Вечером в пятницу 17 апреля в результате атаки с использованием социальной инженерии был взломан шлюз Ethereum Name Service eth.limo у его регистратора доменов, подтверждалось в отчёте проекта.
Согласно публикации в блоге генерального директора EasyDNS Марка Джефтовича, 17 апреля злоумышленник, выдав себя за сотрудника команды eth.limo, обманом заставил регистратора EasyDNS запустить процесс восстановления учётной записи.
Злоумышленник переключил серверы имён eth.limo на Cloudflare, что вызвало автоматические оповещения о сбоях, разбудившие команду eth.limo. Затем серверы имён были снова переключены на Namecheap, после чего EasyDNS восстановил доступ к учётным записям команды.
eth.limo — это бесплатный обратный прокси-сервер с открытым исходным кодом, который позволяет пользователям получать доступ к контенту, связанному с ENS и размещённому на IPFS, Arweave или Swarm, через стандартный браузер, добавляя «.limo» к любому имени .eth. Его DNS-запись с подстановочным знаком *.eth.limo охватывает примерно 2 млн доменов .eth, зарегистрированных через ENS (данные EasyDNS).
Успешный перехват этого символа-заменителя позволил бы злоумышленнику перенаправлять трафик для любой страницы .eth, доступной через шлюз, включая личный блог сооснователя Ethereum Виталика Бутерина по адресу vitalik.eth.limo, на фишинговую инфраструктуру.
От имени всех присутствующих я приношу извинения команде eth.limo и всему сообществу Ethereum, — написал Ефтович. — ENS всегда занимал особое место в наших сердцах как первый регистратор, позволивший ENS связываться с доменами web2, и мы работаем в этой сфере с 2017 года.
Как заявили обе команды, этому помешала DNSSEC. Этот стандарт криптографически подписывает DNS-записи, позволяя проверяющим резолверам отклонять неподписанные или неправильно подписанные ответы.
Поскольку злоумышленник так и не получил ключи подписи eth.limo, цепочка доверия нарушилась, когда резолверы проверили новые ответы серверов имён злоумышленника на соответствие легитимной записи DNS, всё ещё кэшированной из родительской зоны. По данным eth.limo, резолверы вернули ошибки SERVFAIL, а не вредоносные ответы.
Вероятно, DNSSEC уменьшил радиус поражения при взломе. На данный момент нам неизвестно о каком-либо влиянии на пользователей, — написала команда eth.limo.
Бутерин, который в пятницу предупреждал пользователей избегать всех URL-адресов eth.limo и указывал им на IPFS напрямую, в субботу подтвердил, что ситуация «полностью урегулирована».
Заместитель главного редактора Happy Coin News. Образование: экономист. Второе образование маркетинг. В криптоиндустрии с 2014 года. Неоднократно выступал в качестве эксперта на РБК. Биткоин — это не спекуляции, а свобода. Но, свобода требует личной ответственности.
