Die Domain eth.limo wurde entführt; EasyDNS bestätigt den ersten Social-Engineering-Angriff seit 28 Jahren

Das Gateway von ENS zu Web, eth.limo, wurde am 17. April am Abend Opfer eines DNS-Hijacking-Angriffs; die anschließende Analyse zeigte, dass der Angreifer sich als ein Teammitglied von eth.limo ausgab und so erfolgreich den Domain-Registrar EasyDNS dazu verleitete, den Kontowiederherstellungsprozess auszuführen. Der CEO von EasyDNS, Mark Jeftovic, hat öffentlich zugegeben, dass dies der erste erfolgreiche Social-Engineering-Angriff gegen Kunden in der 28-jährigen Firmengeschichte ist.

Angriffs-Zeitachse: Der Wiederherstellungsprozess des Kontos wird ausgelöst

Laut der nachträglichen Analyse und den Artikeln im offiziellen Blog von EasyDNS sieht die Zeitachse des Angriffs wie folgt aus: Am 17. April um 19:07 Uhr US-EST gab sich der Angreifer als Teammitglied von eth.limo aus und verleitet EasyDNS, den Kontowiederherstellungsprozess auszuführen. Am 18. April um 2:23 Uhr US-EST schaltete der Angreifer die Nameserver der Domain eth.limo auf Cloudflare um, wodurch automatische Störungsalarme ausgelöst wurden und das Team von eth.limo geweckt wurde; um 3:57 Uhr wurden die Nameserver erneut auf Namecheap umgestellt; um 7:49 Uhr am Morgen stellte EasyDNS die Kontozugriffsrechte des eth.limo-Teams wieder her.

Vitalik Buterin warnte die Nutzer während des Vorfalls, alle eth.limo-Links zu vermeiden, und lenkte sie dazu, die Inhalte direkt über IPFS aufzurufen. Er bestätigte am Samstag, dass das Problem vollständig gelöst ist.

Wie DNSSEC zur letzten Verteidigungslinie wurde

Der Angreifer versuchte, den Datenverkehr über die Wildcard-Domain von eth.limo (*.eth.limo) auf eine Phishing-Infrastruktur umzuleiten; der potenzielle Wirkungsbereich umfasste mehr als 2 Millionen ENS .eth-Domains, einschließlich des persönlichen Blogbeitrags von Vitalik Buterin, vitalik.eth.limo.

Da der Angreifer jedoch nie einen DNSSEC-Signaturschlüssel für eth.limo erlangt hatte, riss die Vertrauenskette, als der Resolver die Antworten des neuen Nameservers des Angreifers mit den legitimen DS-Einträgen aus dem Cache der übergeordneten Zone verglich: Der Resolver gab den Fehler SERVFAIL zurück, statt einer bösartigen Weiterleitung. „DNSSEC könnte die Auswirkungen des Hijacking-Vorfalls verkleinert haben; derzeit haben wir noch keine Auswirkungen auf Nutzer festgestellt“, heißt es in dem Bericht des eth.limo-Teams.

Systematischer Trend: Social-Engineering-Angriffe gegen DNS im Krypto-Frontend

Dieser Vorfall ist das neueste Beispiel für eine Reihe von Domain-Registrar-Angriffen der letzten Zeit, die sich gegen Krypto-Frontends richten: Im November 2024 kaperten Angreifer das NameSilo-Konto und entfernten DNSSEC, wodurch DEX Aerodrome- und Velodrome-Nutzer über 700.000 USD verloren; am 30. März dieses Jahres wurde der OVH-Kundensupport von Steakhouse Financial durch einen Social-Engineering-Angriff dazu verleitet, die Konto-Zwei-Faktor-Authentifizierung zu deaktivieren, wodurch eine geklonte Website kurzzeitig online ging; im selben Monat geriet auch die Ertragsplattform Neutrl in einen ähnlichen Vorfall.

Ironischerweise hatte eth.limo zuvor im November beim Aerodrome-Hijacking-Ereignis Notfallunterstützung geleistet und wurde weithin als die dezentrale Backup-Option erster Wahl angesehen, wenn DeFi-Frontends ausfallen. Nach der Beilegung des Vorfalls plant eth.limo, zu Domainsure zu migrieren, das unter EasyDNS läuft—dieser Dienst richtet sich an Unternehmenskunden, bietet keinen Kontowiederherstellungsmechanismus und beseitigt damit von Grund auf den Einstiegspunkt für solche Social-Engineering-Angriffe.

Vitalik sieht seit langem die Abhängigkeit der Ethereum-Ökosysteme von zentraler DNS-Auflösung als „Vertrauensrückschritt“ an und ruft Entwickler dazu auf, im Jahr 2026 den Pfad so zu führen, dass Nutzer direkt IPFS aufrufen.

Häufige Fragen

Was ist eth.limo, und welche Rolle spielt es im Ethereum-Ökosystem?

eth.limo ist ein kostenloser Open-Source-Reverse-Proxy, der es Nutzern ermöglicht, nach jeder .eth-Domain „.limo“ hinzuzufügen und die damit verknüpften ENS-Inhalte, die auf IPFS, Arweave oder Swarm bereitgestellt sind, über einen Standardbrowser aufzurufen. Die Wildcard-DNS-Einträge decken etwa 2 Millionen über ENS registrierte .eth-Domains ab und sind damit eine der am weitesten verbreiteten Web2-Zugangsbrücken im ENS-Ökosystem.

Wie hat DNSSEC verhindert, dass dieser Angriff Nutzerschäden verursachte?

DNSSEC signiert DNS-Einträge kryptografisch, wodurch es dem Resolver ermöglicht wird, nicht signierte oder fehlerhaft signierte Antworten abzulehnen. Da der Angreifer niemals die DNSSEC-Signaturschlüssel für eth.limo erhalten hatte, konnte die bösartige Änderung an den Nameservern der Domain nicht durch die Vertrauenskette-Validierung verifiziert werden. Der Resolver gab den Fehler SERVFAIL zurück, statt einer bösartigen Weiterleitung, wodurch potenziell groß angelegte Phishing-Angriffe wirksam verhindert wurden.

Welche Warnung gibt dieser Vorfall für das ENS-Ökosystem und die Sicherheit von DeFi-Frontends?

Der Vorfall bestätigt erneut die zentralste Sicherheitswidersprüchlichkeit der Krypto-Frontends: Smart-Contract-Dezentralisierung, aber die Web2-Domain-Ebene, über die Nutzer zugreifen, ist weiterhin auf zentralisierte Domain-Registrar-Server angewiesen, und deren Kundensupport-Prozesse sind die schwache Stelle. Das Design von Domainsure „unterstützt keine Kontowiederherstellung“ ist derzeit eine der direktesten Abwehrmaßnahmen gegen diese Art von Social-Engineering-Angriffen, aber das bedeutet auch, dass Inhaber von Konten sicherstellen müssen, dass sie eine sichere Backup-Lösung für die privaten Schlüssel haben.