هکرها با جعل هویت تیم eth.limo دامنه آن را ربودند: گزارش پس از حادثه

دروازه سرویس نام اتریوم eth.limo فاش کرده است که ربودن دامنه در روز جمعه ناشی از یک حمله مهندسی اجتماعی علیه EasyDNS، ارائه‌دهنده سرویس نام دامنه آن بوده است. 

طبق گزارشی که توسط eth.limo در روز شنبه منتشر شد، یک مهاجم خود را به جای یکی از اعضای تیم آن جا زد تا فرآیند بازیابی حساب را با easyDNS آغاز کند و دسترسی به حساب eth.limo را به دست آورد و به آن‌ها اجازه داد تنظیمات دامنه را تغییر دهند.

"رکوردهای NS تغییر کردند و به Cloudflare هدایت شدند... به محض اینکه متوجه شدیم که یک هایجک DNS رخ داده است، بلافاصله جامعه و همچنین ویتالیک بوترین و دیگران را مطلع کردیم. سپس شروع به تماس با EasyDNS کردیم تا به این حادثه پاسخ دهیم،" شرکت گفت.

Eth.limo به عنوان یک پل Web2 عمل می‌کند و دسترسی به حدود 2 میلیون وب‌سایت غیرمتمرکز با استفاده از نام دامنه .eth را فراهم می‌کند. ربودن این سرویس می‌تواند به مهاجم اجازه دهد کاربران را به وب‌سایت‌های مخرب هدایت کند. ویتالیک بوترین، یکی از بنیان‌گذاران اتریوم، روز جمعه به کاربران هشدار داد که تا زمان حل این حادثه از بلاگ او دوری کنند.

مارک جفتوویچ، مدیرعامل easyDNS، به طور عمومی مسئولیت این حادثه را در گزارش خود پذیرفته است. 

"ما اشتباه کردیم و آن را می‌پذیریم،" جفتوویچ روز شنبه گفت. 

هر دو شرکت به افزونه امنیت سیستم نام دامنه (DNSSEC) اشاره کرده‌اند که تلاش‌های هکر برای آسیب بیشتر را خنثی کرده است. 

مهاجم نتوانست امضاهای رمزنگاری معتبری تولید کند، بنابراین حل‌کننده‌های سیستم نام دامنه پاسخ‌های DNS جعلی مهاجم را رد کردند و باعث شدند کاربران پیام‌های خطا را ببینند به جای اینکه به سایت‌های مخرب هدایت شوند. 

"DNSSEC برای دامنه آن‌ها فعال شده بود زمانی که مهاجمان سعی کردند نیم‌سرورهای آن‌ها را تغییر دهند، احتمالاً برای انجام نوعی حمله فیشینگ یا تزریق بدافزار، حل‌کننده‌های آگاه به DNSSEC، که امروزه بیشتر آن‌ها هستند، شروع به حذف درخواست‌ها کردند،" جفتوویچ گفت. 

eth.limo در گزارش خود اشاره کرد که به دلیل اینکه مهاجم فاقد کلیدهای امضا بود، نتوانست محافظ‌ها را دور بزند، که احتمالاً "شعاع انفجار هایجک را کاهش داد. ما در حال حاضر از هیچ تأثیری بر کاربران آگاه نیستیم. اگر تغییری ایجاد شود، به‌روزرسانی‌هایی ارائه خواهیم داد."

easyDNS از زمان حمله تغییراتی ایجاد کرده است

جفتوویچ حمله مهندسی اجتماعی را "بسیار پیچیده" توصیف کرد و گفت که easyDNS هنوز در حال بررسی نحوه وقوع نقض است و قبلاً شروع به اعمال تغییرات برای جلوگیری از تکرار کرده است.

"در مورد eth.limo، ما آن‌ها را به Domainsure منتقل خواهیم کرد که وضعیت امنیتی مناسب‌تری برای دامنه‌های سازمانی و فین‌تک با ارزش بالا دارد، به طور خلاصه هیچ مکانیزمی برای بازیابی حساب در Domainsure وجود ندارد، این موضوع وجود ندارد،" او اضافه کرد.

"از طرف همه اینجا، من از تیم eth.limo و جامعه گسترده‌تر اتریوم عذرخواهی می‌کنم. ENS همیشه جایگاه ویژه‌ای در قلب ما به عنوان اولین ثبت‌کننده برای فعال‌سازی پیوند ENS به دامنه‌های web2 داشته است و ما از سال ۲۰۱۷ در این حوزه فعالیت داشته‌ایم."

مرتبط: RaveDAO دستکاری را رد می‌کند زیرا Binance و Bitget فعالیت معاملاتی RAVE را بررسی می‌کنند

حادثه eth.limo آخرین مورد در یک سری ربودن دامنه‌های هدف‌گیری پروژه‌های کریپتو است. چند روز قبل، تجمیع‌کننده صرافی غیرمتمرکز CoW Swap کنترل وب‌سایت خود را از دست داد پس از اینکه یک طرف ناشناس دامنه آن را ربود. 

Steakhouse Financial، یک شرکت مشاوره و تحقیقاتی DeFi، به طور مشابه در پایان مارس فاش کرد که کنترل دامنه خود را به دست یک مهاجم از دست داده است.

مجله: آیا قانون CLARITY برای DeFi خوب خواهد بود — یا بد؟