EasyDNS визнає відповідальність після атаки соціальної інженерії, яка короткочасно захопила eth.limo

• Реклама -

• eth.limo коротко було захоплено після того, як зловмисник використав соціальну інженерію, щоб обдурити реєстратор EasyDNS і ініціювати відновлення облікового запису.

• EasyDNS заявила, що цей інцидент був її першим успішним зломом через соціальну інженерію за 28 років і взяла на себе відповідальність за компрометацію.

Реєстратор, а не протокол, став слабким місцем.

Вхідною точкою стала шлюзова служба Ethereum Name Service eth.limo, яка була коротко захоплена в п’ятницю ввечері після того, як зловмисник видав себе за члена команди і переконав реєстратора, EasyDNS, ініціювати процес відновлення облікового запису, згідно з аналізами, опублікованими як проектом, так і генеральним директором EasyDNS Марком Джефовічем.

Процес відновлення реєстратора став точкою входу

Таймлайн був напруженим, але не тривіальним. О 19:07 за східним часом 17 квітня зловмисник нібито зв’язався з EasyDNS, видаючи себе за члена команди eth.limo. Це призвело до ініціації процесу відновлення облікового запису реєстратором. За кілька годин, о 2:23 ночі за східним часом 18 квітня, зловмисник змінив сервери імен домену на Cloudflare, що викликало автоматичні сповіщення про простій, які розбудили команду eth.limo.

Після цього сервери імен були знову змінені о 3:57 ранку за східним часом, цього разу на Namecheap, перед тим, як EasyDNS відновила доступ до облікового запису для легітимної команди о 7:49 ранку за східним часом.

Ця послідовність важлива, оскільки компрометація не почалася з експлойти смарт-контракту або зломом гаманця. Вона почалася з процесу підтримки. У крипто-світі цю різницю постійно наголошують. Код може бути надійним, але навколишня інфраструктура, домени, реєстратори, потоки електронної пошти, служби підтримки — все ще несе старі ризики Інтернету.

Можливий масштаб наслідків був набагато більшим за один сайт

eth.limo — це не нішевий редирект домену. Це безкоштовний, відкритий проксі-сервер, який дозволяє стандартним браузерам отримувати доступ до контенту, пов’язаного з ENS, зберігається на IPFS, Arweave або Swarm, додаючи до імені .eth суфікс “.limo”.

Його універсальний DNS-запис, *.eth.limo, охоплює приблизно 2 мільйони доменів ENS. Це означає, що успішне захоплення могло перенаправити трафік будь-якої сторінки .eth, доступної через шлюз, включаючи блог Віталіка Бутеріна vitalik.eth.limo, на фішингову інфраструктуру.

EasyDNS заявила, що бере на себе відповідальність за те, що вона описала як свій перший успішний злом через соціальну інженерію за 28 років. Для користувачів ENS цей інцидент є ще одним нагадуванням, що децентралізація часто все ще залежить від дуже централізованих елементів інфраструктури, і коли один з них підводить, наслідки можуть швидко масштабуватися.