EasyDNS hat bestätigt, dass ein Social-Engineering-Angreifer aufgrund eines Sicherheitsfehlers in seinen eigenen Systemen kurzzeitig die Kontrolle über eth.limo, ein primäres Gateway für den Ethereum Name Service, übernehmen konnte.
Zusammenfassung
- Ein Angreifer gab sich als Mitglied des eth.limo-Teams aus, um die Kontowiederherstellungsprotokolle bei easyDNS zu umgehen und die Kontrolle über die Domäneneinstellungen zu erlangen.
- DNSSEC-Schutzmaßnahmen verhinderten die Umleitung von Benutzern auf bösartige Websites, indem sie gefälschte Antworten ohne gültige kryptografische Signaturen zurückwiesen.
- EasyDNS migriert den Dienst zu Domainsure, um Schwachstellen bei der Kontowiederherstellung zu beseitigen und zukünftige Social-Engineering-Verstöße zu verhindern.
Der Vorfall ereignete sich am Freitag, als es einem Angreifer gelang, sich als Mitglied des eth.limo-Teams auszugeben, um einen Kontowiederherstellungsprozess einzuleiten und sich die Berechtigung zu verschaffen, Nameserver-Datensätze zu ändern und die Domäne an Cloudflare umzuleiten.
Das eth.limo-Team in einer Obduktion veröffentlicht Am Samstag gaben sie an, dass sie die Community und prominente Persönlichkeiten wie Ethereum-Mitbegründer Vitalik Buterin sofort benachrichtigt hätten, sobald der DNS-Hijack identifiziert wurde.
eth.limo dient als Brücke für rund 2 Millionen dezentrale Websites und ist ein hochriskantes Ziel, da ein erfolgreicher Angriff es Hackern ermöglichen könnte, Benutzer auf bösartige Seiten umzuleiten. Buterin selbst gab am Freitag eine dringende Warnung heraus und riet seinen Lesern, seinen Blog zu meiden, bis das Team den sicheren Betrieb wiederherstellen könne.
Sicherheitserweiterungen verhindern weitreichende Auswirkungen
EasyDNS-CEO Mark Jeftovic notiert dass das Vorhandensein der Domain Name System Security Extension (DNSSEC) eine entscheidende Rolle dabei spielte, den Angreifer davon abzuhalten, weiteren Schaden anzurichten.
Da dem Hacker die erforderlichen kryptografischen Signaturschlüssel fehlten, lehnten moderne DNS-fähige Resolver die gefälschten Antworten ab, was dazu führte, dass Benutzer Fehlermeldungen sahen, anstatt auf Phishing-Sites weitergeleitet zu werden.
„Wir haben es vermasselt und es gehört uns“, erklärte Jeftovic am Samstag und räumte ein, dass dies der erste erfolgreiche Social-Engineering-Verstoß in der 28-jährigen Geschichte des Anbieters sei.
Die Entwickler von eth.limo betonten in ihrem eigenen Bericht, dass diese Sicherheitsmaßnahmen wahrscheinlich den „Explosionsradius“ der Entführung verringerten. Obwohl der Dienst unterbrochen war, sind dem Team derzeit keine bestätigten Auswirkungen auf die Nutzer oder Geldverluste bekannt.
Jeftovic fügte hinzu, dass eth.limo jetzt auf Domainsure migriert wird, eine Plattform der Unternehmensklasse, die keinen manuellen Kontowiederherstellungsmechanismus bietet, wodurch die bei diesem Angriff ausgenutzte Lücke effektiv geschlossen wird.
Der jüngste Vorfall ist einer der vielen jüngsten Infrastrukturangriffe auf den Kryptosektor. Nur wenige Tage zuvor, am 14. April, startete der dezentrale Börsenaggregator CoW Swap verlor die Kontrolle über seine Domäne mehrere Stunden lang nach einem ähnlichen Social-Engineering-Angriff auf die .fi-Registrierung, der zu einem geschätzten Verlust von 1,2 Millionen US-Dollar bei den betroffenen Benutzern führte.
