домен eth.limo был захвачен, EasyDNS признал первую в истории за 28 лет атаку социальной инженерии

ENS 到 Web 的 шлюз eth.limo 17 апреля вечером подвергся DNS-угону, после чего проведённый анализ показал, что злоумышленники выдали себя за членов команды eth.limo и успешно вынудили регистратор доменных имён EasyDNS инициировать процесс восстановления аккаунта. Генеральный директор EasyDNS Марк Джефтович (Mark Jeftovic) публично признал, что это первый успешный соушл-инжиниринг-атаке на клиентов за 28-летнюю историю компании.

Хронология атаки: процесс восстановления аккаунта был спровоцирован

Согласно результатам постфактум-анализа и официальному блогу EasyDNS, хронология атаки выглядит следующим образом: 17 апреля в 7:07 вечера по восточному времени США злоумышленники выдали себя за членов команды eth.limo и уговорили EasyDNS запустить процесс восстановления аккаунта. 18 апреля в 2:23 ночи по восточному времени США злоумышленники переключили DNS-сервер домена eth.limo на Cloudflare, что вызвало автоматическое оповещение о простое и разбудило команду eth.limo; в 3:57 ночи DNS-сервер снова переключили на Namecheap; к 7:49 утра EasyDNS восстановил команде eth.limo права доступа к аккаунту.

Во время инцидента Виталик Бутерин предупреждал пользователей избегать всех ссылок eth.limo и направлял их напрямую просматривать контент через IPFS. В субботу он подтвердил, что проблема полностью решена.

Как DNSSEC стала последней линией обороны

Злоумышленники пытались перенаправить трафик на фишинговую инфраструктуру через подстановочный домен eth.limo (*.eth.limo), потенциальный охват включал более 2 млн ENS-доменов .eth, включая личный блог Виталика Бутерина vitalik.eth.limo.

Однако поскольку злоумышленники так и не получили ключи подписи DNSSEC для eth.limo, когда резолвер сопоставил ответ новых доменных серверов злоумышленников с легитимной записью DS, кэшированной в родительской зоне, цепочка доверия разорвалась. Резолвер возвращал ошибку SERVFAIL вместо вредоносного перенаправления. «DNSSEC могла сократить влияние инцидента с угоном; на данный момент мы не обнаружили никакого влияния на пользователей», — говорится в отчёте команды eth.limo.

Системный тренд крипто-фронтендных DNS-соушл-инжиниринг атак

Этот инцидент — новейший случай в ряду недавних атак на уровне регистраторов доменных имён против крипто-фронтенда: в ноябре 2024 года злоумышленники взломали аккаунт NameSilo и лишили его DNSSEC, из-за чего пользователи DEX Aerodrome и Velodrome понесли убытки более 700 тысяч долларов; 30 марта этого года службу поддержки OVH Steakhouse Financial атаковали через соушл-инжиниринг, вынудив временно отключить двухфакторную аутентификацию и кратковременно вывести клон-сайт в онлайн; в том же месяце подобный инцидент произошёл и с платформой доходов Neutrl.

Ирония в том, что ранее eth.limo предоставлял срочную поддержку во время инцидента с захватом Aerodrome в ноябре и широко считался децентрализованным запасным вариантом по умолчанию при простое DeFi-фронтенда. После разрешения инцидента eth.limo планирует мигрировать в Domainsure под эгидой EasyDNS — этот сервис для корпоративных клиентов не предлагает никаких механизмов восстановления аккаунта, устраняя с корня точку входа для подобных соушл-инжиниринг атак.

Виталик в течение долгого времени считает, что зависимость Ethereum от централизованного DNS-разрешения — это «откат доверия», и призывает разработчиков в 2026 году направлять пользователей по пути прямого доступа к IPFS.

Часто задаваемые вопросы

Что такое eth.limo и какую роль он играет в экосистеме Ethereum?

eth.limo — это бесплатный open-source обратный прокси-сервер, который позволяет пользователям добавлять «.limo» после любого .eth-домена и получать доступ к связанного контенту ENS, развёрнутому на IPFS, Arweave или Swarm, через стандартный браузер. Подстановочные DNS-записи покрывают примерно 2 млн .eth-доменов, зарегистрированных через ENS — один из самых широко используемых мостов для Web2-доступа в экосистеме ENS.

Как DNSSEC помешала этой атаке причинить пользователям потери?

DNSSEC шифрует подпись DNS-записей, позволяя резолверу отклонять ответы без подписи или с неверной подписью. Поскольку злоумышленники никогда не получали ключи подписи DNSSEC для eth.limo, их вредоносные изменения на DNS-серверах домена не смогли пройти проверку цепочки доверия. Резолвер возвращал ошибку SERVFAIL вместо вредоносного перенаправления, тем самым эффективно блокируя потенциальные крупномасштабные фишинговые атаки.

Какие предупреждения этот инцидент даёт для безопасности ENS-экосистемы и DeFi-фронтенда?

Инцидент ещё раз подтверждает самую ключевую противоречивость безопасности крипто-фронтенда: смарт-контракты децентрализованы, но веб-уровень доменов, по которым пользователи заходят, всё ещё опирается на централизованных регистраторов доменных имён, а процессы клиентской поддержки у них являются слабым звеном. Разработка Domainsure «не поддерживает восстановление аккаунта» — одна из самых прямых защит в отрасли от таких соушл-инжиниринг атак, но это также означает, что владельцы аккаунтов должны обеспечить безопасное резервное хранение приватных ключей.