Eine Nachbetrachtung von Steakhouse hat neue Erkenntnisse zu einem Sicherheitsvorfall am 30. März gebracht. Angreifer kaperten kurzzeitig die Domain, um eine Phishing-Seite bereitzustellen, wodurch eine kritische Schwachstelle in der Off-Chain-Infrastruktur und nicht in On-Chain-Systemen offengelegt wurde.
Das Team bestätigte, dass der Angriff aus einem erfolgreichen Social-Engineering-Versuch gegen seinen Domain-Registrar OVHcloud resultierte. Dies ermöglichte es dem Angreifer, die Zwei-Faktor-Authentifizierung zu umgehen und die Kontrolle über DNS-Einträge zu übernehmen.
Social Engineering führte zur vollständigen Kontoübernahme
Laut Bericht kontaktierte der Angreifer den Support-Desk des Registrars, gab sich als Kontoinhaber aus und überzeugte einen Support-Mitarbeiter, die hardwarebasierte Zwei-Faktor-Authentifizierung zu entfernen.
Nachdem der Zugriff gewährt wurde, führte der Angreifer schnell eine Reihe automatisierter Aktionen aus. Dazu gehörten das Löschen vorhandener Sicherheitsanmeldedaten, die Registrierung neuer Authentifizierungsgeräte und die Umleitung von DNS-Einträgen auf eine von ihnen kontrollierte Infrastruktur.
Dies ermöglichte die Bereitstellung einer geklonten Steakhouse-Website mit einem integrierten Wallet-Drainer, die etwa vier Stunden lang zeitweise erreichbar blieb.
Phishing-Seite aktiv, aber Gelder blieben sicher
Trotz der Schwere des Vorfalls erklärte Steakhouse, dass keine Benutzergelder verloren gingen und keine bösartigen Transaktionen bestätigt wurden.
Die Kompromittierung beschränkte sich auf die Domain-Ebene. On-Chain-Vaults und Smart Contracts, die unabhängig vom Frontend arbeiten, waren nicht betroffen. Das Protokoll betonte, dass es keine Admin-Schlüssel besitzt, die auf Benutzereinlagen zugreifen könnten.
Browser-Wallet-Schutzmaßnahmen von Anbietern wie MetaMask und Phantom markierten die Phishing-Seite schnell, während das Team innerhalb von 30 Minuten nach Entdeckung des Vorfalls eine öffentliche Warnung herausgab.
Nachbetrachtung hebt Anbieterrisiko und einzelne Schwachstellen hervor
Der Bericht weist auf ein zentrales Versagen in Steakhouses Sicherheitsannahmen hin: die Abhängigkeit von einem einzelnen Registrar, dessen Support-Prozesse hardwarebasierte Schutzmaßnahmen außer Kraft setzen konnten.
Die Möglichkeit, die Zwei-Faktor-Authentifizierung per Telefonanruf ohne robuste Out-of-Band-Verifizierung zu deaktivieren, verwandelte ein Anmeldedatenleck effektiv in eine vollständige Kontoübernahme.
Steakhouse räumte ein, dass es dieses Risiko nicht angemessen bewertet hatte, und beschrieb den Registrar als „einzelne Schwachstelle" in seiner Infrastruktur.
Off-Chain-Schwachstellen bleiben ein schwaches Glied
Der Vorfall unterstreicht ein breiteres Problem in der Krypto-Sicherheit – dass starke On-Chain-Schutzmaßnahmen die Risiken in der umgebenden Infrastruktur nicht beseitigen.
Während Smart Contracts und Vaults sicher blieben, ermöglichte die Kontrolle über DNS dem Angreifer, Benutzer durch Phishing anzugreifen, eine Methode, die im Ökosystem zunehmend verbreitet ist.
Der Angriff umfasste auch Tools, die mit „Drainer-as-a-Service"-Operationen übereinstimmen, und verdeutlicht, wie Angreifer weiterhin Social Engineering mit vorgefertigten Exploit-Kits kombinieren.
Sicherheits-Upgrades und nächste Schritte
Nach dem Vorfall hat Steakhouse zu einem sichereren Registrar migriert. Es implementierte kontinuierliches DNS-Monitoring, rotierte Anmeldedaten und startete eine umfassendere Überprüfung der Sicherheitspraktiken von Anbietern.
Das Team führte auch strengere Kontrollen für das Domain-Management ein, einschließlich Hardware-Schlüssel-Durchsetzung und Registrar-Ebenen-Sperren.
Zusammenfassung
- Steakhouses Nachbetrachtung zeigt, dass eine Umgehung der 2FA auf Registrar-Ebene ein DNS-Hijacking ermöglichte und Benutzer trotz sicherer On-Chain-Systeme Phishing aussetzte.
- Der Vorfall verdeutlicht, wie Off-Chain-Infrastruktur und Anbietersicherheit kritische Schwachstellen in Krypto-Ökosystemen bleiben.
Quelle: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
