En la noche del viernes 17 de abril, eth.limo, una puerta de entrada ampliamente utilizada para usuarios del Servicio de Nombres de Ethereum (ENS), sufrió un inesperado ataque de ingeniería social. El incidente se desarrolló cuando el atacante eludió los procedimientos de verificación, tomó el control en el operador de registro EasyDNS y causó una interrupción temporal de los servicios de eth.limo.
Respuesta rápida y redireccionamiento de DNS
Durante el ataque, un perpetrador se hizo pasar por un miembro del equipo de desarrollo de eth.limo e inició una solicitud de recuperación de cuenta en EasyDNS. Al revisar la línea de tiempo, los servidores de nombres de eth.limo fueron primero redirigidos a Cloudflare y poco después a Namecheap. Los miembros del equipo actuaron rápidamente tras recibir alertas a primera hora de la mañana siguiente. Finalmente, EasyDNS devolvió el control de la cuenta al proyecto después de confirmar la violación.
Eth.limo ofrece un servicio de proxy inverso de código abierto que cubre alrededor de 2 millones de dominios .eth. Permite a los usuarios acceder directamente al contenido alojado en redes de almacenamiento distribuido como IPFS, Arweave o Swarm a través de sus navegadores. Durante el incidente, los atacantes apuntaron al registro DNS wildcard de eth.limo, poniendo en serio riesgo a casi dos millones de direcciones .eth.
“En nombre de todos en eth.limo y la comunidad más amplia de Ethereum, me disculpo profundamente. ENS ha tenido un lugar especial para nosotros, ya que EasyDNS fue el primer registrador en vincular nombres de dominio web2 a ENS, y hemos estado activos en este espacio desde 2017.”
El papel crucial de DNSSEC en limitar el daño
La violación podría haber causado mucho más daño, pero las Extensiones de Seguridad de DNS (DNSSEC) lo evitaron. DNSSEC firma digitalmente los registros DNS, bloqueando automáticamente aquellos que no pasan la verificación o son inválidos.
Dado que el atacante no pudo acceder a las claves de firma de la puerta de enlace, la cadena de validación DNSSEC se rompió. Como resultado, los proveedores de servicios reconocieron las respuestas de servidores de nombres falsos como inválidas, evitando que los usuarios fueran dirigidos a sitios no seguros.
El equipo de eth.limo confirmó que DNSSEC minimizó sustancialmente el impacto del ataque, informando que no hubo pérdidas de usuarios hasta ahora. El cofundador de Ethereum, Vitalik Buterin, aconsejó a los usuarios evitar los enlaces de eth.limo durante la interrupción del servicio y aseguró al día siguiente que se había restaurado el control total.
Declaración de EasyDNS y nuevas medidas de seguridad
Mark Jeftovic, el CEO de EasyDNS, declaró en una publicación de blog que este fue el primer ataque exitoso de ingeniería social en los 28 años de historia de la empresa, afectando solo a eth.limo. Tras el incidente, se decidió migrar eth.limo a Domainsure, una plataforma especializada sin función de recuperación de cuenta. La empresa no ha revelado los métodos técnicos exactos utilizados por el atacante.
Incidentes similares se han vuelto cada vez más frecuentes. En noviembre, los intercambios descentralizados Aerodrome y Velodrome fueron ambos objetivos de ataques de secuestro de DNS. En esos casos, desactivar DNSSEC en los dominios afectados resultó en pérdidas financieras para los usuarios. En marzo, Steakhouse Financial y Neutrl también experimentaron violaciones de seguridad debido a tácticas de ingeniería social.
Irónicamente, durante el ataque a Aerodrome en noviembre, eth.limo jugó un papel crucial al ofrecer a las plataformas DeFi un acceso alternativo. ENS DAO luego destacó a eth.limo como una puerta de entrada indispensable cada vez que las interfaces DeFi se volvían inaccesibles.
Vitalik Buterin ha advertido durante mucho tiempo sobre los riesgos inherentes a la dependencia del ecosistema Ethereum en la resolución de nombres de dominio centralizados. Reiteró la necesidad de que los desarrolladores promuevan el enrutamiento directo a través de redes descentralizadas como IPFS.
Después del incidente, eth.limo fue completamente devuelto al control de su equipo original y la plataforma fue reabierta a los usuarios.
