Автор Chao Cheng Zedong тема Новости

Злоумышленники выдали себя за команду eth.limo и перехватили домен сервиса

Злоумышленники выдали себя за команду eth.limo и перехватили домен сервиса

Шлюз Ethereum Name Service eth.limo сообщил, что перехват домена в пятницу произошел из-за атаки социальной инженерии, направленной на EasyDNS — регистратора и провайдера доменных услуг сервиса.

В опубликованном в субботу разборе инцидента eth.limo указал, что атакующий выдал себя за одного из участников команды и запустил процедуру восстановления доступа у EasyDNS. Это позволило получить доступ к аккаунту eth.limo и изменить настройки домена.

По данным компании, NS-записи были изменены и направлены на Cloudflare. После того как стало ясно, что произошел DNS-захват, команда оперативно предупредила сообщество, а также Виталика Бутерина и других, и начала связываться с EasyDNS для реагирования на инцидент.

Eth.limo работает как мост в Web2 и обеспечивает доступ примерно к 2 млн децентрализованных сайтов с доменом .eth. Захват такого сервиса теоретически мог бы позволить перенаправлять пользователей на вредоносные ресурсы. В пятницу Виталик Бутерин предупредил пользователей не заходить на его блог до устранения проблемы.

Генеральный директор EasyDNS Марк Джефтович публично признал ответственность за случившееся в собственном отчете о происшествии, отметив, что это первая успешная атака социальной инженерии против клиента EasyDNS за 28 лет работы компании, хотя попыток было множество.

Обе стороны подчеркнули, что DNSSEC помог ограничить последствия: у атакующего не получилось создать корректные криптографические подписи, поэтому резолверы, поддерживающие DNSSEC, отклоняли поддельные ответы DNS. Из-за этого пользователи чаще видели ошибки, а не попадали на подмененные страницы.

Источник: eth.limo

В eth.limo добавили, что у злоумышленника не было ключей подписи, поэтому он не смог обойти защитные механизмы, что, вероятно, снизило масштаб инцидента. На данный момент компания не знает о последствиях для пользователей и пообещала сообщить, если это изменится.

EasyDNS меняет процессы после атаки

Джефтович назвал атаку «высокосложной» и сообщил, что EasyDNS продолжает внутреннее расследование и уже внедряет изменения, чтобы предотвратить повторение подобных случаев.

Источник: easyDNS

По его словам, eth.limo планируют перевести на Domainsure — решение с более жестким уровнем защиты для корпоративных и высокоценных финтех-доменов. Он подчеркнул, что в Domainsure отсутствует механизм восстановления аккаунта.

Глава EasyDNS также принес извинения команде eth.limo и сообществу Ethereum, отметив, что ENS имеет для компании особое значение, поскольку EasyDNS в числе первых поддержал привязку ENS к доменам Web2 и работает в этой сфере с 2017 года.

Инцидент с eth.limo стал очередным в ряду захватов доменов, нацеленных на криптопроекты. Ранее агрегатор DEX CoW Swap временно потерял контроль над сайтом из-за захвата домена неизвестной стороной. В конце марта Steakhouse Financial также сообщила, что злоумышленник получил контроль над ее доменом.