incrypted.com
- Хакеры атаковали eth.limo.
- Попытка взлома сервиса $ENS выявила слабое место криптоинфраструктуры.
- DNSSEC спас миллионы $ENS-доменов от фишинга.
Сервис eth.limo, который выступает мостом между Web2 и доменами Ethereum Name Service ($ENS), пережил серьезный инцидент безопасности после DNS hijack-атаки, произошедшей в ночь на 18 апреля 2026 года. Несмотря на компрометацию аккаунта регистратора, команда заявила, что на данный момент не зафиксировано влияния на пользователей, а ключевую роль в сдерживании последствий сыграл механизм DNSSEC.
Как произошла атака и почему пострадал регистратор
Согласно официальному анализу, 17 апреля аккаунт eth.limo в easyDNS был скомпрометирован через атаку социальной инженерии, направленную непосредственно на провайдера доменных услуг.
Злоумышленник выдавал себя за одного из членов команды, в результате чего удалось инициировать неправомерное восстановление доступа.
Хронология инцидента выглядела так:
- сначала записи NS были изменены и перенаправлены на Cloudflare;
- позже NS-записи повторно изменили, на этот раз на Namecheap;
- затем easyDNS восстановил доступ к аккаунту и отменил вредоносные изменения.
После этого сервис начал постепенно восстанавливать работу.
Команда также оперативно предупредила сообщество. Сооснователь Ethereum Виталик Бутерин написал:
«Поэтому, пожалуйста, не посещайте сайт http://vitalik.eth.limo и другие страницы http://eth.limo, пока они не подтвердят, что ситуация нормализовалась».
DNSSEC фактически спас сервис от фишинга
Несмотря на сам факт перехвата DNS, главной позитивной новостью стало то, что DNSSEC значительно ограничил масштаб потенциальной атаки.
По словам команды eth.limo, после изменения NS-записей резолверы, которые поддерживают DNSSEC, начали проверять ответы через цепочку доверия.
Поскольку злоумышленники не имели ключей подписи, они не смогли создать корректные RRSIG-подписи, поэтому большинство запросов завершалось ошибкой SERVFAIL, а не перенаправлением на вредоносные страницы.
В анализе это описано так:
«DNSSEC, вероятно, уменьшил масштаб последствий похищения».
Фактически это могло предотвратить:
- фишинговые атаки на владельцев $ENS-доменов;
- подмену Web3-страниц;
- инъекции вредоносного ПО;
- кражу seed-фраз или криптокошельков.
CEO easyDNS Марк Джефтович прямо признал вину компании. Он также назвал это первой успешной атакой социальной инженерии за 28 лет истории компании.
По его словам:
«На Domainsure нет механизма “восстановления учетной записи”».
Этот инцидент имеет особое значение для криптоиндустрии, поскольку eth.limo обеспечивает доступ к примерно 2 млн доменов .eth, работающих на базе Ethereum Name Service.
Напомним, что количество атак в последнее время активно растет. В частности, из-за взлома протокола ликвидного рестейкинга KelpDAO стоимость заблокированных средств Aave упала почти на $8,5 млрд. Подробнее в материале: