасности предотвращают широкомасштабное воздействие

Генеральный директор EasyDNS Марк Джефтович отметил, что наличие расширения безопасности системы доменных имен (DNSSEC) сыграло важную роль в предотвращении дальнейших повреждений злоумышленником.

Поскольку у хакера отсутствовали необходимые криптографические ключи подписи, современные резолверы, поддерживающие DNS, отвергли поддельные ответы, в результате чего пользователи видели сообщения об ошибках вместо перенаправления на фишинговые сайты.

«Мы допустили ошибку, и мы это признаем», — заявил Джефтович в субботу, признавая, что это первый успешный случай социальной инженерии за 28-летнюю историю провайдера.

Разработчики eth.limo в своем отчете подчеркнули, что эти меры безопасности, вероятно, снизили «радиус поражения» перехвата. Хотя сервис был временно недоступен, команда в настоящее время не знает о подтвержденных случаях воздействия на пользователей или потере средств.

Джефтович добавил, что eth.limo сейчас переносится на платформу Domainsure, которая не предлагает механизма ручного восстановления аккаунта, что фактически закрывает уязвимость, использованную в этой атаке.

Последний инцидент — один из многих недавних атак на инфраструктуру, поражающих сектор криптовалют. Всего несколько дней назад, 14 апреля, децентрализованный агрегатор обменов CoW Swap потерял контроль над своим доменом на несколько часов после аналогичной атаки социальной инженерии против реестра .fi, что привело к предполагаемой потере 1,2 миллиона долларов у пострадавших пользователей.