Посмертний аналіз від Steakhouse пролив нове світло на інцидент безпеки 30 березня. Зловмисники ненадовго захопили його домен для розміщення фішингового сайту, виявивши критичну слабкість в офчейн-інфраструктурі, а не в ончейн-системах.
Команда підтвердила, що атака виникла через успішну спробу соціальної інженерії, спрямовану на його реєстратора домену, OVHcloud. Це дозволило зловмиснику обійти двофакторну аутентифікацію та отримати контроль над DNS-записами.
Соціальна інженерія призвела до повного захоплення акаунту
Згідно зі звітом, зловмисник зв'язався зі службою підтримки реєстратора, видав себе за власника акаунту і переконав агента підтримки видалити апаратну двофакторну аутентифікацію.
Після отримання доступу зловмисник швидко виконав серію автоматизованих дій. Це включало видалення існуючих облікових даних безпеки, реєстрацію нових пристроїв аутентифікації та перенаправлення DNS-записів на інфраструктуру під їхнім контролем.
Це дозволило розгорнути клонований веб-сайт Steakhouse з вбудованим drain-скриптом гаманця, який періодично був доступний протягом приблизно чотирьох годин.
Фішинговий сайт активний, але кошти залишилися в безпеці
Незважаючи на серйозність порушення, Steakhouse заявив, що жодних коштів користувачів не було втрачено і жодних шкідливих транзакцій не підтверджено.
Компрометація обмежилася рівнем домену. Ончейн-сховища та смарт-контракти, які працюють незалежно від фронтенду, не постраждали. Протокол підкреслив, що він не зберігає адміністративних ключів, які могли б отримати доступ до депозитів користувачів.
Засоби захисту браузерних гаманців від таких провайдерів, як MetaMask і Phantom, швидко позначили фішинговий сайт, тоді як команда опублікувала публічне попередження протягом 30 хвилин після виявлення інциденту.
Посмертний аналіз підкреслює ризик постачальника та єдині точки відмови
Звіт вказує на ключову помилку в припущеннях безпеки Steakhouse: покладання на єдиного реєстратора, чиї процеси підтримки могли обійти апаратний захист.
Можливість вимкнути двофакторну аутентифікацію через телефонний дзвінок без надійної позасмугової перевірки фактично перетворила витік облікових даних на повне захоплення акаунту.
Steakhouse визнав, що він не адекватно оцінив цей ризик, описуючи реєстратора як "єдину точку відмови" в своїй інфраструктурі.
Офчейн-вразливості залишаються слабкою ланкою
Інцидент підкреслює ширшу проблему в криптобезпеці — що сильний ончейн-захист не усуває ризики в навколишній інфраструктурі.
Хоча смарт-контракти та сховища залишалися безпечними, контроль над DNS дозволив зловмиснику орієнтуватися на користувачів через фішинг, метод, який стає все більш поширеним в екосистемі.
Атака також включала інструменти, узгоджені з операціями "drainer-as-a-service", підкреслюючи, як зловмисники продовжують поєднувати соціальну інженерію з готовими наборами експлойтів.
Оновлення безпеки та наступні кроки
Після інциденту Steakhouse перейшов до більш безпечного реєстратора. Він впровадив безперервний моніторинг DNS, змінив облікові дані та запустив ширший перегляд практик безпеки постачальників.
Команда також запровадила суворіший контроль для управління доменами, включаючи примусове застосування апаратних ключів і блокування на рівні реєстратора.
Підсумок
- Посмертний аналіз Steakhouse розкриває, що обхід 2FA на рівні реєстратора дозволив захопити DNS, піддаючи користувачів фішингу незважаючи на безпечні ончейн-системи.
- Інцидент підкреслює, як офчейн-інфраструктура та безпека постачальників залишаються критичними вразливостями в криптоекосистемах.
Джерело: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
