Un análisis post mortem de Steakhouse ha arrojado nueva luz sobre un incidente de seguridad del 30 de marzo. Los atacantes secuestraron brevemente su dominio para servir un sitio de phishing, exponiendo una debilidad crítica en la infraestructura off-chain en lugar de los sistemas en cadena.
El equipo confirmó que el ataque se originó por un intento exitoso de ingeniería social dirigido a su registrador de dominio, OVHcloud. Esto permitió al atacante eludir la autenticación de dos factores y tomar el control de los registros DNS.
La ingeniería social llevó a la toma completa de la cuenta
Según el informe, el atacante contactó al servicio de soporte del registrador, se hizo pasar por el propietario de la cuenta y convenció a un agente de soporte para eliminar la autenticación de dos factores basada en hardware.
Una vez que se otorgó el acceso, el atacante ejecutó rápidamente una serie de acciones automatizadas. Esto incluyó eliminar las credenciales de seguridad existentes, registrar nuevos dispositivos de autenticación y redirigir los registros DNS a la infraestructura bajo su control.
Esto permitió el despliegue de un sitio web clonado de Steakhouse con un drenador de billeteras integrado, que permaneció accesible de manera intermitente durante aproximadamente cuatro horas.
Sitio de phishing activo, pero los fondos permanecieron seguros
A pesar de la gravedad de la vulneración, Steakhouse declaró que no se perdieron fondos de usuarios y no se confirmaron transacciones maliciosas.
El compromiso se limitó a la capa de dominio. Las bóvedas en cadena y los contratos inteligentes, que operan independientemente del frontend, no se vieron afectados. El protocolo enfatizó que no posee claves de administrador que puedan acceder a los depósitos de los usuarios.
Las protecciones de billeteras de navegador de proveedores como MetaMask y Phantom marcaron rápidamente el sitio de phishing, mientras que el equipo emitió una advertencia pública dentro de los 30 minutos de detectar el incidente.
El análisis post mortem destaca el riesgo del proveedor y los puntos únicos de falla
El informe señala una falla clave en las suposiciones de seguridad de Steakhouse: la dependencia de un único registrador cuyos procesos de soporte podrían anular las protecciones basadas en hardware.
La capacidad de desactivar la autenticación de dos factores mediante una llamada telefónica, sin una verificación robusta fuera de banda, efectivamente convirtió una filtración de credenciales en una toma completa de la cuenta.
Steakhouse reconoció que no había evaluado adecuadamente este riesgo, describiendo al registrador como un "punto único de falla" en su infraestructura.
Las vulnerabilidades off-chain siguen siendo un eslabón débil
El incidente subraya un problema más amplio en la seguridad cripto: que las fuertes protecciones en cadena no eliminan los riesgos en la infraestructura circundante.
Mientras que los contratos inteligentes y las bóvedas permanecieron seguros, el control sobre el DNS permitió al atacante atacar a los usuarios a través de phishing, un método cada vez más común en el ecosistema.
El ataque también involucró herramientas consistentes con operaciones de "drenador como servicio", destacando cómo los atacantes continúan combinando la ingeniería social con kits de explotación listos para usar.
Mejoras de seguridad y próximos pasos
Tras el incidente, Steakhouse ha migrado a un registrador más seguro. Implementó monitoreo continuo de DNS, rotó credenciales y lanzó una revisión más amplia de las prácticas de seguridad del proveedor.
El equipo también introdujo controles más estrictos para la gestión de dominios, incluyendo la aplicación de claves de hardware y bloqueos a nivel de registrador.
Resumen Final
- El análisis post mortem de Steakhouse revela que una elusión de 2FA a nivel de registrador permitió un secuestro de DNS, exponiendo a los usuarios al phishing a pesar de los sistemas seguros en cadena.
- El incidente destaca cómo la infraestructura off-chain y la seguridad del proveedor siguen siendo vulnerabilidades críticas en los ecosistemas cripto.
Fuente: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
