EasyDNS'deki Güvenlik Açığı, eth.limo Alan Adının Kısa Süreliğine Ele Geçirilmesine Neden Oldu

EasyDNS, sistemlerindeki bir güvenlik açığının, bir sosyal mühendislik saldırganının Ethereum Name Service (ENS) için birincil bir geçit olan eth.limo alan adının kontrolünü kısa süreliğine ele geçirmesine izin verdiğini doğruladı. Saldırgan, easyDNS'deki hesap kurtarma protokollerini atlamak ve alan adı ayarlarının kontrolünü ele geçirmek için bir eth.limo ekibi üyesini taklit etti. DNSSEC korumaları, geçerli kriptografik imzaları olmayan sahte yanıtları reddederek kullanıcıların kötü niyetli sitelere yönlendirilmesini engelledi.

Olay, bir saldırganın bir eth.limo ekibi üyesini başarıyla taklit ederek bir hesap kurtarma süreci başlatması ve alan adı sunucu kayıtlarını değiştirme ve alan adını Cloudflare'e yönlendirme yetkisi kazanmasıyla Cuma günü gerçekleşti. eth.limo ekibi, Cumartesi günü yayınlanan bir incelemede, DNS korsanlığı tespit edilir edilmez topluluğu ve Ethereum kurucu ortağı Vitalik Buterin gibi önemli kişileri hemen bilgilendirdiğini belirtti. Yaklaşık 2 milyon merkezi olmayan web sitesi için bir köprü görevi gören eth.limo, başarılı bir uzlaşmanın, korsanların kullanıcıları kötü niyetli sayfalara yönlendirmesine izin verebileceği için yüksek riskli bir hedef.

EasyDNS CEO'su Mark Jeftovic, Domain Name System Security Extension (DNSSEC) varlığının, saldırganın daha fazla hasara neden olmasını engellemede kritik bir rol oynadığını belirtti. Saldırganın gerekli kriptografik imzalama anahtarlarına sahip olmaması nedeniyle, modern DNS'ye duyarlı çözümleyiciler sahte yanıtları reddetti ve sonuç olarak kullanıcılar kimlik avı sitelerine yönlendirilmek yerine hata mesajları gördü. Jeftovic, bu saldırının sağlayıcının 28 yıllık tarihindeki ilk başarılı sosyal mühendislik ihlali olduğunu kabul ederek, "Biz hata yaptık ve sorumluluğu üstleniyoruz" dedi. eth.limo geliştiricileri, kendi raporlarında bu güvenlik önlemlerinin, korsanlığın "patlama yarıçapını" azaltmış olası olduğunu vurguladı.

Jeftovic, eth.limo'nun artık bu saldırıda istismar edilen açığı etkili bir şekilde kapatan, manuel bir hesap kurtarma mekanizması sunmayan kurumsal düzeyde bir platform olan Domainsure'a taşındığını ekledi. Son olay, kripto sektörünü hedef alan son altyapı saldırılarından biri. Sadece birkaç gün önce, 14 Nisan'da, merkezi olmayan borsa toplayıcısı CoW Swap, .fi kaydına karşı benzer bir sosyal mühendislik saldırısının ardından alan adının kontrolünü birkaç saatliğine kaybetti ve etkilenen kullanıcılardan yaklaşık 1,2 milyon dolarlık bir kayba yol açtı.