Il clamoroso dirottamento di eth.limo di venerdì: ingegneria sociale colpisce EasyDNS

eth.limo, gateway del Ethereum Name Service, ha rivelato che il dirottamento del dominio avvenuto venerdì è stato il risultato di un attacco di social engineering rivolto al fornitore del servizio di nomi a dominio, EasyDNS. L’aggressore si è spacciato per un membro del team di eth.limo e ha avviato una procedura di recupero account, ottenendo così accesso alle impostazioni del dominio.

eth.limo ha dichiarato:

“The NS records were changed and directed to Cloudflare… Once we understood that a DNS hijack had taken place, we immediately notified the community as well as Vitalik Buterin and others. We then began contacting EasyDNS in an attempt to respond to the incident.”

La piattaforma eth.limo funge da ponte fra Web2 e Web3, consentendo l’accesso a circa 2 milioni di siti decentralizzati collegati a domini .eth. Il controllo non autorizzato di questi record avrebbe potuto permettere a un malintenzionato di reindirizzare gli utenti verso siti malevoli, con potenziali conseguenze per la sicurezza e la fiducia nella rete.

In seguito all’incidente, il cofondatore di Ethereum, Vitalik Buterin, ha invitato gli utenti a non visitare temporaneamente il suo blog fino alla definitiva risoluzione del problema, come misura precauzionale.

Mark Jeftovic, amministratore delegato di EasyDNS, ha riconosciuto apertamente la responsabilità dell’azienda nell’accaduto.

Mark Jeftovic ha detto:

“We screwed up and we own it. This would mark the first successful social engineering attack against an easyDNS client in our 28-year history. There have been countless attempts.”

Il ruolo di DNSSEC nella mitigazione

Entrambe le società hanno indicato il ruolo determinante di DNSSEC (Domain Name System Security Extension) nella limitazione dei danni. Poiché l’attaccante non è stato in grado di produrre firme crittografiche valide, i resolver del Domain Name System hanno respinto le risposte DNS contraffatte, generando messaggi di errore anziché consentire il reindirizzamento verso siti malevoli.

Mark Jeftovic ha spiegato:

“DNSSEC was enabled for their domain when the attackers attempted to flip their nameservers, presumably to effect some manner of phishing or malware injection attack, DNSSEC-aware resolvers, which most are these days, began dropping queries.”

Nel post-mortem pubblicato da eth.limo si sottolinea che l’assenza delle chiavi di firma da parte dell’attaccante ha probabilmente ridotto l’estensione dell’incidente. Al momento della comunicazione non risultano impatti noti per gli utenti, ma saranno fornite eventuali aggiornamenti se la situazione dovesse cambiare.

Misure correttive e cambiamenti operativi

EasyDNS ha definito l’attacco «altamente sofisticato» e ha avviato una revisione interna per comprendere le modalità della violazione. Tra le contromisure annunciate c’è la migrazione del client compromesso verso una piattaforma con un profilo di sicurezza più elevato.

Mark Jeftovic ha aggiunto:

“In eth.limo’s case, we will be migrating them to Domainsure, which has a security posture more suited toward enterprise and high-value fintech domains, TLDR there is no mechanism for an account recovery on Domainsure, it’s not a thing.”

Mark Jeftovic ha inoltre rivolto un messaggio di scuse alla comunità:

“On behalf of everyone here, I apologize to the eth.limo team and the wider Ethereum community. ENS has always had a special place in our heart as the first registrar to enable ENS linking to web2 domains and we’ve been involved in the space since 2017.”

La scelta di passare a una soluzione senza meccanismi di recupero account punta a eliminare una potenziale leva di social engineering, privilegiando processi di gestione delle identità più rigidi e controlli di accesso tipici delle infrastrutture enterprise.

Contesto e precedenti nel settore cripto

L’incidente di eth.limo si inserisce in una serie di casi recenti in cui domini legati a progetti crypto sono stati compromessi. Pochi giorni prima, il dominio di CoW Swap era stato sottratto da terzi, e a fine marzo anche la società di consulenza Steakhouse Financial aveva denunciato la perdita del controllo del proprio dominio.

Questa sequenza evidenzia come gli attacchi non colpiscano esclusivamente i protocolli crittografici, ma prendano di mira l’infrastruttura Web2 che ancora collega utenti e servizi Web3, sfruttando vulnerabilità umane e processi di gestione account.

Implicazioni per utenti e operatori

Per gli utenti finali il rischio principale resta il phishing e l’installazione di malware tramite siti malevoli che si spacciano per risorse legittime. Per gli operatori e gli investitori, l’evento rimarca l’importanza di valutare la resilienza operativa dei fornitori terzi e la necessità di integrare controlli di sicurezza avanzati nei contratti di servizio.

Dal punto di vista regolamentare e di mercato, incidenti di questo tipo possono accelerare richieste di standard minimi di sicurezza per i registrar e per l’infrastruttura che connette domini Web2 a servizi Web3, aumentando la domanda di offerte enterprise e servizi gestiti a maggiore costo ma con garanzie superiori.

Le misure da seguire includono l’adozione più diffusa di DNSSEC, l’implementazione di processi di recupero account più sicuri e l’uso di soluzioni senza meccanismi di recovery quando si tratta di domini ad alto valore per il business.

Prossimi sviluppi attesi

Le indagini interne di EasyDNS e il monitoraggio continuo da parte di eth.limo determineranno eventuali aggiornamenti sul numero di utenti colpiti e sulle cause precise della falla procedurale che ha permesso l’attacco. È probabile che il settore veda un aumento di investimenti in controlli di identità, formazione anti-social engineering e soluzioni tecniche come il trasferimento verso piattaforme con politiche più rigide.

In sintesi

• La crisi evidenzia che le vulnerabilità operative nei fornitori Web2 possono tradursi in rischi sistemici per progetti Web3, influenzando la percezione del rischio degli investitori e potenzialmente aumentando il premio per asset e servizi ritenuti meno sicuri.
• L’adozione diffusa di tecnologie come DNSSEC e il ricorso a soluzioni enterprise senza meccanismi di recovery potrebbero incrementare i costi di gestione per i progetti ENS, ma allo stesso tempo creare nuove opportunità per fornitori di sicurezza specializzati.
• Per gli investitori italiani, la professionalizzazione delle pratiche di sicurezza e la richiesta di contratti più stringenti con i registrar diventeranno fattori chiave nella valutazione del rischio delle startup e dei servizi Web3.