eth.limo โดเมนถูกจี้ EasyDNS ยอมรับการโจมตีวิศวกรรมสังคมครั้งแรกในรอบ 28 ปี

เกตเวย์จาก ENS ไปยังเว็บ eth.limo ถูกจี้ DNS ในช่วงเย็นของวันที่ 17 เมษายน หลังจากการวิเคราะห์ภายหลังพบว่า ผู้โจมตีแอบอ้างว่าเป็นสมาชิกทีมของ eth.limo และสามารถหลอกล่อให้ผู้ให้บริการจดทะเบียนโดเมน EasyDNS ดำเนินกระบวนการกู้คืนบัญชีได้สำเร็จ Mark Jeftovic ซีอีโอของ EasyDNS ยอมรับอย่างเปิดเผยว่านี่เป็นครั้งแรกในประวัติศาสตร์ 28 ปีของบริษัทที่มีการโจมตีวิศวกรรมสังคมต่อ “ลูกค้า” ที่ประสบความสำเร็จ

ไทม์ไลน์การโจมตี: กระบวนการกู้คืนบัญชีถูกกระตุ้นด้วยการหลอกลวง

จากการวิเคราะห์ภายหลังและบทความบล็อกอย่างเป็นทางการของ EasyDNS ไทม์ไลน์ของการโจมตีตลอดทั้งกระบวนการมีดังนี้: เวลา 19:07 ของวันที่ 17 เมษายน ตามเวลามาตรฐานตะวันออกสหรัฐฯ ผู้โจมตีแอบอ้างว่าเป็นสมาชิกทีมของ eth.limo และหลอกล่อให้ EasyDNS ดำเนินกระบวนการกู้คืนบัญชี เมื่อเวลา 2:23 ของวันที่ 18 เมษายน ตามเวลามาตรฐานตะวันออกสหรัฐฯ ผู้โจมตีได้สลับเซิร์ฟเวอร์ชื่อโดเมนของ eth.limo ไปยัง Cloudflare ซึ่งทำให้เกิดการแจ้งเตือนอัตโนมัติว่าระบบหยุดทำงาน และปลุกทีมของ eth.limo ให้ตื่นตัว จากนั้นเวลา 3:57 เซิร์ฟเวอร์ชื่อโดเมนถูกสลับไปยัง Namecheap อีกครั้ง และเวลา 7:49 ในช่วงเช้า EasyDNS ได้คืนสิทธิ์การเข้าถึงบัญชีให้ทีม eth.limo

ระหว่างเหตุการณ์ Vitalik Buterin ได้เตือนผู้ใช้ให้หลีกเลี่ยงการใช้งานลิงก์ทั้งหมดของ eth.limo และแนะนำให้เข้าถึงเนื้อหาโดยตรงผ่าน IPFS เขาได้ยืนยันในวันเสาร์ว่าปัญหาได้รับการแก้ไขจนหมดแล้ว

DNSSEC ทำหน้าที่เป็นแนวป้องกันสุดท้ายได้อย่างไร

ผู้โจมตีพยายามเปลี่ยนเส้นทางทราฟฟิกไปยังโครงสร้างพื้นฐานฟิชชิ่ง โดยใช้โดเมนไวด์การ์ดของ eth.limo (*.eth.limo) ขอบเขตที่อาจได้รับผลกระทบครอบคลุมโดเมน ENS .eth มากกว่า 2 ล้านโดเมน รวมถึงบล็อกส่วนตัวของ Vitalik Buterin vitalik.eth.limo

อย่างไรก็ตาม เนื่องจากผู้โจมตีไม่เคยได้รับกุญแจสำหรับการลงนาม DNSSEC ของ eth.limo เมื่อรีซอลฟ์เวอร์นำคำตอบของเซิร์ฟเวอร์ชื่อโดเมนใหม่ของผู้โจมตีไปเทียบกับระเบียน DS ที่ถูกต้องจากแคชของเขตหลักในระดับบนสุด “สายความน่าเชื่อถือ” จึงถูกตัดขาด รีซอลฟ์เวอร์จึงส่งข้อผิดพลาด SERVFAIL กลับมาแทนที่จะเป็นการเปลี่ยนเส้นทางไปยังของปลอม “DNSSEC อาจช่วยจำกัดขอบเขตของเหตุการณ์การจี้โดเมนได้ และตอนนี้เรายังไม่พบว่ามีผลกระทบใด ๆ ต่อผู้ใช้งาน” ทีม eth.limo ระบุไว้ในรายงาน

แนวโน้มเชิงระบบของการโจมตีด้วยวิศวกรรมสังคมใน DNS ต่อส่วนหน้าแบบเข้ารหัส

เหตุการณ์นี้เป็นเคสล่าสุดในชุดของการโจมตีระดับผู้ให้บริการจดทะเบียนโดเมนที่เกิดขึ้นกับ “ส่วนหน้าแบบเข้ารหัส” ในช่วงนี้: ในเดือนพฤศจิกายน 2024 ผู้โจมตีจี้บัญชีของ NameSilo และตัด DNSSEC ออก ทำให้ผู้ใช้ของ DEX Aerodrome และ Velodrome สูญเสียมากกว่า 700,000 ดอลลาร์สหรัฐ ในวันที่ 30 มีนาคมของปีนี้ บริการลูกค้าของ OVH ของ Steakhouse Financial ถูกโจมตีด้วยวิศวกรรมสังคมจนถูกหลอกให้ปิดการยืนยันตัวตนแบบสองปัจจัย และเว็บไซต์ที่โคลนถูกเผยแพร่ชั่วคราว จากนั้นในเดือนเดียวกัน แพลตฟอร์มรายได้ Neutrl ก็ประสบเหตุลักษณะคล้ายกันเช่นกัน

อย่างประชดประชัน eth.limo เคยให้การสนับสนุนฉุกเฉินในเหตุการณ์การจี้ Aerodrome ในเดือนพฤศจิกายนมาก่อน และถูกมองอย่างกว้างขวางว่าเป็นตัวเลือกสำรองแบบกระจายศูนย์ที่ดีที่สุดเมื่อส่วนหน้า DeFi ล่ม หลังจากเหตุการณ์คลี่คลาย eth.limo วางแผนย้ายไปยัง Domainsure ภายใต้ EasyDNS—บริการนี้มุ่งสำหรับลูกค้าภาคองค์กร และไม่ให้มีกลไกการกู้คืนบัญชีใด ๆ ซึ่งช่วยกำจัด “ช่องทาง” ของการโจมตีด้วยวิศวกรรมสังคมประเภทนี้ตั้งแต่ต้นทาง

Vitalik มีความเห็นมาอย่างยาวนานว่า การพึ่งพาการแปลงชื่อด้วย DNS แบบรวมศูนย์ของ Ethereum คือ “การถอยหลังของความไว้วางใจ” และเรียกร้องให้ผู้พัฒนาในปี 2026 ชี้นำผู้ใช้ให้ใช้เส้นทางการเข้าถึง IPFS แบบตรง

คำถามที่พบบ่อย

eth.limo คืออะไร และทำหน้าที่อะไรในระบบนิเวศของ Ethereum?

eth.limo คือพร็อกซีย้อนกลับโอเพนซอร์สฟรี ที่ให้ผู้ใช้สามารถเติม “.limo” หลังโดเมน .eth ใด ๆ และเข้าถึงเนื้อหาที่เกี่ยวข้องกับ ENS ซึ่งถูกดีพลอยไว้บน IPFS, Arweave หรือ Swarm ผ่านเว็บเบราว์เซอร์มาตรฐาน ระเบียน DNS แบบไวด์การ์ดของมันครอบคลุมโดเมน .eth ที่ลงทะเบียนผ่าน ENS ประมาณ 2 ล้านโดเมน และเป็นหนึ่งในสะพานเชื่อมการเข้าถึง Web2 ที่ถูกใช้กันอย่างแพร่หลายที่สุดในระบบนิเวศ ENS

DNSSEC ป้องกันความเสียหายต่อผู้ใช้จากการโจมตีครั้งนี้ได้อย่างไร?

DNSSEC ทำการลงนามเข้ารหัสให้กับระเบียน DNS ทำให้รีซอลฟ์เวอร์สามารถปฏิเสธคำตอบที่ไม่ได้ลงนามหรือที่ลงนามไม่ถูกต้องได้ เนื่องจากผู้โจมตีไม่เคยได้รับกุญแจลายเซ็น DNSSEC ของ eth.limo การแก้ไขที่เป็นอันตรายต่อเซิร์ฟเวอร์ชื่อโดเมนจึงไม่สามารถผ่านการตรวจสอบด้วยสายความน่าเชื่อถือได้ รีซอลฟ์เวอร์จึงส่งข้อผิดพลาด SERVFAIL แทนการเปลี่ยนเส้นทางไปยังของปลอม ซึ่งสามารถหยุดการโจมตีแบบฟิชชิ่งขนาดใหญ่ที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

เหตุการณ์นี้มีคำเตือนอะไรต่อความปลอดภัยของระบบนิเวศ ENS และส่วนหน้า DeFi?

เหตุการณ์นี้ย้ำอีกครั้งถึงความขัดแย้งด้านความปลอดภัยที่สำคัญที่สุดของ “ส่วนหน้าแบบเข้ารหัส”: สัญญาอัจฉริยะเป็นแบบกระจายศูนย์ แต่ชั้นโดเมน Web2 ที่ผู้ใช้เข้าถึงยังคงพึ่งพาผู้ให้บริการจดทะเบียนโดเมนแบบรวมศูนย์ และขั้นตอนการบริการลูกค้าของผู้ให้บริการรายหลังนั้นเป็นจุดที่อ่อนแอที่สุด การออกแบบของ Domainsure ที่ “ไม่รองรับการกู้คืนบัญชี” เป็นหนึ่งในแนวทางป้องกันที่ตรงที่สุดในอุตสาหกรรมต่อการโจมตีด้วยวิศวกรรมสังคมลักษณะนี้ แต่ก็หมายความว่าผู้ถือบัญชีจำเป็นต้องแน่ใจว่ามีการสำรองข้อมูลความปลอดภัยของกุญแจส่วนตัวแล้ว