Μια μετά θάνατον ανάλυση από τη Steakhouse έχει ρίξει νέο φως σε ένα συμβάν ασφαλείας της 30ής Μαρτίου. Οι επιτιθέμενοι κατέλαβαν προσωρινά τον τομέα της για να εξυπηρετήσουν έναν ιστότοπο phishing, εκθέτοντας μια κρίσιμη αδυναμία στην off-chain υποδομή αντί για τα on-chain συστήματα.
Η ομάδα επιβεβαίωσε ότι η επίθεση προήλθε από μια επιτυχημένη προσπάθεια κοινωνικής μηχανικής που στόχευε τον καταχωρητή του domain της, OVHcloud. Αυτό επέτρεψε στον επιτιθέμενο να παρακάμψει τον έλεγχο ταυτότητας δύο παραγόντων και να αναλάβει τον έλεγχο των εγγραφών DNS.
Η κοινωνική μηχανική οδήγησε σε πλήρη κατάληψη λογαριασμού
Σύμφωνα με την αναφορά, ο επιτιθέμενος επικοινώνησε με το γραφείο υποστήριξης του καταχωρητή, υποδυόταν τον κάτοχο του λογαριασμού και έπεισε έναν πράκτορα υποστήριξης να αφαιρέσει τον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε υλικό.
Μόλις χορηγήθηκε πρόσβαση, ο επιτιθέμενος εκτέλεσε ταχέως μια σειρά αυτοματοποιημένων ενεργειών. Αυτό περιελάμβανε τη διαγραφή υπαρχόντων διαπιστευτηρίων ασφαλείας, την εγγραφή νέων συσκευών ελέγχου ταυτότητας και την ανακατεύθυνση των εγγραφών DNS σε υποδομή υπό τον έλεγχό τους.
Αυτό επέτρεψε την ανάπτυξη ενός κλωνοποιημένου ιστότοπου Steakhouse ενσωματωμένου με έναν αποστραγγιστή πορτοφολιού, ο οποίος παρέμεινε διαλείποντος προσβάσιμος για περίπου τέσσερις ώρες.
Ο ιστότοπος phishing ενεργός, αλλά τα κεφάλαια παρέμειναν ασφαλή
Παρά τη σοβαρότητα της παραβίασης, η Steakhouse δήλωσε ότι δεν χάθηκαν κεφάλαια χρηστών και δεν επιβεβαιώθηκαν κακόβουλες συναλλαγές.
Ο συμβιβασμός περιορίστηκε στο επίπεδο του domain. Τα on-chain vaults και τα έξυπνα συμβόλαια, που λειτουργούν ανεξάρτητα από το frontend, δεν επηρεάστηκαν. Το πρωτόκολλο τόνισε ότι δεν κατέχει κλειδιά διαχειριστή που θα μπορούσαν να έχουν πρόσβαση στις καταθέσεις των χρηστών.
Οι προστασίες πορτοφολιού προγράμματος περιήγησης από παρόχους όπως η MetaMask και η Phantom επισήμαναν γρήγορα τον ιστότοπο phishing, ενώ η ομάδα εξέδωσε δημόσια προειδοποίηση εντός 30 λεπτών από τον εντοπισμό του συμβάντος.
Η μετά θάνατον ανάλυση υπογραμμίζει τον κίνδυνο προμηθευτή και τα μονά σημεία αποτυχίας
Η αναφορά επισημαίνει μια βασική αποτυχία στις υποθέσεις ασφαλείας της Steakhouse: την εξάρτηση από έναν μόνο καταχωρητή των οποίων οι διαδικασίες υποστήριξης θα μπορούσαν να παρακάμψουν τις προστασίες που βασίζονται σε υλικό.
Η δυνατότητα απενεργοποίησης του ελέγχου ταυτότητας δύο παραγόντων μέσω τηλεφωνικής κλήσης, χωρίς ισχυρή επαλήθευση εκτός ζώνης, μετέτρεψε αποτελεσματικά μια διαρροή διαπιστευτηρίων σε πλήρη κατάληψη λογαριασμού.
Η Steakhouse αναγνώρισε ότι δεν είχε αξιολογήσει επαρκώς αυτόν τον κίνδυνο, περιγράφοντας τον καταχωρητή ως ένα "μονό σημείο αποτυχίας" στην υποδομή της.
Οι off-chain ευπάθειες παραμένουν ένας αδύναμος κρίκος
Το συμβάν υπογραμμίζει ένα ευρύτερο ζήτημα στην ασφάλεια κρυπτονομισμάτων — ότι οι ισχυρές on-chain προστασίες δεν εξαλείφουν τους κινδύνους στη γύρω υποδομή.
Ενώ τα έξυπνα συμβόλαια και τα vaults παρέμειναν ασφαλή, ο έλεγχος του DNS επέτρεψε στον επιτιθέμενο να στοχεύσει χρήστες μέσω phishing, μια μέθοδος όλο και πιο κοινή στο οικοσύστημα.
Η επίθεση περιελάμβανε επίσης εργαλεία συνεπή με λειτουργίες "drainer-as-a-service", υπογραμμίζοντας πώς οι επιτιθέμενοι συνεχίζουν να συνδυάζουν την κοινωνική μηχανική με έτοιμα κιτ εκμετάλλευσης.
Αναβαθμίσεις ασφαλείας και επόμενα βήματα
Μετά το συμβάν, η Steakhouse μετανάστευσε σε έναν πιο ασφαλή καταχωρητή. Εφάρμοσε συνεχή παρακολούθηση DNS, εναλλαγή διαπιστευτηρίων και ξεκίνησε μια ευρύτερη επανεξέταση των πρακτικών ασφαλείας προμηθευτών.
Η ομάδα εισήγαγε επίσης αυστηρότερους ελέγχους για τη διαχείριση domain, συμπεριλαμβανομένης της επιβολής κλειδιού υλικού και κλειδωμάτων σε επίπεδο καταχωρητή.
Τελική Περίληψη
- Η μετά θάνατον ανάλυση της Steakhouse αποκαλύπτει ότι μια παράκαμψη 2FA σε επίπεδο καταχωρητή επέτρεψε μια αρπαγή DNS, εκθέτοντας χρήστες σε phishing παρά τα ασφαλή on-chain συστήματα.
- Το συμβάν υπογραμμίζει πώς η off-chain υποδομή και η ασφάλεια προμηθευτών παραμένουν κρίσιμες ευπάθειες στα οικοσυστήματα κρυπτονομισμάτων.
Πηγή: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
