Ethereum Name Serviceゲートウェイeth.limoは、金曜日に発生したドメインの乗っ取りが、ドメインネームサービスプロバイダーであるEasyDNSを標的としたソーシャルエンジニアリング攻撃によって引き起こされたことを明らかにしました。
土曜日にeth.limoが公開した事後分析によると、攻撃者はチームメンバーの1人になりすまし、easyDNSでアカウント復旧プロセスを開始し、eth.limoアカウントへのアクセスを取得してドメイン設定を変更することができました。
「NSレコードが変更され、Cloudflareに向けられました...DNS乗っ取りが発生したことを理解した時点で、すぐにコミュニティとVitalik Buterinらに通知しました。その後、インシデントに対応するためにEasyDNSへの連絡を開始しました」と同社は述べています。
Eth.limoはWeb2ブリッジとして機能し、.ethドメイン名を使用する約200万の分散型ウェブサイトへのアクセスを提供しています。このサービスの乗っ取りにより、攻撃者はユーザーを悪意のあるウェブサイトにリダイレクトできる可能性があります。イーサリアム共同創設者のVitalik Buterinは、金曜日にインシデントが解決されるまで自身のブログを避けるようユーザーに警告しました。
easyDNSのCEOであるMark Jeftovic氏は、独自の事後分析レポートでこのインシデントの責任を公に受け入れています。
「私たちは失敗し、それを認めます」とJeftovic氏は土曜日に述べました。
両社は、ハッカーがさらなる損害を与える試みを阻止する上で、ドメインネームシステムセキュリティ拡張(DNSSEC)を指摘しています。
攻撃者は有効な暗号署名を生成できなかったため、ドメインネームシステムリゾルバーは攻撃者の偽造されたDNS応答を拒否し、ユーザーは悪意のあるサイトにリダイレクトされる代わりにエラーメッセージを見ることになりました。
「攻撃者がネームサーバーを変更しようとした際、彼らのドメインではDNSSECが有効になっており、おそらくフィッシングやマルウェア注入攻撃を実行するためだったと思われますが、DNSSEC対応リゾルバー(最近ではほとんどがそうです)がクエリをドロップし始めました」とJeftovic氏は述べました。
出典: eth.limo
事後分析の中で、eth.limoは攻撃者が署名鍵を持っていなかったため、セーフガードを回避できず、これにより「乗っ取りの影響範囲が縮小された可能性が高い。現時点ではユーザーへの影響は認識していません。変更があれば更新情報を提供します」と指摘しています。
easyDNSは攻撃以降変更を実施
Jeftovic氏はソーシャルエンジニアリング攻撃を「非常に洗練されている」と説明し、easyDNSは依然として侵害がどのように発生したかについて事後分析を実施しており、再発を防ぐための変更をすでに展開し始めていると述べました。
出典: easyDNS
「eth.limoのケースでは、エンタープライズおよび高価値のフィンテックドメインにより適したセキュリティ体制を持つDomainsureに移行します。要するに、Domainsureにはアカウント復旧のメカニズムはありません、それは存在しないのです」と彼は付け加えました。
「ここにいる全員を代表して、eth.limoチームとより広いイーサリアムコミュニティにお詫び申し上げます。ENSは、ENSとweb2ドメインのリンクを可能にした最初のレジストラとして、常に私たちの心の中で特別な位置を占めており、2017年以来この分野に関わってきました。」
関連記事: RaveDAO denies manipulation as Binance, Bitget probe RAVE trading activity
eth.limoのインシデントは、暗号プロジェクトを標的とした一連のドメイン乗っ取りの最新のものです。数日前、分散型取引所アグリゲーターのCoW Swapは、未知の第三者がそのドメインを乗っ取った後、ウェブサイトの制御を失いました。
DeFiアドバイザリーおよびリサーチ企業であるSteakhouse Financialも、3月末に攻撃者にドメインの制御を奪われたことを同様に開示しました。
Magazine: Will the CLARITY Act be good — or bad — for DeFi?
- #Business
- #Ethereum
- #Technology
- #Internet
- #Vitalik Buterin
- #Industry
