Le domaine eth.limo a été détourné, EasyDNS reconnaît la première attaque d’ingénierie sociale en 28 ans

Le portail vers le web eth.limo, via le passerelle ENS à eth.limo, a été victime d’un détournement DNS le soir du 17 avril ; une analyse ultérieure a montré que l’attaquant s’est fait passer pour un membre de l’équipe eth.limo et a réussi à tromper le registraire de domaine EasyDNS afin qu’il lance un processus de restauration de compte. Le PDG d’EasyDNS, Mark Jeftovic, a publiquement reconnu que c’était la première attaque réussie d’ingénierie sociale à l’encontre des clients dans l’histoire de la société, longue de 28 ans.

Chronologie de l’attaque : le processus de restauration de compte est déclenché par la tromperie

D’après l’analyse post-incident et un article du blog officiel d’EasyDNS, la chronologie complète de l’attaque est la suivante : le 17 avril, à 19:07 (heure de l’Est), l’attaquant se fait passer pour un membre de l’équipe eth.limo et trompe EasyDNS pour qu’il lance un processus de restauration de compte. Le 18 avril, à 2:23 (heure de l’Est du matin), l’attaquant bascule les serveurs de noms du domaine eth.limo vers Cloudflare, déclenchant une alerte automatique d’arrêt (downtime) et réveillant l’équipe eth.limo ; à 3:57 (heure de l’Est), les serveurs de noms sont à nouveau basculés vers Namecheap ; et à 7:49 du matin, EasyDNS restaure les droits d’accès au compte de l’équipe eth.limo.

Vitalik Buterin a averti les utilisateurs pendant l’incident d’éviter tous les liens eth.limo, en les guidant pour qu’ils accèdent directement au contenu via IPFS. Il a confirmé que le problème a été entièrement résolu samedi.

Comment le DNSSEC est devenu la dernière ligne de défense

L’attaquant a tenté de rediriger le trafic vers une infrastructure de phishing au moyen du domaine générique d’eth.limo (*.eth.limo), avec une portée d’impact potentielle couvrant plus de 2 millions de domaines ENS .eth, y compris le blog personnel de Vitalik Buterin, vitalik.eth.limo.

Cependant, comme l’attaquant n’a jamais obtenu les clés de signature DNSSEC d’eth.limo, lorsque le résolveur a comparé la réponse du nouvel ensemble de serveurs de noms de l’attaquant avec les enregistrements DS légitimes mis en cache du domaine parent, la chaîne de confiance a été rompue : le résolveur renvoie une erreur SERVFAIL au lieu d’une redirection malveillante. « Le DNSSEC pourrait réduire la portée de l’incident de détournement ; à l’heure actuelle, nous n’avons encore constaté aucun impact sur les utilisateurs », indiquait l’équipe eth.limo dans son rapport.

Tendance systémique des attaques d’ingénierie sociale en DNS via des interfaces crypto

Cet incident constitue le dernier exemple d’une série récente d’attaques, au niveau des registrars de domaines, visant les interfaces crypto : en novembre 2024, l’attaquant a piraté le compte de NameSilo et a supprimé le DNSSEC, entraînant des pertes de plus de 700 000 dollars pour les utilisateurs de DEX Aerodrome et Velodrome ; le 30 mars de cette année, le support client d’OVH de Steakhouse Financial a été victime d’une attaque d’ingénierie sociale et a été amené à désactiver la double authentification du compte, tandis que le site cloné a été mis en ligne brièvement ; le même mois, la plateforme de revenus Neutrl a également fait face à un incident similaire.

Ironiquement, eth.limo avait auparavant fourni un soutien d’urgence lors de l’incident de piratage d’Aerodrome en novembre, et était largement considéré comme un choix de secours décentralisé de prédilection lors d’une panne de front-end DeFi. Une fois l’incident résolu, eth.limo prévoit de migrer vers Domainsure, un service sous l’égide d’EasyDNS : destiné aux clients entreprises, il ne fournit aucun mécanisme de restauration de compte, éliminant à la racine l’entrée de ce type d’attaque d’ingénierie sociale.

Vitalik considère depuis longtemps que la dépendance d’Ethereum à la résolution DNS centralisée est un « recul de la confiance » et appelle les développeurs à guider les utilisateurs, en 2026, vers un chemin d’accès direct à IPFS.

Questions fréquentes

Qu’est-ce qu’eth.limo et quel rôle joue-t-il dans l’écosystème Ethereum ?

eth.limo est un proxy inverse gratuit et open source qui permet aux utilisateurs d’ajouter « .limo » après n’importe quel domaine .eth, afin d’accéder via un navigateur standard au contenu lié à l’ENS déployé sur IPFS, Arweave ou Swarm. Ses enregistrements DNS génériques couvrent environ 2 millions de domaines .eth enregistrés via ENS, ce qui en fait l’un des ponts d’accès Web2 les plus largement utilisés dans l’écosystème ENS.

Comment le DNSSEC a-t-il empêché que cette attaque cause des pertes aux utilisateurs ?

Le DNSSEC signe cryptographiquement les enregistrements DNS, ce qui permet au résolveur de refuser les réponses non signées ou signées incorrectement. Comme l’attaquant n’a jamais obtenu les clés de signature DNSSEC d’eth.limo, ses modifications malveillantes des serveurs de noms n’ont pas pu être validées par la chaîne de confiance ; le résolveur a renvoyé une erreur SERVFAIL au lieu d’une redirection malveillante, empêchant efficacement une attaque de phishing à grande échelle potentielle.

Quelles leçons l’incident apporte-t-il pour la sécurité de l’écosystème ENS et des front-ends DeFi ?

L’incident confirme une fois de plus le principal dilemme de sécurité des interfaces crypto : les smart contracts sont décentralisés, mais la couche de domaines Web2 visitée par les utilisateurs dépend encore de registraires de domaines centralisés, dont les processus de support sont un point faible. Le design de Domainsure, « ne prend pas en charge la restauration de compte », constitue l’une des solutions de défense les plus directes actuellement adoptées par l’industrie contre ce type d’attaques d’ingénierie sociale, mais cela signifie aussi que les titulaires de compte doivent s’assurer d’avoir un backup sûr de la clé privée.