Ethereum Name Service gateway eth.limo heeft onthuld dat de domainkaping op vrijdag werd veroorzaakt door een social engineering-aanval gericht op EasyDNS, zijn domeinnaamserviceprovider.
Volgens een postmortem gepubliceerd door eth.limo op zaterdag, heeft een aanvaller zich voorgedaan als een van zijn teamleden om een accountherstelproces met easyDNS te starten, waardoor toegang werd verkregen tot het eth.limo-account en zij de domeininstellingen konden wijzigen.
"De NS-records werden gewijzigd en doorgestuurd naar Cloudflare... Zodra we begrepen dat er een DNS-kaping had plaatsgevonden, hebben we onmiddellijk de gemeenschap en ook Vitalik Buterin en anderen op de hoogte gebracht. We begonnen vervolgens EasyDNS te contacteren in een poging om op het incident te reageren," aldus het bedrijf.
Eth.limo fungeert als een Web2-brug en biedt toegang tot ongeveer 2 miljoen gedecentraliseerde websites met de .eth-domeinnaam. Het kapen van de dienst zou een aanvaller in staat kunnen stellen gebruikers om te leiden naar kwaadaardige websites. Ethereum medeoprichter Vitalik Buterin waarschuwde gebruikers vrijdag om zijn blog te vermijden totdat het incident was opgelost.
Mark Jeftovic, CEO van easyDNS, heeft publiekelijk verantwoordelijkheid aanvaard voor het incident in zijn eigen postmortem-rapport.
"We hebben het verknald en we erkennen het," zei Jeftovic op zaterdag.
Beide bedrijven hebben gewezen op de Domain Name System Security Extension (DNSSEC) bij het verijdelen van de pogingen van de hacker om verdere schade aan te richten.
De aanvaller kon geen geldige cryptografische handtekeningen produceren, dus Domain Name System-resolvers verwierpen de vervalste DNS-antwoorden van de aanvaller, waardoor gebruikers foutmeldingen te zien kregen in plaats van te worden omgeleid naar kwaadaardige sites.
"DNSSEC was ingeschakeld voor hun domein toen de aanvallers probeerden hun naamservers om te draaien, vermoedelijk om een of andere vorm van phishing- of malware-injectieaanval uit te voeren, DNSSEC-bewuste resolvers, wat de meeste tegenwoordig zijn, begonnen queries te droppen," zei Jeftovic.
Bron: eth.limo
In zijn postmortem merkte eth.limo op dat omdat de aanvaller de ondertekeningssleutels niet had, ze niet in staat waren de beveiligingsmaatregelen te omzeilen, wat waarschijnlijk "de explosieradius van de kaping heeft verminderd. We zijn ons op dit moment niet bewust van enige impact op gebruikers. We zullen updates verstrekken als dat verandert."
easyDNS voert wijzigingen door sinds de aanval
Jeftovic omschreef de social engineering-aanval als "zeer geavanceerd" en zei dat easyDNS nog steeds een postmortem uitvoert over hoe de inbreuk plaatsvond, en al begonnen is met het uitrollen van wijzigingen om herhaling te voorkomen.
Bron: easyDNS
"In het geval van eth.limo zullen we ze migreren naar Domainsure, dat een beveiligingspositie heeft die beter geschikt is voor enterprise- en hoogwaardige fintech-domeinen, TLDR er is geen mechanisme voor accountherstel op Domainsure, het is geen optie," voegde hij toe.
"Namens iedereen hier bied ik mijn excuses aan aan het eth.limo-team en de bredere Ethereum-gemeenschap. ENS heeft altijd een speciale plaats in ons hart gehad als de eerste registrar die ENS-koppeling aan web2-domeinen mogelijk maakte en we zijn sinds 2017 betrokken bij de sector."
Gerelateerd: RaveDAO ontkent manipulatie terwijl Binance, Bitget RAVE-handelsactiviteit onderzoeken
Het eth.limo-incident is het nieuwste in een reeks domeinkapingen gericht op cryptoprojecten. Enkele dagen eerder verloor gedecentraliseerde exchange-aggregator CoW Swap de controle over zijn website nadat een onbekende partij zijn domein had gekaapt.
Steakhouse Financial, een DeFi-advies- en onderzoeksbureau, onthulde op vergelijkbare wijze eind maart dat het de controle over zijn domein aan een aanvaller had verloren.
Magazine: Zal de CLARITY Act goed — of slecht — zijn voor DeFi?
- #Business
- #Ethereum
- #Technology
- #Internet
- #Vitalik Buterin
- #Industry
