Een postmortem van Steakhouse heeft nieuw licht geworpen op een beveiligingsincident op 30 maart. Aanvallers kaapten kort het domein om een phishingsite te serveren, waardoor een kritieke zwakte in off-chain infrastructuur werd blootgelegd in plaats van in on-chain systemen.
Het team bevestigde dat de aanval voortkwam uit een geslaagde social engineering-poging gericht op zijn domeinregistrar, OVHcloud. Dit stelde de aanvaller in staat om tweefactorauthenticatie te omzeilen en controle over DNS-records over te nemen.
Social engineering leidde tot volledige accountovername
Volgens het rapport nam de aanvaller contact op met de supportdesk van de registrar, deed zich voor als de accounteigenaar en overtuigde een supportmedewerker om hardware-gebaseerde tweefactorauthenticatie te verwijderen.
Zodra toegang werd verleend, voerde de aanvaller snel een reeks geautomatiseerde acties uit. Dit omvatte het verwijderen van bestaande beveiligingsreferenties, het inschrijven van nieuwe authenticatieapparaten en het omleiden van DNS-records naar infrastructuur onder hun controle.
Dit maakte de implementatie mogelijk van een gekloonde Steakhouse-website met een ingebouwde wallet drainer, die ongeveer vier uur met tussenpozen toegankelijk bleef.
Phishingsite actief, maar fondsen bleven veilig
Ondanks de ernst van de inbreuk verklaarde Steakhouse dat er geen gebruikersfondsen verloren gingen en dat er geen kwaadaardige transacties werden bevestigd.
De compromittering was beperkt tot de domeinlaag. On-chain vaults en smart contracts, die onafhankelijk van de frontend werken, werden niet getroffen. Het protocol benadrukte dat het geen beheerdersleutels heeft die toegang kunnen krijgen tot gebruikersdeposito's.
Browserwallet-beveiligingen van providers zoals MetaMask en Phantom markeerden de phishingsite snel, terwijl het team binnen 30 minuten na het detecteren van het incident een openbare waarschuwing uitgaf.
Postmortem benadrukt leveranciersrisico en single points of failure
Het rapport wijst op een belangrijk falen in de beveiligingsaannames van Steakhouse: afhankelijkheid van een enkele registrar wiens supportprocessen hardware-gebaseerde beveiligingen konden overrulen.
Het vermogen om tweefactorauthenticatie via een telefoongesprek uit te schakelen, zonder robuuste out-of-band verificatie, veranderde een referentielek effectief in een volledige accountovername.
Steakhouse erkende dat het dit risico niet adequaat had beoordeeld en beschreef de registrar als een "single point of failure" in zijn infrastructuur.
Off-chain kwetsbaarheden blijven een zwakke schakel
Het incident onderstreept een breder probleem in cryptobeveiliging — dat sterke on-chain beschermingen risico's in de omliggende infrastructuur niet elimineren.
Hoewel smart contracts en vaults veilig bleven, stelde controle over DNS de aanvaller in staat om gebruikers via phishing te targeten, een methode die steeds gebruikelijker wordt in het ecosysteem.
De aanval omvatte ook tools die consistent waren met "drainer-as-a-service"-operaties, wat benadrukt hoe aanvallers social engineering blijven combineren met kant-en-klare exploitkits.
Beveiligingsupgrades en volgende stappen
Na het incident is Steakhouse gemigreerd naar een veiligere registrar. Het implementeerde continue DNS-monitoring, roteerde referenties en lanceerde een bredere evaluatie van beveiligingspraktijken van leveranciers.
Het team introduceerde ook strengere controles voor domeinbeheer, waaronder hardware key enforcement en registrar-niveau vergrendelingen.
Eindsamenvating
- Steakhouse's postmortem onthult dat een registrar-niveau 2FA-omzeiling een DNS-kaping mogelijk maakte, waardoor gebruikers werden blootgesteld aan phishing ondanks veilige on-chain systemen.
- Het incident benadrukt hoe off-chain infrastructuur en leveranciersbeveiliging kritieke kwetsbaarheden blijven in crypto-ecosystemen.
Bron: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
