Tin tặc mạo danh đội ngũ eth.limo để chiếm quyền kiểm soát tên miền: Báo cáo sau sự cố

Cổng Ethereum Name Service eth.limo đã tiết lộ rằng việc chiếm đoạt tên miền vào thứ Sáu là do một cuộc tấn công kỹ thuật xã hội nhắm vào EasyDNS, nhà cung cấp dịch vụ tên miền của họ. 

Theo báo cáo phân tích sau sự cố được eth.limo công bố vào thứ Bảy, kẻ tấn công đã mạo danh một thành viên trong nhóm để bắt đầu quy trình khôi phục tài khoản với easyDNS, có được quyền truy cập vào tài khoản eth.limo và cho phép họ thay đổi cài đặt tên miền.

"Các bản ghi NS đã bị thay đổi và chuyển hướng đến Cloudflare… Ngay khi chúng tôi hiểu rằng việc chiếm đoạt DNS đã xảy ra, chúng tôi ngay lập tức thông báo cho cộng đồng cũng như Vitalik Buterin và những người khác. Sau đó, chúng tôi bắt đầu liên hệ với EasyDNS để cố gắng ứng phó với sự cố," công ty cho biết.

Eth.limo đóng vai trò là cầu nối Web2, cung cấp quyền truy cập vào khoảng 2 triệu trang web phi tập trung sử dụng tên miền .eth. Việc chiếm đoạt dịch vụ có thể cho phép kẻ tấn công chuyển hướng người dùng đến các trang web độc hại. Đồng sáng lập Ethereum Vitalik Buterin đã cảnh báo người dùng vào thứ Sáu tránh blog của ông cho đến khi sự cố được giải quyết.

Mark Jeftovic, CEO của easyDNS, đã công khai chấp nhận trách nhiệm về sự cố trong báo cáo phân tích sau sự cố của riêng họ. 

"Chúng tôi đã sai và chúng tôi nhận trách nhiệm," Jeftovic nói vào thứ Bảy. 

Cả hai công ty đều chỉ ra Domain Name System Security Extension (DNSSEC) trong việc ngăn chặn nỗ lực gây thiệt hại thêm của hacker. 

Kẻ tấn công không thể tạo ra chữ ký mật mã hợp lệ, vì vậy các bộ phân giải Domain Name System đã từ chối các phản hồi DNS giả mạo của kẻ tấn công, khiến người dùng thấy thông báo lỗi thay vì bị chuyển hướng đến các trang web độc hại. 

"DNSSEC đã được kích hoạt cho tên miền của họ khi kẻ tấn công cố gắng thay đổi máy chủ tên của họ, có lẽ để thực hiện một số hình thức tấn công giả mạo hoặc tiêm phần mềm độc hại, các bộ phân giải nhận biết DNSSEC, hầu hết hiện nay, đã bắt đầu từ chối các truy vấn," Jeftovic nói. 

Trong báo cáo phân tích sau sự cố, eth.limo lưu ý rằng vì kẻ tấn công thiếu các khóa ký, họ không thể vượt qua các biện pháp bảo vệ, điều này có thể "giảm phạm vi ảnh hưởng của vụ chiếm đoạt. Chúng tôi không biết về bất kỳ tác động nào đến người dùng vào thời điểm này. Chúng tôi sẽ cung cấp thông tin cập nhật nếu điều đó thay đổi."

easyDNS thực hiện thay đổi kể từ cuộc tấn công

Jeftovic mô tả cuộc tấn công kỹ thuật xã hội là "rất tinh vi," và cho biết easyDNS vẫn đang tiến hành phân tích sau sự cố về cách vụ vi phạm xảy ra, và đã bắt đầu triển khai các thay đổi để ngăn chặn sự tái diễn.

"Trong trường hợp của eth.limo, chúng tôi sẽ chuyển họ sang Domainsure, có tư thế bảo mật phù hợp hơn với các tên miền doanh nghiệp và fintech có giá trị cao, TLDR không có cơ chế khôi phục tài khoản trên Domainsure, đó không phải là một thứ," ông nói thêm.

"Thay mặt cho mọi người ở đây, tôi xin lỗi nhóm eth.limo và cộng đồng Ethereum rộng lớn hơn. ENS luôn có một vị trí đặc biệt trong trái tim chúng tôi với tư cách là đơn vị đăng ký đầu tiên cho phép liên kết ENS với các tên miền web2 và chúng tôi đã tham gia vào lĩnh vực này kể từ năm 2017."

Liên quan: RaveDAO phủ nhận thao túng khi Binance, Bitget điều tra hoạt động giao dịch RAVE

Sự cố eth.limo là vụ mới nhất trong một loạt các vụ chiếm đoạt tên miền nhắm vào các dự án tiền mã hoá. Vài ngày trước đó, bộ tổng hợp sàn giao dịch phi tập trung CoW Swap đã mất quyền kiểm soát trang web của mình sau khi một bên không xác định chiếm đoạt tên miền của nó. 

Steakhouse Financial, một công ty tư vấn và nghiên cứu DeFi, tương tự đã tiết lộ vào cuối tháng 3 rằng họ đã mất quyền kiểm soát tên miền của mình cho kẻ tấn công.

Magazine: Liệu Đạo luật CLARITY sẽ tốt — hay xấu — cho DeFi?