EasyDNS визнає відповідальність після соціальної інженерної атаки, яка короткочасно захопила eth.limo

• Реклама -

• eth.limo коротко було захоплено після того, як зловмисник використав соціальну інженерію, щоб обдурити реєстратор EasyDNS і ініціювати відновлення облікового запису.

• EasyDNS заявила, що цей інцидент був її першою успішною атакою соціальної інженерії за 28 років і взяла на себе відповідальність за компрометацію.

Реєстратор, а не протокол, став слабким місцем.

Вхідною точкою стала шлюзова служба Ethereum Name Service eth.limo, яка коротко була захоплена у п’ятницю ввечері після того, як зловмисник видав себе за члена команди і переконав реєстратора EasyDNS ініціювати процес відновлення облікового запису, згідно з аналізами, опублікованими як проектом, так і генеральним директором EasyDNS Марком Джефовічем.

Процес відновлення реєстратора став точкою входу

Таймлайн був напруженим, але не тривіальним. О 19:07 за східним часом 17 квітня зловмисник нібито зв’язався з EasyDNS, видаючи себе за члена команди eth.limo. Це призвело до ініціації процесу відновлення облікового запису реєстратором. За кілька годин, о 2:23 ранку 18 квітня за східним часом, зловмисник змінив сервери імен домену на Cloudflare, що викликало автоматичні сповіщення про простій, які розбудили команду eth.limo.

Після цього сервери імен були знову змінені о 3:57 ранку за східним часом на Namecheap, перед тим як EasyDNS відновила доступ до облікового запису для легітимної команди о 7:49 ранку за східним часом.

Ця послідовність важлива, оскільки компрометація не почалася з експлойти смарт-контракту або зломом гаманця. Вона почалася з процесу підтримки. У крипто-світі цю різницю постійно наголошують. Код може бути надійним, але навколишня інфраструктура, домени, реєстратори, потоки електронної пошти, служби підтримки — все ще несе старі ризики Інтернету.

Можливий масштаб наслідків був набагато більшим, ніж один сайт

eth.limo — це не нішевий редирект домену. Це безкоштовний, відкритий зворотній проксі, який дозволяє стандартним браузерам отримувати доступ до контенту, пов’язаного з ENS, що зберігається на IPFS, Arweave або Swarm, додавши “.limo” до імені .eth.

Його універсальний DNS-запис, *.eth.limo, охоплює приблизно 2 мільйони доменів ENS. Це означає, що успішне захоплення могло перенаправити трафік будь-якої сторінки .eth, доступної через шлюз, включаючи блог Віталіка Бутеріна vitalik.eth.limo, на фішингову інфраструктуру.

EasyDNS заявила, що бере на себе відповідальність за те, що вона описала як свій перший успішний випадок соціальної інженерії за 28 років. Для користувачів ENS цей інцидент є ще одним нагадуванням, що децентралізація часто все ще залежить від дуже централізованих елементів інфраструктури, і коли один з них підводить, наслідки можуть швидко масштабуватися.