La pasarela de Ethereum Name Service eth.limo ha revelado que un secuestro de dominio el viernes fue causado por un ataque de ingeniería social dirigido contra easyDNS, su proveedor de servicios de nombres de dominio.
Según un informe post-mortem publicado por eth.limo el sábado, un atacante se hizo pasar por uno de los miembros del equipo para iniciar un proceso de recuperación de cuenta con easyDNS, lo que otorgó acceso a la cuenta de eth.limo y les permitió alterar la configuración del dominio.
“Los registros NS fueron cambiados y dirigidos a Cloudflare… Una vez que entendimos que había ocurrido un secuestro de DNS, notificamos inmediatamente a la comunidad y a Vitalik Buterin, entre otros. Luego comenzamos a contactar a EasyDNS en un intento de responder al incidente”, dijo la empresa.
Eth.limo sirve como un puente Web2, proporcionando acceso a alrededor de 2 millones de sitios web descentralizados que utilizan el nombre de dominio .eth. El secuestro del servicio podría permitir a un atacante redirigir a los usuarios a sitios web maliciosos. El cofundador de Ethereum Vitalik Buterin advirtió a los usuarios el viernes que evitaran su blog hasta que se resolviera el incidente.
El CEO de easyDNS, Mark Jeftovic, ha aceptado públicamente la responsabilidad del incidente en su propio informe post-mortem.
“Nos equivocamos y lo admitimos”, dijo Jeftovic el sábado.
“Esto marcaría el primer ataque exitoso de ingeniería social contra un cliente de easyDNS en nuestra historia de 28 años. Ha habido numerosos intentos.”
Ambas empresas han señalado que la extensión de seguridad del sistema de nombres de dominio (DNSSEC) frustró los intentos del pirata informático de causar más daños.
El atacante no pudo producir firmas criptográficas válidas, por lo que los resolvedores del sistema de nombres de dominio rechazaron las respuestas DNS falsas del atacante, lo que provocó que los usuarios vieran mensajes de error en lugar de ser redirigidos a sitios maliciosos.
“DNSSEC estaba habilitado para su dominio cuando los atacantes intentaron cambiar sus servidores de nombres, presumiblemente para efectuar algún tipo de ataque de phishing o inyección de malware. Los resolvedores conscientes de DNSSEC, que la mayoría son hoy en día, comenzaron a dejar de lado las consultas”, dijo Jeftovic.
En su informe post-mortem, eth.limo señaló que debido a que el atacante carecía de las claves de firma, no pudo eludir las salvaguardias, lo que probablemente “redujo el radio de explosión del secuestro. No estamos al tanto de ningún impacto en los usuarios en este momento. Proporcionaremos actualizaciones si eso cambia.”
easyDNS realiza cambios desde el ataque
Jeftovic describió el ataque de ingeniería social como “muy sofisticado” y dijo que easyDNS todavía está llevando a cabo un análisis post-mortem sobre cómo ocurrió la brecha, y ya ha comenzado a implementar cambios para evitar que vuelva a suceder.
“En el caso de eth.limo, los migraremos a Domainsure, que tiene una postura de seguridad más adecuada para dominios de fintech empresariales y de alto valor. En pocas palabras, no hay mecanismo de recuperación de cuenta en Domainsure, no existe”, agregó.
“En nombre de todos aquí, me disculpo con el equipo de eth.limo y la comunidad más amplia de Ethereum. ENS siempre ha tenido un lugar especial en nuestro corazón como el primer registrador que permitió la vinculación de ENS a dominios web2 y hemos estado involucrados en el espacio desde 2017.”
El incidente de eth.limo es el último de una serie de secuestros de dominios que apuntan a proyectos de criptomonedas. Días antes, el agregador de intercambio descentralizado CoW Swap perdió el control de su sitio web después de que una parte desconocida secuestrara su dominio.
Steakhouse Financial, una firma de asesoramiento y investigación DeFi, reveló a fines de marzo que había perdido el control de su dominio por un atacante.
