Violation d'EasyDNS a brièvement détourné eth.limo
Un attaquant a manipulé le registraire EasyDNS dans un processus de récupération de compte pour eth.limo, gagnant brièvement la capacité de changer les serveurs de noms de la passerelle du 17 au 18 avril. La validation DNSSEC a empêché les réponses DNS contrôlées par l'attaquant d'être acceptées par les résolveurs validants, et eth.limo a déclaré qu'elle n'était pas au courant d'un impact sur les utilisateurs au moment de son post-mortem.
Points clés
Une tentative d'ingénierie sociale contre EasyDNS a déclenché un processus de récupération de compte pour .limo après qu'un attaquant a usurpé l'identité d'un membre de l'équipe à 19h07 EDT le 17 avril.
Les serveurs de noms d'eth.limo ont été changés pour Cloudflare à 2h23 EDT puis pour Namecheap à 3h57 EDT le 18 avril avant que l'accès ne soit rétabli à 7h49 EDT.
La validation DNSSEC a provoqué l'échec de nombreux résolveurs avec SERVFAIL car l'attaquant n'a pas obtenu les clés de signature d'eth.limo.
Eth.limo a signalé aucun impact connu sur les utilisateurs au moment de son post-mortem, et EasyDNS a déclaré qu'aucun autre client n'était affecté.
Compte de registraire d'eth.limo victime d'ingénierie sociale, serveurs de noms inversés du jour au lendemain
La passerelle ENS-to-web eth.limo a subi une prise de contrôle au niveau du registraire après qu'un attaquant a manipulé le support d'EasyDNS pour exécuter un processus de récupération de compte. L'incident a commencé à 19h07 EDT le 17 avril lorsque l'attaquant a usurpé l'identité d'un membre de l'équipe d'eth.limo.
Le contrôle au niveau du registraire s'est traduit par un contrôle sur la délégation DNS. L'attaquant a changé les serveurs de noms d'eth.limo pour Cloudflare à 2h23 EDT le 18 avril, ce qui a déclenché des alertes de temps d'arrêt automatisées qui ont réveillé l'équipe d'eth.limo. Les serveurs de noms ont été à nouveau changés pour Namecheap à 3h57 EDT. EasyDNS a restauré l'accès au compte de l'équipe à 7h49 EDT, mettant fin à la fenêtre où l'attaquant pouvait diriger les paramètres DNS.
Le PDG d'EasyDNS, Mark Jeftovic, s'est publiquement excusé, écrivant : « Au nom de tous ici, je m'excuse auprès de l'équipe d'eth.limo et de la communauté Ethereum au sens large », et a ajouté : « L'ENS a toujours eu une place spéciale dans notre cœur en tant que premier registraire à permettre le lien ENS avec des domaines web2 et nous sommes impliqués dans cet espace depuis 2017. » Jeftovic a déclaré qu'il s'agissait de la première attaque d'ingénierie sociale réussie contre un client d'EasyDNS dans l'histoire de 28 ans du registraire et qu'aucun autre client n'avait été affecté.
Pourquoi une passerelle Wildcard est importante : *.eth.limo et environ 2 millions de noms ENS
Eth.limo est un proxy inverse gratuit et open-source qui permet aux navigateurs standard de charger du contenu lié à l'ENS hébergé sur IPFS, Arweave ou Swarm en ajoutant « .limo » à un nom .eth. Cette commodité est également la surface de risque : EasyDNS a cité que l'enregistrement DNS wildcard d'eth.limo à *.eth.limo couvre environ 2 millions de domaines .eth enregistrés via l'ENS.
En termes de marché, il s'agit d'un problème classique de « point de congestion unique ». Un détournement wildcard réussi n'aurait pas besoin de compromettre un contrat intelligent pour causer des dommages. Il pourrait rediriger le trafic pour n'importe quelle page .eth accessible via la passerelle, y compris des points de terminaison très visibles comme vitalik.eth.limo, vers une infrastructure de phishing ou des interfaces de drainage de portefeuille. Même un changement de serveur de noms de courte durée est important lorsque les utilisateurs sont conditionnés à cliquer sur des liens ENS lors d'événements rapides.
DNSSEC comme filet de sécurité : Pourquoi les résolveurs de validation ont retourné SERVFAIL
Le mécanisme de confinement était DNSSEC, pas de la chance. DNSSEC signe cryptographiquement les enregistrements DNS afin que les résolveurs de validation puissent rejeter les réponses non signées ou mal signées.
Eth.limo a déclaré que l'attaquant n'avait jamais obtenu les clés de signature du domaine. Cela signifiait que lorsque les résolveurs vérifiaient les réponses des serveurs de noms sélectionnés par l'attaquant contre l'enregistrement DS légitime toujours mis en cache depuis la zone parente, la chaîne de confiance se brisait. Au lieu d'accepter les réponses contrôlées par l'attaquant, les résolveurs de validation ont retourné SERVFAIL, échouant effectivement en mode fermé.
Cette formulation est importante pour l'évaluation des risques. Il s'agissait d'un échec du registraire et du processus qui a permis des changements de serveurs de noms, et non d'une rupture cryptographique de DNSSEC lui-même. L'équipe d'eth.limo a écrit : « DNSSEC a probablement réduit le rayon d'explosion du détournement. Nous ne sommes pas au courant d'un impact sur les utilisateurs à ce moment », tout en reconnaissant que le résultat pratique dépend du comportement des résolveurs.
Signaux après le détournement d'Eth.limo : Le risque au niveau DNS ne disparaît pas.
EasyDNS a déclaré qu'eth.limo sera migré vers Domainsure, un service affilié à EasyDNS qui n'offre aucun mécanisme de récupération de compte. Le signal opérationnel est clair : la remédiation s'éloigne de « mieux former le support » vers la suppression des voies de récupération humaines qui peuvent être manipulées socialement.
Des inconnues demeurent. EasyDNS n'a pas divulgué comment l'attaquant a contourné le processus de récupération de compte, citant un post-mortem interne. Il n'y a également aucune évaluation quantifiée de l'impact des cas particuliers provenant de résolveurs non-validants, même si eth.limo a déclaré qu'il n'était pas au courant de l'impact sur les utilisateurs.
Le schéma plus large est défavorable. Les compromis de registraire et de couche DNS ont ciblé à plusieurs reprises les interfaces crypto ces derniers mois, y compris les détournements DNS de novembre d'Aerodrome et Velodrome qui ont drainé plus de 700 000 $ après que des attaquants ont compromis un compte de registraire et ont supprimé DNSSEC des domaines affectés. Steakhouse Financial a divulgué un incident similaire le 30 mars après que le personnel de support a été manipulé socialement pour supprimer l'authentification à deux facteurs, servant brièvement un drainer de portefeuille depuis un site cloné, et Neutrl a signalé un incident similaire en mars.
Lors de cet événement, Vitalik Buterin a averti les utilisateurs d'éviter les URL eth.limo et a pointé vers IPFS comme solution de contournement, disant à ses abonnés qu'ils pouvaient « consulter mon blog via IPFS directement », avant de confirmer plus tard que la situation était « entièrement résolue maintenant ». La question de savoir si davantage d'interfaces ENS et DeFi adoptent DNSSEC et publient des chemins de réponse aux incidents clairs comme l'accès direct IPFS est le prochain test pratique.
L'avis de Marcus Hale : DNSSEC a aidé ici, mais la confiance dans l'interface reste un risque commercial.
Je considère cela comme un incident de contrôle de registraire qui a été arrêté par la plomberie faisant ce pour quoi elle a été conçue. Le seuil qui compte est de savoir si l'écosystème internalise la leçon : DNSSEC peut forcer l'échec au lieu d'un compromis silencieux, mais seulement pour les utilisateurs derrière des résolveurs validants et seulement si les attaquants ne peuvent pas supprimer DNSSEC comme ils l'ont fait lors des précédents incidents d'interface.
Le véritable test est de savoir si eth.limo atterrit réellement sur Domainsure avec la récupération de compte complètement désactivée et si EasyDNS divulgue le mode d'échec qui a permis à l'attaquant de passer. Si ces contrôles tiennent et que plus d'équipes mettent en œuvre DNSSEC plus des manuels clairs d'accès direct IPFS, la configuration commence à sembler structurelle plutôt que narrative, ce qui réduit le risque de drainer des portefeuilles lors du prochain pic de volatilité.
btc$74,292-1.69%
eth$2,270.81-2.68%
usdt$1-0.00%
xrp$1.4-2.28%
bnb$618.53-0.71%
usdc$1-0.01%
sol$83.91-1.89%
trx$0.33+1.01%
doge$0.09-0.95%
ada$0.24-1.30%
bch$437.39-1.71%
link$9.13-0.87%
xlm$0.17-1.88%
ltc$54.59-2.03%
avax$9.08-2.18%
hbar$0.09+0.47%
sui$0.93-1.60%
dot$1.26-1.01%
uni$3.25-1.27%
etc$8.32-0.99%
algo$0.1-3.43%
atom$1.78+0.22%
fil$0.91-1.75%
vet$0.01-1.81%
