O domínio eth.limo foi sequestrado, e a EasyDNS admite o primeiro ataque de engenharia social em 28 anos

O gateway de Web para ETH chamado eth.limo foi alvo de sequestro de DNS na noite de 17 de abril; análises posteriores mostraram que o atacante se passou por um integrante da equipe eth.limo e conseguiu induzir o registrador de domínios EasyDNS a executar um processo de recuperação de conta. O CEO da EasyDNS, Mark Jeftovic, admitiu publicamente que esse foi o primeiro ataque de engenharia social bem-sucedido contra clientes na história de 28 anos da empresa.

Linha do tempo do ataque: o processo de recuperação de conta foi acionado ao ser enganado

De acordo com a análise posterior e o artigo oficial do blog da EasyDNS, a linha do tempo completa do ataque foi a seguinte: 17 de abril, 7:07 PM, horário do leste dos EUA: o atacante se passou por um integrante da equipe eth.limo e induziu o processo de recuperação de conta do EasyDNS a ser executado. 18 de abril, 2:23 AM, horário do leste dos EUA: o atacante alterou o servidor de nomes do domínio eth.limo para a Cloudflare, acionando alertas automáticos de indisponibilidade que despertaram a equipe eth.limo; 3:57 AM: o servidor de nomes foi novamente alterado para a Namecheap; às 7:49 AM: a EasyDNS restaurou as permissões de acesso da equipe eth.limo à conta.

Vitalik Buterin alertou os usuários durante o incidente para evitarem o uso de todos os links do eth.limo, orientando-os a acessarem o conteúdo diretamente via IPFS. Ele confirmou na tarde de sábado que o problema foi totalmente resolvido.

Como o DNSSEC se tornou a última linha de defesa

O atacante tentou redirecionar o tráfego para uma infraestrutura de phishing por meio do domínio curinga de eth.limo (*.eth.limo), com potencial impacto abrangendo mais de 2 milhões de domínios ENS .eth, incluindo o blog pessoal do Vitalik Buterin vitalik.eth.limo.

No entanto, como o atacante nunca obteve a chave de assinatura DNSSEC do eth.limo, quando os resolvers compararam a resposta do novo servidor de nomes do atacante com o registro DS legítimo em cache do domínio pai, a cadeia de confiança foi interrompida; o resolver retornou o erro SERVFAIL em vez de um redirecionamento malicioso. “O DNSSEC pode ter reduzido o alcance do incidente de sequestro; neste momento, ainda não encontramos nenhum impacto para os usuários”, afirmou a equipe do eth.limo no relatório.

Tendência sistêmica de ataques de engenharia social a DNS no front-end criptográfico

Este incidente é o caso mais recente em uma série de ataques recentes de nível de registrador de domínios contra o front-end criptográfico: em novembro de 2024, o atacante sequestrou a conta do NameSilo e removeu o DNSSEC, causando perdas de mais de 700 mil dólares para usuários do DEX Aerodrome e Velodrome; em 30 de março deste ano, o suporte ao cliente da OVH da Steakhouse Financial foi alvo de um ataque de engenharia social que o induziu a desativar a autenticação de dois fatores, e um site clonado foi colocado no ar por um breve período; no mesmo mês, a plataforma de ganhos Neutrl também enfrentou um incidente semelhante.

De forma irônica, o eth.limo anteriormente havia fornecido suporte emergencial no incidente de sequestro da Aerodrome em novembro, sendo amplamente visto como a opção descentralizada preferida para quando o front-end DeFi fica indisponível. Após a resolução do incidente, o eth.limo planeja migrar para o Domainsure, da EasyDNS — esse serviço é voltado para clientes empresariais, não oferece nenhum mecanismo de recuperação de conta e elimina, fundamentalmente, a porta de entrada para esse tipo de ataque de engenharia social.

Vitalik acredita há muito tempo que a dependência da Ethereum em relação à resolução de DNS por centros é um “retrocesso de confiança” e conclama desenvolvedores a, em 2026, conduzirem os usuários a utilizarem o caminho de acesso direto via IPFS.

Perguntas frequentes

O que é o eth.limo e qual papel ele desempenha no ecossistema Ethereum?

O eth.limo é um proxy reverso gratuito e de código aberto que permite aos usuários adicionar “.limo” após qualquer domínio .eth e acessar, por meio de navegadores padrão, o conteúdo relacionado ao ENS implantado no IPFS, Arweave ou Swarm. Seus registros DNS curinga cobrem cerca de 2 milhões de domínios .eth registrados via ENS, sendo uma das pontes de acesso Web2 mais amplamente usadas no ecossistema ENS.

Como o DNSSEC impediu que este ataque causasse perdas aos usuários?

O DNSSEC faz assinatura criptográfica dos registros DNS, permitindo que o resolvedor verifique e recuse respostas não assinadas ou assinadas incorretamente. Como o atacante nunca obteve a chave de assinatura DNSSEC do eth.limo, alterações maliciosas no servidor de nomes do domínio não conseguem passar na verificação da cadeia de confiança; o resolver retorna o erro SERVFAIL em vez de um redirecionamento malicioso, impedindo efetivamente potenciais ataques de phishing em larga escala.

Quais alertas este incidente traz para a segurança do ecossistema ENS e dos front-ends DeFi?

Este incidente mais uma vez confirma o conflito de segurança mais central do front-end criptográfico: contratos inteligentes são descentralizados, mas a camada de domínios Web2 que os usuários acessam ainda depende de registradores de domínios centralizados, e o fluxo de atendimento ao cliente de ambos é um ponto fraco. O design do Domainsure de “não dar suporte à recuperação de contas” é uma das defesas mais diretas da indústria atualmente contra esse tipo de ataque de engenharia social, mas isso também significa que os detentores de conta precisam garantir que haja um backup seguro da chave privada.