Tên miền eth.limo đã bị chiếm quyền, EasyDNS thừa nhận cuộc tấn công lừa đảo xã hội đầu tiên trong 28 năm

ENS 到 Web 的 cổng vào eth.limo đã bị chiếm quyền DNS vào tối ngày 17 tháng 4; phân tích sau đó cho thấy kẻ tấn công mạo danh các thành viên trong nhóm eth.limo, thành công dụ dỗ nhà đăng ký tên miền EasyDNS thực hiện quy trình khôi phục tài khoản. Giám đốc điều hành của EasyDNS là Mark Jeftovic đã thừa nhận công khai rằng đây là cuộc tấn công kỹ thuật xã hội thành công đầu tiên nhằm vào khách hàng trong 28 năm lịch sử của công ty.

Timeline tấn công: Quy trình khôi phục tài khoản bị kích hoạt do bị lừa

Theo phân tích sau sự cố và bài viết trên blog chính thức của EasyDNS, timeline toàn bộ diễn tiến của cuộc tấn công như sau: vào 7:07 tối ngày 17 tháng 4 (giờ Miền Đông Hoa Kỳ), kẻ tấn công mạo danh thành viên nhóm eth.limo, dụ dỗ quy trình khôi phục tài khoản của EasyDNS. Vào 2:23 sáng ngày 18 tháng 4 (giờ Miền Đông Hoa Kỳ), kẻ tấn công chuyển máy chủ tên miền của eth.limo sang Cloudflare, kích hoạt cảnh báo ngừng hoạt động tự động, đánh thức nhóm eth.limo; lúc 3:57 sáng, máy chủ tên miền lại được chuyển sang Namecheap; và lúc 7:49 sáng, EasyDNS đã khôi phục quyền truy cập tài khoản của nhóm eth.limo.

Vitalik Buterin trong thời gian diễn ra sự cố đã cảnh báo người dùng tránh sử dụng tất cả các liên kết eth.limo, hướng họ truy cập nội dung trực tiếp thông qua IPFS. Ông đã xác nhận vào thứ Bảy rằng vấn đề đã được giải quyết hoàn toàn.

DNSSEC đã trở thành lớp phòng thủ cuối cùng như thế nào

Kẻ tấn công đã cố gắng chuyển hướng lưu lượng thông qua tên miền dạng wildcard của eth.limo (*.eth.limo) đến hạ tầng lừa đảo (phishing), phạm vi tiềm năng bao gồm hơn 2 triệu tên miền ENS .eth, trong đó có blog cá nhân vitalik.eth.limo của Vitalik Buterin.

Tuy nhiên, do kẻ tấn công chưa bao giờ có được khóa ký DNSSEC của eth.limo, khi bộ phân giải đối chiếu phản hồi của máy chủ tên miền mới do kẻ tấn công cung cấp với bản ghi DS hợp pháp trong bộ nhớ đệm của vùng cha, chuỗi tin cậy bị đứt gãy; bộ phân giải trả về lỗi SERVFAIL thay vì chuyển hướng độc hại. “DNSSEC có thể đã thu hẹp phạm vi ảnh hưởng của vụ chiếm quyền, hiện tại chúng tôi vẫn chưa phát hiện bất kỳ ảnh hưởng nào đối với người dùng,” nhóm eth.limo cho biết trong báo cáo.

Xu hướng có hệ thống của các cuộc tấn công kỹ thuật xã hội bằng DNS ở lớp trước mã hóa

Sự cố này là ví dụ mới nhất trong chuỗi các cuộc tấn công ở cấp nhà đăng ký tên miền nhắm vào lớp trước mã hóa thời gian gần đây: vào tháng 11 năm 2024, kẻ tấn công đã chiếm quyền tài khoản của NameSilo và tách DNSSEC, khiến người dùng DEX Aerodrome và Velodrome thiệt hại hơn 700.000 USD; vào ngày 30 tháng 3 năm nay, bộ phận hỗ trợ OVH của Steakhouse Financial bị tấn công kỹ thuật xã hội dẫn dụ khiến phải tắt xác thực hai yếu tố, trang web giả mạo được đưa lên trong thời gian ngắn; cùng tháng đó, nền tảng lợi nhuận Neutrl cũng gặp một sự cố tương tự.

Nghịch lý là, trước đó eth.limo đã từng cung cấp hỗ trợ khẩn cấp trong vụ chiếm quyền Aerodrome vào tháng 11, và được xem rộng rãi như lựa chọn thay thế phi tập trung hàng đầu khi một front-end DeFi gặp sự cố ngừng hoạt động. Sau khi sự cố được giải quyết, eth.limo dự định chuyển sang Domainsure thuộc hệ EasyDNS—dịch vụ này dành cho khách hàng doanh nghiệp, không cung cấp bất kỳ cơ chế khôi phục tài khoản nào, loại bỏ tận gốc điểm vào của các cuộc tấn công kỹ thuật xã hội dạng này.

Vitalik trong thời gian dài cho rằng sự phụ thuộc của Ethereum vào phân giải DNS tập trung là “thụt lùi niềm tin”, và kêu gọi các nhà phát triển vào năm 2026 hướng dẫn người dùng sử dụng đường dẫn truy cập trực tiếp IPFS.

Câu hỏi thường gặp

eth.limo là gì, và nó đóng vai trò gì trong hệ sinh thái Ethereum?

eth.limo là một reverse proxy miễn phí mã nguồn mở, cho phép người dùng thêm “.limo” sau bất kỳ tên miền .eth nào để truy cập các nội dung liên quan đến ENS được triển khai trên IPFS, Arweave hoặc Swarm thông qua trình duyệt tiêu chuẩn. Các bản ghi DNS dạng wildcard của nó phủ sóng khoảng 2 triệu tên miền .eth đã đăng ký qua ENS, là một trong những cầu nối truy cập Web2 được sử dụng rộng rãi nhất trong hệ sinh thái ENS.

DNSSEC đã ngăn chặn việc vụ tấn công này gây thiệt hại cho người dùng như thế nào?

DNSSEC ký mã hóa (encryption) cho các bản ghi DNS, cho phép bộ phân giải từ chối các phản hồi chưa được ký hoặc ký sai. Do kẻ tấn công chưa bao giờ lấy được khóa ký DNSSEC của eth.limo, những thay đổi độc hại đối với máy chủ tên miền của nó không thể vượt qua xác thực chuỗi tin cậy; bộ phân giải trả về lỗi SERVFAIL thay vì chuyển hướng độc hại, từ đó ngăn chặn hiệu quả các cuộc tấn công phishing quy mô lớn tiềm ẩn.

Vụ việc này đưa ra cảnh báo gì cho hệ sinh thái ENS và bảo mật front-end DeFi?

Sự cố này một lần nữa chứng minh mâu thuẫn an ninh cốt lõi nhất của lớp trước mã hóa: smart contract thì phi tập trung, nhưng lớp tên miền Web2 mà người dùng truy cập vẫn phụ thuộc vào các nhà đăng ký tên miền tập trung; trong khi đó, quy trình hỗ trợ của bên sau lại là điểm yếu. Thiết kế “không hỗ trợ khôi phục tài khoản” của Domainsure là một trong những phương án phòng thủ trực tiếp nhất mà ngành hiện nay đưa ra cho loại hình tấn công kỹ thuật xã hội này, nhưng điều đó cũng đồng nghĩa với việc chủ sở hữu tài khoản phải đảm bảo bản sao lưu an toàn cho khóa riêng.