Посмертный анализ от Steakhouse пролил свет на инцидент безопасности 30 марта. Атакующие ненадолго захватили его домен для размещения фишингового сайта, выявив критическую слабость во внецепочечной инфраструктуре, а не в ончейн системах.
Команда подтвердила, что атака произошла из-за успешной попытки социальной инженерии, нацеленной на его регистратора доменов, OVHcloud. Это позволило атакующему обойти двухфакторную аутентификацию и получить контроль над DNS-записями.
Социальная инженерия привела к полному захвату аккаунта
Согласно отчету, атакующий связался со службой поддержки регистратора, выдал себя за владельца аккаунта и убедил агента поддержки удалить аппаратную двухфакторную аутентификацию.
После получения доступа атакующий быстро выполнил серию автоматических действий. Это включало удаление существующих учетных данных безопасности, регистрацию новых устройств аутентификации и перенаправление DNS-записей на инфраструктуру под их контролем.
Это позволило развернуть клонированный веб-сайт Steakhouse со встроенным похитителем кошельков, который оставался периодически доступным примерно четыре часа.
Фишинговый сайт активен, но средства остались в безопасности
Несмотря на серьезность взлома, Steakhouse заявил, что средства пользователей не были потеряны и вредоносные транзакции не подтверждены.
Компрометация ограничилась уровнем домена. Ончейн хранилища и смарт-контракты, которые работают независимо от фронтенда, не пострадали. Протокол подчеркнул, что у него нет административных ключей, которые могли бы получить доступ к депозитам пользователей.
Защита браузерных кошельков от провайдеров, таких как MetaMask и Phantom, быстро пометила фишинговый сайт, а команда выпустила публичное предупреждение в течение 30 минут после обнаружения инцидента.
Посмертный анализ выявляет риск поставщика и единственные точки отказа
Отчет указывает на ключевой сбой в предположениях безопасности Steakhouse: зависимость от единственного регистратора, чьи процессы поддержки могли переопределить аппаратную защиту.
Возможность отключить двухфакторную аутентификацию по телефонному звонку без надежной внешней проверки фактически превратила утечку учетных данных в полный захват аккаунта.
Steakhouse признал, что не оценил этот риск должным образом, описав регистратора как "единственную точку отказа" в своей инфраструктуре.
Внецепочечные уязвимости остаются слабым звеном
Инцидент подчеркивает более широкую проблему в криптовалютной безопасности — что сильная ончейн защита не устраняет риски в окружающей инфраструктуре.
Хотя смарт-контракты и хранилища оставались защищенными, контроль над DNS позволил атакующему нацелиться на пользователей через фишинг — метод, становящийся все более распространенным в экосистеме.
Атака также включала инструменты, соответствующие операциям "похититель как услуга", подчеркивая, как атакующие продолжают сочетать социальную инженерию с готовыми наборами эксплойтов.
Обновления безопасности и следующие шаги
После инцидента Steakhouse перешел на более безопасного регистратора. Он внедрил непрерывный мониторинг DNS, сменил учетные данные и запустил более широкую проверку практик безопасности поставщиков.
Команда также ввела более строгий контроль за управлением доменами, включая принудительное использование аппаратных ключей и блокировки на уровне регистратора.
Итоговое резюме
- Посмертный анализ Steakhouse показывает, что обход 2FA на уровне регистратора позволил осуществить захват DNS, подвергнув пользователей фишингу, несмотря на безопасные ончейн системы.
- Инцидент подчеркивает, как внецепочечная инфраструктура и безопасность поставщиков остаются критическими уязвимостями в криптовалютных экосистемах.
Источник: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
