CEO EasyDNS Mark Jeftovic khẳng định vụ tấn công kỹ thuật xã hội này cực kỳ tinh vi. Công ty vẫn đang tiếp tục điều tra sâu rộng để xác định chính xác cách thức vụ xâm nhập xảy ra, nhưng eth.limo – cổng dịch vụ tên miền quan trọng của Ethereum Name Service (ENS) – đã chính thức công bố chi tiết về sự cố chiếm đoạt tên miền gây chấn động vào thứ Sáu tuần trước. Theo đó, thủ phạm đã sử dụng chiêu trò kỹ thuật xã hội cực kỳ tinh vi nhắm thẳng vào EasyDNS, nhà cung cấp dịch vụ tên miền của eth.limo.

Báo cáo khám nghiệm sự cố (post-mortem) được eth.limo công bố vào thứ Bảy cho biết, kẻ tấn công đã giả mạo một thành viên trong đội ngũ của eth.limo để khởi động quy trình khôi phục tài khoản với EasyDNS, cấp cho chúng quyền truy cập vào tài khoản eth.limo và cho phép thay đổi cài đặt tên miền.

Công ty này cho biết: “Các bản ghi NS (Name Server) đã bị thay đổi và chuyển hướng sang Cloudflare… Ngay khi nhận ra rằng một vụ chiếm quyền điều khiển DNS đã xảy ra, chúng tôi lập tức thông báo cho cộng đồng, Vitalik Buterin và các bên liên quan khác. Sau đó, chúng tôi bắt đầu liên hệ với EasyDNS để ứng phó với sự cố.”

Eth.limo đóng vai trò là cầu nối Web2, cung cấp quyền truy cập vào khoảng 2 triệu trang web phi tập trung sử dụng tên miền .eth. Việc chiếm đoạt dịch vụ này có thể cho phép kẻ tấn công chuyển hướng người dùng đến các trang web độc hại. Đồng sáng lập Ethereum, Vitalik Buterin, đã cảnh báo người dùng vào thứ Sáu rằng hãy tránh truy cập blog của ông cho đến khi sự cố được giải quyết.

Mark Jeftovic, Giám đốc điều hành của EasyDNS, đã công khai chấp nhận trách nhiệm về sự cố trong báo cáo khám nghiệm riêng của công ty.

Jeftovic tuyên bố vào thứ Bảy: “Chúng tôi đã mắc sai lầm và chúng tôi hoàn toàn chịu trách nhiệm.”

“Đây là lần đầu tiên một cuộc tấn công kỹ thuật xã hội thành công chống lại khách hàng của EasyDNS trong suốt 28 năm lịch sử của chúng tôi. Trước đó, đã có vô số nỗ lực tấn công tương tự.”

Cả hai công ty đều nhấn mạnh vai trò quan trọng của Phần mở rộng bảo mật Hệ thống tên miền (DNSSEC) trong việc ngăn chặn các nỗ lực gây thêm thiệt hại của hacker.

Kẻ tấn công đã không thể tạo ra các chữ ký mật mã hợp lệ. Do đó, các bộ phân giải Hệ thống tên miền (DNS resolvers) đã từ chối các phản hồi DNS giả mạo của chúng, khiến người dùng nhìn thấy thông báo lỗi thay vì bị chuyển hướng đến các trang web độc hại.

Jeftovic giải thích: “Khi kẻ tấn công cố gắng chuyển đổi các máy chủ tên miền của họ – được cho là để thực hiện một cuộc tấn công lừa đảo (phishing) hoặc tiêm mã độc – DNSSEC đã được kích hoạt cho tên miền này. Các bộ phân giải nhận biết DNSSEC, vốn phổ biến hiện nay, đã bắt đầu từ chối các truy vấn đó.”

Trong báo cáo khám nghiệm, eth.limo lưu ý rằng do kẻ tấn công không có các khóa ký (signing keys), chúng đã không thể vượt qua các biện pháp bảo vệ, điều này có thể đã “giảm thiểu phạm vi ảnh hưởng của vụ chiếm quyền điều khiển. Hiện tại, chúng tôi chưa ghi nhận bất kỳ tác động nào đến người dùng. Chúng tôi sẽ cập nhật thông tin nếu có thay đổi.”

EasyDNS hành động ngay lập tức sau vụ tấn công

Jeftovic mô tả cuộc tấn công kỹ thuật xã hội này là “cực kỳ tinh vi”, và cho biết EasyDNS vẫn đang tiến hành khám nghiệm chi tiết về cách thức vụ vi phạm xảy ra. Công ty đã bắt đầu triển khai các thay đổi để ngăn chặn tình trạng tái diễn.

Ông nói thêm: “Đối với trường hợp của eth.limo, chúng tôi sẽ di chuyển họ sang Domainsure, một nền tảng có tư thế bảo mật phù hợp hơn với các tên miền doanh nghiệp và fintech có giá trị cao. Tóm lại, trên Domainsure không có cơ chế khôi phục tài khoản, điều đó là không thể.”

“Thay mặt tất cả mọi người tại đây, tôi xin gửi lời xin lỗi đến đội ngũ eth.limo và toàn thể cộng đồng Ethereum. ENS luôn giữ một vị trí đặc biệt trong trái tim chúng tôi với tư cách là nhà đăng ký đầu tiên cho phép liên kết ENS với các tên miền web2 và chúng tôi đã tham gia vào lĩnh vực này từ năm 2017,” ông chia sẻ.

Có liên quan: RaveDAO phủ nhận thao túng khi Binance, Bitget điều tra hoạt động giao dịch RAVE

Sự cố eth.limo là vụ mới nhất trong hàng loạt vụ chiếm quyền điều khiển tên miền nhắm vào các dự án crypto. Chỉ vài ngày trước đó, nền tảng tổng hợp sàn giao dịch phi tập trung CoW Swap đã mất quyền kiểm soát trang web của mình sau khi một bên không xác định chiếm đoạt tên miền của họ.

Tương tự, Steakhouse Financial, một công ty tư vấn và nghiên cứu DeFi, đã tiết lộ vào cuối tháng 3 rằng họ cũng đã mất quyền kiểm soát tên miền vào tay kẻ tấn công.

Tạp chí: Đạo luật CLARITY sẽ tốt hay xấu cho DeFi?