Домен eth.limo було викрадено, EasyDNS визнає свою першу соціальну інженерію за 28 років

ENS до Web-шлюзу eth.limo 17 квітня ввечері зазнав DNS-викрадення; після аналізу з’ясувалося, що зловмисники видавали себе за членів команди eth.limo та успішно підштовхнули реєстратора доменів EasyDNS виконати процес відновлення облікового запису. Генеральний директор EasyDNS Марк Єфтович публічно визнав, що це перша успішна соціальна інженерія проти клієнтів за 28-річну історію компанії.

Хронологія атаки: процес відновлення облікового запису був ініційований через оману

Згідно з післяподієвим аналізом і публікацією в офіційному блозі EasyDNS, повна хронологія атаки виглядає так: 17 квітня о 19:07 за східним часом США зловмисники, видавши себе за членів команди eth.limo, спонукали EasyDNS запустити процес відновлення облікового запису. 18 квітня о 02:23 за східним часом США зловмисники переключили DNS-сервери домену eth.limo на Cloudflare, що спричинило автоматичне спрацювання попереджень про аварійне відключення та розбудило команду eth.limo; о 03:57 DNS-сервери було знову переключено на Namecheap; а о 07:49 ранку EasyDNS відновив команді eth.limo право доступу до облікових записів.

Під час інциденту Віталік Бутерін попереджав користувачів уникати всіх посилань eth.limo та пропонував їм напряму відвідувати контент через IPFS. У суботу він підтвердив, що проблему повністю вирішено.

Як DNSSEC став останньою лінією захисту

Зловмисники намагалися перенаправити трафік через wildcard-домен eth.limo (*.eth.limo) до фішингової інфраструктури; потенційний масштаб впливу охоплює понад 2 мільйони ENS .eth-доменів, включно з персональним блогом Віталіка Бутеріна vitalik.eth.limo.

Однак оскільки зловмисники ніколи не отримували ключ DNSSEC-підпису для eth.limo, коли резолвер зіставляв відповідь зловмисника (його нові DNS-сервери) з легітимним записом DS, кешованим у батьківській зоні, ланцюжок довіри розривався; резолвер повертав помилку SERVFAIL замість шкідливого перенаправлення. «DNSSEC міг звузити масштаб інциденту з викраденням; наразі ми не виявили жодного впливу на користувачів», — зазначила команда eth.limo у звіті.

Системна тенденція атак із соціальною інженерією на DNS на криптопередньому плані

Цей інцидент — останній приклад нещодавньої серії атак рівня реєстраторів доменів проти криптопередньої інфраструктури: у листопаді 2024 року зловмисники викрали акаунт NameSilo та від’єднали DNSSEC, що призвело до втрат понад 700 000 доларів США для користувачів DEX Aerodrome та Velodrome; 30 березня цього року служба підтримки OVH Steakhouse Financial була атакована через соціальну інженерію, внаслідок чого її змусили вимкнути двофакторну автентифікацію, а клон-сайт тимчасово запрацював; того ж місяця платформа доходів Neutrl також потрапила в подібний інцидент.

Іронічно, що раніше eth.limo надавала екстрену підтримку під час інциденту з викраденням Aerodrome у листопаді, і її широко вважали децентралізованим запасним варіантом за умов відмови DeFi-переднього плану. Після вирішення інциденту eth.limo планує міграцію на Domainsure, сервіс у складі EasyDNS — він орієнтований на корпоративних клієнтів, не надає жодного механізму відновлення облікового запису, тим самим радикально прибираючи вхідні точки для таких соціально-інженерних атак.

Віталік довгостроково вважав, що залежність Ethereum від централізованого DNS-розв’язання — це «відкат довіри», і закликав розробників у 2026 році скеровувати користувачів до сценарію з прямим доступом до IPFS.

Поширені запитання

Що таке eth.limo і яку роль вона відіграє в екосистемі Ethereum?

eth.limo — це безкоштовний відкритий проксі, який дозволяє користувачам додавати «.limo» після будь-якого домену .eth і отримувати доступ через стандартний браузер до ENS-контенту, розгорнутого в IPFS, Arweave або Swarm. Її wildcard DNS-запис охоплює приблизно 2 мільйони .eth-доменів, зареєстрованих через ENS, і є одним із найширше використовуваних мостів для доступу Web2 в екосистемі ENS.

Як DNSSEC зупинив цю атаку від спричинення втрат для користувачів?

DNSSEC підписує DNS-записи за допомогою шифрування, даючи змогу верифікувати та відхиляти відповіді без підпису або з неправильним підписом. Оскільки зловмисники ніколи не отримували ключі DNSSEC-підпису eth.limo, їхні шкідливі зміни для DNS-серверів домену не могли пройти верифікацію в ланцюжку довіри; резолвер повернув помилку SERVFAIL замість шкідливого перенаправлення, ефективно блокуючи потенційні масові фішингові атаки.

Яке попередження цей інцидент дає для екосистеми ENS і безпеки DeFi-переднього плану?

Цей інцидент знову підтверджує одну з найважливіших безпекових суперечностей криптопереднього плану: смартконтракти є децентралізованими, але шар Web2 доменів, до якого звертаються користувачі, все ще покладається на централізованих реєстраторів доменів, а їхній процес підтримки — слабка ланка. Дизайн Domainsure «без підтримки відновлення облікового запису» є одним із найпряміших оборонних рішень, які наразі існують у галузі для цього типу соціально-інженерних атак, але це також означає, що власники облікових записів повинні забезпечити безпечне резервне копіювання приватного ключа.