EasyDns визнає про помилку безпеки після викрадення домену eth.limo

EasyDNS підтвердив, що внутрішня помилка безпеки у їхніх системах дозволила соціальному інженеру короткочасно захопити контроль над eth.limo, основним шлюзом для Ethereum Name Service.

Резюме

• Зловмисник видавав себе за члена команди eth.limo, щоб обійти протоколи відновлення облікових записів у easyDNS і отримати контроль над налаштуваннями домену.
• Захист DNSSEC запобігав перенаправленню користувачів на шкідливі сайти, відхиляючи підроблені відповіді без дійсних криптографічних підписів.
• EasyDNS переносить сервіс на Domainsure, щоб усунути вразливості відновлення облікових записів і запобігти майбутнім атакам соціального інженерінгу.

Інцидент стався у п’ятницю, коли зловмисник успішно видав себе за члена команди eth.limo, щоб ініціювати процес відновлення облікового запису, отримавши право змінювати записи серверів і перенаправляти домен до Cloudflare.

Команда eth.limo у пост-мортемі, опублікованому у суботу, заявила, що вони негайно повідомили спільноту та видатних фігур, таких як співзасновник Ethereum Віталік Бутерін, щойно було виявлено перехоплення DNS.

Виступаючи як міст для приблизно 2 мільйонів децентралізованих сайтів, eth.limo є ціллю високого ризику, оскільки успішне компрометування може дозволити хакерам перенаправляти користувачів на шкідливі сторінки. Сам Бутерін у п’ятницю опублікував термінове попередження, радячи своїм читачам утриматися від відвідування його блогу, поки команда не відновить безпечну роботу.

Розширення безпеки запобігають поширенню наслідків

Генеральний директор EasyDNS Марк Йефтович зазначив, що наявність розширення безпеки системи доменних імен (DNSSEC) відіграла ключову роль у запобіганні подальшого шкоди з боку зловмисника.

Оскільки хакер не мав необхідних криптографічних ключів підпису, сучасні DNS-розв’язувачі, що підтримують безпеку, відхилили підроблені відповіді, і користувачі бачили повідомлення про помилки замість перенаправлення на фішингові сайти.

«Ми зробили помилку і визнаємо це», — заявив Йефтович у суботу, визнаючи, що це перший успішний випадок соціального інженерінгу за 28 років існування провайдера.

Розробники eth.limo у своєму звіті підкреслили, що ці заходи безпеки ймовірно зменшили «радіус ураження» від перехоплення. Хоча сервіс був порушений, команда наразі не має підтверджених випадків впливу на користувачів або втрат коштів.

Йефтович додав, що eth.limo зараз переноситься на платформу Domainsure, яка не пропонує механізм ручного відновлення облікового запису, ефективно закриваючи лазівку, яку використали у цій атаці.

Останній інцидент є одним із багатьох недавніх атак на інфраструктуру у секторі криптовалют. Лише кілька днів тому, 14 квітня, децентралізований агрегатор бірж CoW Swap втратив контроль над своїм доменом на кілька годин після подібної атаки соціального інженерінгу проти реєстру .fi, що призвело до втрати приблизно 1,2 мільйона доларів від постраждалих користувачів.