كشف تقرير ما بعد الحادث من Steakhouse عن معلومات جديدة حول حادث أمني وقع في 30 مارس. اختطف المهاجمون مؤقتًا نطاقه لتشغيل موقع احتيال إلكتروني، مما كشف عن ضعف حاسم في البنية التحتية خارج السلسلة الرئيسية بدلاً من الأنظمة على السلسلة.
أكد الفريق أن الهجوم نتج عن محاولة هندسة اجتماعية ناجحة استهدفت مسجل النطاق الخاص به، OVHcloud. سمح هذا للمهاجم بتجاوز المصادقة الثنائية والسيطرة على سجلات DNS.
الهندسة الاجتماعية أدت إلى الاستيلاء الكامل على الحساب
وفقًا للتقرير، اتصل المهاجم بمكتب دعم المسجل، وانتحل شخصية مالك الحساب، وأقنع وكيل الدعم بإزالة المصادقة الثنائية القائمة على الأجهزة.
بمجرد منح الوصول، نفذ المهاجم بسرعة سلسلة من الإجراءات الآلية. تضمن ذلك حذف بيانات الاعتماد الأمنية الموجودة، وتسجيل أجهزة مصادقة جديدة، وإعادة توجيه سجلات DNS إلى البنية التحتية تحت سيطرتهم.
مكّن هذا من نشر موقع Steakhouse مستنسخ مضمّن فيه أداة تصريف المحفظة، والذي ظل متاحًا بشكل متقطع لمدة أربع ساعات تقريبًا.
موقع الاحتيال الإلكتروني نشط، لكن الأموال ظلت آمنة
على الرغم من خطورة الاختراق، ذكرت Steakhouse أنه لم يتم فقدان أي أموال للمستخدمين ولم يتم تأكيد أي معاملات ضارة.
اقتصر الاختراق على طبقة النطاق. لم تتأثر الخزائن على السلسلة والعقود الذكية، التي تعمل بشكل مستقل عن الواجهة الأمامية. أكد البروتوكول أنه لا يحتفظ بمفاتيح المسؤول التي يمكن أن تصل إلى ودائع المستخدمين.
قامت حماية محفظة المتصفح من مزودي الخدمة مثل MetaMask و Phantom بسرعة بالإبلاغ عن موقع الاحتيال الإلكتروني، بينما أصدر الفريق تحذيرًا عامًا في غضون 30 دقيقة من اكتشاف الحادث.
تقرير ما بعد الحادث يسلط الضوء على مخاطر البائعين ونقاط الفشل الفردية
يشير التقرير إلى فشل رئيسي في افتراضات أمن Steakhouse: الاعتماد على مسجل واحد يمكن لعمليات دعمه تجاوز الحماية القائمة على الأجهزة.
تحولت القدرة على تعطيل المصادقة الثنائية عبر مكالمة هاتفية، دون التحقق القوي خارج النطاق، بشكل فعال من تسرب بيانات الاعتماد إلى الاستيلاء الكامل على الحساب.
اعترفت Steakhouse بأنها لم تقيّم هذا الخطر بشكل كافٍ، واصفة المسجل بأنه "نقطة فشل فردية" في بنيتها التحتية.
الثغرات الأمنية خارج السلسلة الرئيسية تظل نقطة ضعف
يؤكد الحادث على مشكلة أوسع في أمن العملات المشفرة — أن الحماية القوية على السلسلة لا تلغي المخاطر في البنية التحتية المحيطة.
بينما بقيت العقود الذكية والخزائن آمنة، سمح التحكم في DNS للمهاجم باستهداف المستخدمين من خلال الاحتيال الإلكتروني، وهي طريقة شائعة بشكل متزايد في النظام البيئي.
تضمن الهجوم أيضًا أدوات متسقة مع عمليات "التصريف كخدمة"، مما يسلط الضوء على كيفية استمرار المهاجمين في الجمع بين الهندسة الاجتماعية ومجموعات الاستغلال الجاهزة.
ترقيات الأمان والخطوات التالية
بعد الحادث، انتقلت Steakhouse إلى مسجل أكثر أمانًا. نفذت مراقبة DNS المستمرة، وقامت بتدوير بيانات الاعتماد، وأطلقت مراجعة أوسع لممارسات أمن البائعين.
قدم الفريق أيضًا ضوابط أكثر صرامة لإدارة النطاقات، بما في ذلك فرض مفتاح الأجهزة والأقفال على مستوى المسجل.
الملخص النهائي
- يكشف تقرير ما بعد الحادث من Steakhouse أن تجاوز 2FA على مستوى المسجل مكّن من اختطاف DNS، مما عرّض المستخدمين للاحتيال الإلكتروني على الرغم من أنظمة السلسلة الآمنة.
- يسلط الحادث الضوء على كيفية بقاء البنية التحتية خارج السلسلة الرئيسية وأمن البائعين ثغرات أمنية حرجة في أنظمة العملات المشفرة.
المصدر: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
