Raport pośmiertny od Steakhouse rzucił nowe światło na incydent bezpieczeństwa z 30 marca. Atakujący krótkotrwale przejęli domenę, aby hostować stronę phishingową, ujawniając krytyczną słabość w infrastrukturze off-chain, a nie w systemach on-chain.
Zespół potwierdził, że atak wynikał z udanej próby inżynierii społecznej skierowanej na rejestratora domeny, OVHcloud. Umożliwiło to atakującemu ominięcie uwierzytelniania dwuskładnikowego i przejęcie kontroli nad rekordami DNS.
Inżynieria społeczna doprowadziła do pełnego przejęcia konta
Według raportu, atakujący skontaktował się z działem wsparcia rejestratora, podszył się pod właściciela konta i przekonał pracownika wsparcia do usunięcia uwierzytelniania dwuskładnikowego opartego na sprzęcie.
Po uzyskaniu dostępu, atakujący szybko wykonał serię zautomatyzowanych działań. Obejmowało to usunięcie istniejących danych uwierzytelniających, zarejestrowanie nowych urządzeń uwierzytelniających i przekierowanie rekordów DNS do infrastruktury pod ich kontrolą.
Umożliwiło to wdrożenie sklonowanej strony internetowej Steakhouse z osadzonym drainerem portfeli, która pozostawała okresowo dostępna przez około cztery godziny.
Strona phishingowa aktywna, ale środki pozostały bezpieczne
Pomimo powagi naruszenia, Steakhouse oświadczył, że żadne środki użytkowników nie zostały utracone i nie potwierdzono złośliwych transakcji.
Kompromitacja była ograniczona do warstwy domeny. Skarbce on-chain i inteligentne kontrakty, które działają niezależnie od frontendu, nie zostały dotknięte. Protokół podkreślił, że nie posiada kluczy administratora, które mogłyby uzyskać dostęp do depozytów użytkowników.
Zabezpieczenia portfeli przeglądarki od dostawców takich jak MetaMask i Phantom szybko oznaczyły stronę phishingową, a zespół wydał publiczne ostrzeżenie w ciągu 30 minut od wykrycia incydentu.
Raport pośmiertny podkreśla ryzyko dostawcy i pojedyncze punkty awarii
Raport wskazuje na kluczową porażkę w założeniach bezpieczeństwa Steakhouse: poleganie na jednym rejestratorze, którego procesy wsparcia mogły nadpisać zabezpieczenia oparte na sprzęcie.
Możliwość wyłączenia uwierzytelniania dwuskładnikowego przez telefon, bez solidnej weryfikacji poza pasmem, skutecznie przekształciła wyciek danych uwierzytelniających w pełne przejęcie konta.
Steakhouse przyznał, że nie ocenił odpowiednio tego ryzyka, opisując rejestratora jako "pojedynczy punkt awarii" w swojej infrastrukturze.
Podatności off-chain pozostają słabym ogniwem
Incydent podkreśla szerszy problem w bezpieczeństwie kryptowalut — że silne zabezpieczenia on-chain nie eliminują ryzyk w otaczającej infrastrukturze.
Podczas gdy inteligentne kontrakty i skarbce pozostały bezpieczne, kontrola nad DNS pozwoliła atakującemu atakować użytkowników przez phishing, metodę coraz bardziej powszechną w ekosystemie.
Atak obejmował również narzędzia zgodne z operacjami "drainer-as-a-service", podkreślając, jak atakujący nadal łączą inżynierię społeczną z gotowymi zestawami exploitów.
Aktualizacje bezpieczeństwa i kolejne kroki
Po incydencie Steakhouse przeniósł się do bardziej bezpiecznego rejestratora. Wdrożył ciągłe monitorowanie DNS, rotację danych uwierzytelniających i rozpoczął szerszy przegląd praktyk bezpieczeństwa dostawców.
Zespół wprowadził również bardziej rygorystyczne kontrole zarządzania domeną, w tym egzekwowanie kluczy sprzętowych i blokady na poziomie rejestratora.
Podsumowanie końcowe
- Raport pośmiertny Steakhouse ujawnia, że ominięcie 2FA na poziomie rejestratora umożliwiło przechwycenie DNS, narażając użytkowników na phishing pomimo bezpiecznych systemów on-chain.
- Incydent podkreśla, jak infrastruktura off-chain i bezpieczeństwo dostawców pozostają krytycznymi podatnościami w ekosystemach kryptowalutowych.
Źródło: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
