Ethereum Name Service (ENS) için popüler bir geçit olan eth.limo, 17 Nisan Cuma akşamı beklenmedik bir sosyal mühendislik saldırısına uğradı. Saldırganın doğrulama süreçlerini atlatmasıyla başlayan olay sonrası, kayıt operatörü EasyDNS’deki yetki devralındı ve geçici olarak hizmet kesintisi yaşandı.
Hızlı müdahale ve DNS yönlendirmeleri
Saldırı sırasında, eth.limo geliştirici ekibinden birini taklit eden bir saldırgan EasyDNS üzerinden hesap kurtarma işlemi başlatmayı başardı. Olayların zaman çizelgesine bakıldığında, eth.limo’nun isim sunucuları önce Cloudflare’a, ardından kısa süre içinde Namecheap’e yönlendirildi. Ekip üyeleri sabaha doğru yapılan uyarılarla harekete geçti ve nihayet EasyDNS, hesabın kontrolünü tekrar projeye devretti.
Eth.limo, yaklaşık 2 milyon .eth alan adını kapsayan, açık kaynaklı bir ters proxy hizmeti sunuyor. Kullanıcıların IPFS, Arweave veya Swarm gibi dağıtık depolama sistemlerinde barındırılan içeriklere doğrudan tarayıcıdan erişebilmesini sağlıyor. Platformun toplam kullandığı wildcard DNS kaydı saldırı sırasında hedef oldu ve yaklaşık iki milyon .eth uzantılı alan adı ciddi risk altına girdi.
“Herkes adına eth.limo ekibinden ve daha geniş Ethereum topluluğundan özür diliyorum. ENS, EasyDNS’in web2 alan adlarını ENS ile bağlayan ilk kayıt operatörü olması nedeniyle bizim için her zaman özel bir yere sahip oldu ve bu alanda 2017’den beri aktifiz.”
DNSSEC ve saldırının etkisini sınırlaması
Saldırının daha büyük zarar vermesini DNSSEC olarak bilinen DNS Güvenlik Uzantıları önledi. DNSSEC, DNS kayıtlarını kriptografik olarak imzalayarak, doğrulamadan geçmeyen veya geçersiz kayıtlara otomatik olarak engel koyuyor.
Saldırgan geçit sisteminin imzalama anahtarlarına erişemediği için, DNSSEC doğrulama zinciri bozuldu. Böylece, servis sağlayıcıları saldırganın yönlendirdikleri yeni isim sunucu cevaplarını geçerli olarak tanımadı ve kullanıcılar güvenli olmayan sayfalara yönlendirilmedi.
Eth.limo ekibi, DNSSEC’in saldırının etkisiyle ilgili alanı daralttığını ve şu ana kadar kullanıcıların herhangi bir kayıpla karşılaşmadığını belirtti. Ethereum’un kurucularından Vitalik Buterin ise yaşanan kesinti sırasında kullanıcılara eth.limo bağlantılarından uzak durmalarını önerdi. Bir gün sonra ise tüm kontrollerin yeniden sağlandığını duyurdu.
EasyDNS’ten açıklama ve yeni önlemler
EasyDNS CEO’su Mark Jeftovic, blog yazısında 28 yıllık şirket tarihinde ilk kez böyle bir sosyal mühendislik saldırısının başarıyla gerçekleştiğini, ancak durumdan yalnızca eth.limo’nun etkilendiğini aktardı. Yaşananlar sonrası eth.limo’nun, hesap kurtarma özelliği bulunmayan Domainsure adlı özel bir platforma taşınmasına karar verildi. Şirket, saldırganın teknik olarak nasıl bir yöntemi kullandığına dair detay paylaşmadı.
Son zamanlarda benzeri olayların sayısı artıyor. Geçtiğimiz Kasım ayında merkeziyetsiz borsalar Aerodrome ve Velodrome’da da DNS kaçırma saldırıları gerçekleşti. Bu saldırılar sırasında, ilgili alan adlarındaki DNSSEC kaldırıldığı için kullanıcılar maddi kayıplar yaşadı. Mart ayında ise Steakhouse Financial ve Neutrl platformları, sosyal mühendislik yoluyla çeşitli güvenlik açıklarına maruz kaldı.
Ironik bir şekilde, eth.limo kısa süre önce kasım ayındaki Aerodrome olayı sırasındaDeFi platformlarına alternatif erişim sunarak ek destek sağlamıştı. ENS DAO güncellemesinde de, DeFi arayüzlerinin erişilemez olduğu durumlarda eth.limo’nun alternatifsiz bir geçit olduğu vurgulanıyordu.
Vitalik Buterin, Ethereum ekosisteminin merkezi alan adı çözümlemesine fazla bağımlı kalmasının risklerine uzun süredir dikkat çekiyor. Geliştiricilerin doğrudan IPFS gibi dağıtık ağlara yönlendiren yöntemleri teşvik etmesi gerektiğini tekrar hatırlattı.
Olayın ardından eth.limo hizmeti tekrar tamamen eski ekibinin kontrolüne geçti ve platform yeniden erişime açıldı.
