O domínio eth.limo foi sequestrado; a EasyDNS reconhece o primeiro ataque de engenharia social em 28 anos

O gateway de ENS para Web eth.limo sofreu sequestro de DNS na noite de 17 de abril; a análise posterior revelou que os atacantes se fizeram passar por membros da equipa do eth.limo, conseguindo induzir o registrador de domínios EasyDNS a executar o fluxo de recuperação de conta. O CEO da EasyDNS, Mark Jeftovic, admitiu publicamente que este foi o primeiro ataque de engenharia social bem-sucedido contra clientes na história de 28 anos da empresa.

Linha temporal do ataque: o fluxo de recuperação de conta foi despoletado por engano

De acordo com a análise posterior e com um artigo no blogue oficial da EasyDNS, a linha temporal completa do ataque é a seguinte: às 19:07, horário do leste dos EUA, a 17 de abril, os atacantes fizeram-se passar por um membro da equipa do eth.limo e induziram o fluxo de recuperação de conta da EasyDNS a ser executado. Às 02:23, horário do leste dos EUA, a 18 de abril, os atacantes mudaram os servidores de nomes do domínio eth.limo para a Cloudflare, acionando alertas automáticos de falha, que acordaram a equipa do eth.limo; às 03:57, os servidores de nomes foram novamente mudados para a Namecheap; e às 07:49 da manhã, a EasyDNS restaurou as permissões de acesso à conta da equipa eth.limo.

Vitalik Buterin avisou os utilizadores, durante o incidente, para evitarem usar todas as ligações do eth.limo, orientando-os a aceder ao conteúdo diretamente via IPFS. No sábado, ele confirmou que o problema já estava totalmente resolvido.

Como o DNSSEC se tornou a última linha de defesa

Os atacantes tentaram redirecionar o tráfego para infraestruturas de phishing através do domínio wildcard de eth.limo (*.eth.limo), com um impacto potencial que abrangia mais de 2 milhões de domínios ENS .eth, incluindo o blogue pessoal vitalik.eth.limo de Vitalik Buterin.

No entanto, como os atacantes nunca obtiveram as chaves de assinatura DNSSEC do eth.limo, quando o resolvedor comparou a resposta do novo servidor de nomes dos atacantes com os registos DS legítimos em cache da zona pai, a cadeia de confiança quebrou; o resolvedor devolveu o erro SERVFAIL em vez de um redirecionamento malicioso. “O DNSSEC pode ter reduzido a área de impacto do incidente de sequestro; até ao momento, ainda não encontrámos qualquer impacto nos utilizadores”, afirmou a equipa do eth.limo no relatório.

Tendência sistemática de ataques de engenharia social de DNS em frentes cripto

Este incidente é o caso mais recente numa série de ataques a nível de registradores de domínios, direcionados recentemente para frentes cripto: em novembro de 2024, os atacantes sequestraram a conta da NameSilo e removeram o DNSSEC, levando a que utilizadores da DEX Aerodrome e Velodrome perdessem mais de 700 mil dólares; a 30 de março deste ano, o apoio ao cliente da OVH da Steakhouse Financial foi levado, via engenharia social, a encerrar o processo de autenticação de dois fatores da conta, e um sítio clonado esteve online por um curto período; no mesmo mês, a plataforma de rendimento Neutrl também foi alvo de um incidente semelhante.

Ironia das ironias, o eth.limo tinha fornecido suporte de emergência no anterior incidente de sequestro da Aerodrome em novembro, sendo amplamente visto como a opção de recurso descentralizada preferida quando uma frente DeFi estava fora do ar. Após a resolução do incidente, o eth.limo planeou migrar para a Domainsure, uma oferta sob a EasyDNS — um serviço orientado a clientes empresariais, que não disponibiliza qualquer mecanismo de recuperação de conta, eliminando, na base, a porta de entrada para este tipo de ataque de engenharia social.

Vitalik considera há muito tempo que a dependência da Ethereum de resolução DNS centralizada é um “retrocesso de confiança” e apelou a que os programadores, em 2026, orientem os utilizadores a usar um caminho de acesso direto ao IPFS.

Perguntas frequentes

O que é o eth.limo e que papel desempenha no ecossistema Ethereum?

O eth.limo é um proxy inverso gratuito e open source que permite aos utilizadores adicionar “.limo” após qualquer domínio .eth e aceder ao conteúdo relacionado com ENS, implementado em IPFS, Arweave ou Swarm, através de um navegador padrão. Os registos DNS wildcard cobrem cerca de 2 milhões de domínios .eth registados via ENS, sendo uma das pontes de acesso Web2 mais amplamente usadas no ecossistema ENS.

Como é que o DNSSEC impediu que este ataque causasse perdas aos utilizadores?

O DNSSEC assina criptograficamente os registos DNS, permitindo que o resolvedor recuse respostas não assinadas ou com assinatura incorreta. Como os atacantes nunca obtiveram a chave de assinatura DNSSEC do eth.limo, as alterações maliciosas aos servidores de nomes do domínio não puderam passar na validação da cadeia de confiança; o resolvedor devolveu um erro SERVFAIL em vez de um redirecionamento malicioso, impedindo eficazmente possíveis ataques de phishing em grande escala.

Que aviso é que este incidente traz para a segurança do ecossistema ENS e das frentes DeFi?

Este incidente confirma novamente a contradição central mais importante de segurança nas frentes cripto: contratos inteligentes descentralizados, mas a camada de domínios Web2 que os utilizadores acedem continua a depender de registradores centralizados, e o processo de apoio ao cliente destes é o elo fraco. O desenho da Domainsure “não suporta recuperação de conta” é, atualmente, uma das defesas mais diretas da indústria contra este tipo de ataque de engenharia social, mas isso também significa que os titulares de contas têm de garantir cópias de segurança seguras das chaves privadas.