Χάκερς υποδύθηκαν την ομάδα eth.limo για να καταλάβουν το domain της: Ανάλυση μετά το συμβάν

Η πύλη Ethereum Name Service eth.limo αποκάλυψε ότι η αρπαγή domain την Παρασκευή προκλήθηκε από μια επίθεση social engineering που στόχευε την EasyDNS, τον πάροχο υπηρεσιών ονομάτων domain της. 

Σύμφωνα με μια ανάλυση που δημοσίευσε η eth.limo το Σάββατο, ένας επιτιθέμενος υποδύθηκε ένα από τα μέλη της ομάδας της για να ξεκινήσει μια διαδικασία ανάκτησης λογαριασμού με την easyDNS, αποκτώντας πρόσβαση στον λογαριασμό eth.limo και επιτρέποντάς τους να αλλάξουν τις ρυθμίσεις του domain.

"Οι εγγραφές NS άλλαξαν και κατευθύνθηκαν στην Cloudflare... Μόλις καταλάβαμε ότι είχε πραγματοποιηθεί μια αρπαγή DNS, ειδοποιήσαμε αμέσως την κοινότητα καθώς και τον Vitalik Buterin και άλλους. Στη συνέχεια αρχίσαμε να επικοινωνούμε με την EasyDNS σε μια προσπάθεια να ανταποκριθούμε στο περιστατικό", δήλωσε η εταιρεία.

Το Eth.limo λειτουργεί ως γέφυρα Web2, παρέχοντας πρόσβαση σε περίπου 2 εκατομμύρια αποκεντρωμένες ιστοσελίδες που χρησιμοποιούν το όνομα domain .eth. Η αρπαγή της υπηρεσίας θα μπορούσε να επιτρέψει σε έναν επιτιθέμενο να ανακατευθύνει χρήστες σε κακόβουλες ιστοσελίδες. Ο συνιδρυτής του Ethereum Vitalik Buterin προειδοποίησε τους χρήστες την Παρασκευή να αποφύγουν το blog του μέχρι να επιλυθεί το περιστατικό.

Ο Mark Jeftovic, CEO της easyDNS, έχει αναλάβει δημοσίως την ευθύνη για το περιστατικό στη δική της αναφορά ανάλυσης. 

"Τα κάναμε μούσκεμα και το αναλαμβάνουμε", δήλωσε ο Jeftovic το Σάββατο. 

Και οι δύο εταιρείες έχουν επισημάνει το Domain Name System Security Extension (DNSSEC) στην ματαίωση των προσπαθειών του hacker να προκαλέσει περαιτέρω ζημιά. 

Ο επιτιθέμενος δεν μπορούσε να παράγει έγκυρες κρυπτογραφικές υπογραφές, επομένως οι επιλύτες Domain Name System απέρριψαν τις πλαστές απαντήσεις DNS του επιτιθέμενου, προκαλώντας στους χρήστες να βλέπουν μηνύματα σφάλματος αντί να ανακατευθύνονται σε κακόβουλες ιστοσελίδες. 

"Το DNSSEC ήταν ενεργοποιημένο για το domain τους όταν οι επιτιθέμενοι προσπάθησαν να αλλάξουν τους nameservers τους, πιθανώς για να πραγματοποιήσουν κάποιου είδους επίθεση phishing ή έγχυσης malware, οι επιλύτες που υποστηρίζουν DNSSEC, που είναι οι περισσότεροι σήμερα, άρχισαν να απορρίπτουν τα αιτήματα", δήλωσε ο Jeftovic. 

Στην ανάλυσή της, η eth.limo σημείωσε ότι επειδή ο επιτιθέμενος δεν διέθετε τα κλειδιά υπογραφής, δεν μπόρεσε να παρακάμψει τα μέτρα προστασίας, κάτι που πιθανώς "μείωσε την ακτίνα έκρηξης της αρπαγής. Δεν γνωρίζουμε καμία επίπτωση στους χρήστες αυτή τη στιγμή. Θα παρέχουμε ενημερώσεις αν αυτό αλλάξει."

Η easyDNS κάνει αλλαγές μετά την επίθεση

Ο Jeftovic περιέγραψε την επίθεση social engineering ως "εξαιρετικά εξελιγμένη", και είπε ότι η easyDNS εξακολουθεί να διεξάγει ανάλυση για το πώς συνέβη η παραβίαση, και έχει ήδη αρχίσει να εφαρμόζει αλλαγές για να αποτρέψει μια επανάληψη.

"Στην περίπτωση της eth.limo, θα τη μεταφέρουμε στη Domainsure, η οποία έχει μια στάση ασφαλείας πιο κατάλληλη για εταιρικά και υψηλής αξίας fintech domains, TLDR δεν υπάρχει μηχανισμός για ανάκτηση λογαριασμού στη Domainsure, δεν υπάρχει τέτοιο πράγμα", πρόσθεσε.

"Εκ μέρους όλων εδώ, ζητώ συγγνώμη από την ομάδα eth.limo και την ευρύτερη κοινότητα Ethereum. Το ENS είχε πάντα μια ιδιαίτερη θέση στην καρδιά μας ως ο πρώτος καταχωρητής που επέτρεψε τη σύνδεση ENS με web2 domains και έχουμε εμπλακεί στον χώρο από το 2017."

Σχετικό: Το RaveDAO αρνείται χειραγώγηση καθώς οι Binance, Bitget ερευνούν τη δραστηριότητα συναλλαγών RAVE

Το περιστατικό eth.limo είναι το τελευταίο σε μια σειρά αρπαγών domain που στοχεύουν crypto έργα. Μερικές ημέρες νωρίτερα, ο συγκεντρωτής αποκεντρωμένων ανταλλαγών CoW Swap έχασε τον έλεγχο της ιστοσελίδας του αφού ένα άγνωστο μέρος άρπαξε το domain του. 

Η Steakhouse Financial, μια συμβουλευτική και ερευνητική εταιρεία DeFi, αποκάλυψε παρομοίως στα τέλη Μαρτίου ότι είχε χάσει τον έλεγχο του domain της σε έναν επιτιθέμενο.

Περιοδικό: Θα είναι καλός — ή κακός — ο νόμος CLARITY για το DeFi;