以太坊名称服务网关eth.limo于周五晚上在其域名注册商遭遇了短暂的社会工程攻击劫持,项目在周六发布的事后分析中表示。
据EasyDNS首席执行官Mark Jeftovic的事后分析和另一篇博客文章,4月17日美国东部时间晚上7:07,一名攻击者冒充eth.limo团队成员,欺骗注册商EasyDNS启动账户恢复流程。
攻击者于4月18日凌晨2:23(美东时间)将eth.limo的名称服务器切换到Cloudflare,触发了自动停机警报,唤醒了eth.limo团队。随后,名称服务器于东部时间凌晨3:57再次切换到Namecheap,随后EasyDNS于7:49恢复了团队账户访问权限,时间线显示。
eth.limo 是一个免费的开源反向代理,允许用户通过标准浏览器在任意 .eth 名称后附加“.limo”,访问托管于 IPFS、Arweave 或 Swarm 上的 ENS 关联内容。其 *.eth.limo 的万用 DNS 记录覆盖了大约 200 万个通过 ENS 注册的 .eth 域名,数据来自 EasyDNS 的数据。
如果成功劫持该变数,攻击者将能将任何通过网关访问的.eth页面流量,包括以太坊联合创始人Vitalik Buterin的个人博客vitalik.eth.limo,重新导向钓鱼基础设施。
“我代表在座的所有人,向eth.limo团队和更广泛的以太坊社区道歉,”Jeftovic写道。“ENS一直是我们心中特殊的地位,作为首个允许ENS与Web2域名连接的注册商,我们自2017年以来一直参与该领域。”
DNSSEC作为后备系统
两队都表示,阻止这一结果的是DNSSEC。该标准对DNS记录进行密码学签名,使验证解析器能够拒绝未签名或错误签名的响应。
由于攻击者从未获得 eth.limo 的签名密钥,当解析器将攻击者新命名服务器响应与仍缓存在父区的合法 DS 记录进行核对时,信任链断裂了。据eth.limo,解析器返回的是SERVFAIL错误,而非恶意答案。
“DNSSEC很可能缩小了劫机的爆炸半径。eth.limo 团队写道:“我们目前没有收到任何用户影响。”
Buterin周五曾警告用户避免使用所有eth.limo网址,并直接指向IPFS,他周六确认问题“现在已全部解决”。
EasyDNS 的道歉
在他的博客文章《我们搞砸了,我们承担责任》中,Jeftovic表示,这是该公司28年历史上首次成功针对EasyDNS客户的社交工程攻击,且没有其他客户受到影响。
Jeftovic表示,eth.limo将迁移到Domainsure,这是一个面向企业和金融科技客户的EasyDNS关联服务,但不提供任何账户恢复机制。他拒绝详细说明袭击者是如何欺骗支持过程的,理由是正在进行的内部尸检。
域名劫持事件上升
此次事件是针对底层智能合约去中心化但面向用户的域名却非去中心化的加密前端的注册商级入侵的最新一起。
去年十一月,去中心化交易所Aerodrome和Velodrome的DNS劫持事件导致用户损失超过70万美元,攻击者攻破注册商NameSilo的一个账户,并将受影响域名中的DNSSEC从中移除。
专注于稳定币的协议Steakhouse Financial于3月30日披露了类似事件,此前OVH的支持人员被社会工程化移除了账户中的双重认证,短暂地允许从克隆网站发送钱包清空器。让步平台Neutrl在三月也遭遇了类似事件。
具有讽刺意味的是,根据ENS DAO 2025年第四季度更新,eth.limo在11月劫持事件中曾为Aerodrome团队提供“白手套”支持,其网关常被视为去中心化前端断线时的首选备份。
Buterin长期以来一直认为,以太坊对中心化DNS解析的依赖是一种信任倒退,并在今年一月宣布,开发者应当通过推动用户转向直接的IPFS访问路径来扭转这一局面。这正是他在周五事件中指出的同一个变通方法,告诉粉丝在网关关闭期间可以“通过IPFS直接查看我的博客”。
