รายงานชันสูตรพลิกศพจาก Steakhouse ได้เปิดเผยข้อมูลใหม่เกี่ยวกับเหตุการณ์ด้านความปลอดภัยเมื่อวันที่ 30 มีนาคม ผู้โจมตีได้แฮ็กโดเมนของบริษัทชั่วคระเพื่อใช้เป็นไซต์ฟิชชิ่ง ซึ่งเปิดเผยช่องโหว่สำคัญในโครงสร้างพื้นฐานนอกเชนมากกว่าระบบบนเชน
ทีมงานยืนยันว่าการโจมตีเกิดจากความพยายามทางวิศวกรรมสังคมที่ประสบความสำเร็จซึ่งมุ่งเป้าไปที่ผู้ให้บริการจดทะเบียนโดเมนของบริษัท คือ OVHcloud สิ่งนี้ทำให้ผู้โจมตีสามารถข้ามการยืนยันตัวตนแบบสองปัจจัยและเข้าควบคุมบันทึก DNS ได้
วิศวกรรมสังคมนำไปสู่การเข้าครอบครองบัญชีทั้งหมด
ตามรายงาน ผู้โจมตีได้ติดต่อฝ่ายสนับสนุนของผู้ให้บริการจดทะเบียน ปลอมตัวเป็นเจ้าของบัญชี และโน้มน้าวเจ้าหน้าที่สนับสนุนให้ลบการยืนยันตัวตนแบบสองปัจจัยที่ใช้ฮาร์ดแวร์
เมื่อได้รับการเข้าถึง ผู้โจมตีได้ดำเนินการอัตโนมัติหลายขั้นตอนอย่างรวดเร็ว ซึ่งรวมถึงการลบข้อมูลรับรองความปลอดภัยที่มีอยู่ การลงทะเบียนอุปกรณ์ยืนยันตัวตนใหม่ และการเปลี่ยนเส้นทางบันทึก DNS ไปยังโครงสร้างพื้นฐานที่อยู่ภายใต้การควบคุมของพวกเขา
สิ่งนี้ทำให้สามารถปรับใช้เว็บไซต์ Steakhouse ที่โคลนมาซึ่งมีตัวดูดกระเป๋าเงินฝังอยู่ ซึ่งยังคงเข้าถึงได้เป็นระยะๆ เป็นเวลาประมาณสี่ชั่วโมง
ไซต์ฟิชชิ่งทำงานอยู่ แต่เงินยังปลอดภัย
แม้จะมีความรุนแรงของการละเมิด Steakhouse แถลงว่าไม่มีเงินของผู้ใช้สูญหายและไม่มีการยืนยันธุรกรรมที่เป็นอันตราย
การบุกรุกถูกจำกัดอยู่ที่ชั้นโดเมนเท่านั้น ห้องนิรภัยบนเชนและสมาร์ทคอนแทรกต์ซึ่งทำงานแยกจากส่วนหน้าไม่ได้รับผลกระทบ โปรโตคอลเน้นย้ำว่าไม่มีคีย์ผู้ดูแลระบบที่สามารถเข้าถึงเงินฝากของผู้ใช้
การป้องกันกระเป๋าเงินในเบราว์เซอร์จากผู้ให้บริการเช่น MetaMask และ Phantom ได้ทำการตั้งค่าสถานะเตือนไซต์ฟิชชิ่งอย่างรวดเร็ว ในขณะที่ทีมงานได้ออกคำเตือนสาธารณะภายใน 30 นาทีหลังจากตรวจพบเหตุการณ์
รายงานชันสูตรพลิกศพเน้นความเสี่ยงจากผู้ขายและจุดเดียวที่ล้มเหลว
รายงานชี้ไปที่ความล้มเหลวหลักในสมมติฐานด้านความปลอดภัยของ Steakhouse: การพึ่งพาผู้ให้บริการจดทะเบียนรายเดียวที่กระบวนการสนับสนุนสามารถแทนที่การป้องกันที่ใช้ฮาร์ดแวร์ได้
ความสามารถในการปิดการยืนยันตัวตนแบบสองปัจจัยผ่านทางโทรศัพท์โดยไม่มีการตรวจสอบนอกช่องทางที่แข็งแกร่ง ได้เปลี่ยนการรั่วไหลของข้อมูลรับรองให้กลายเป็นการเข้าครอบครองบัญชีทั้งหมดอย่างมีประสิทธิภาพ
Steakhouse ยอมรับว่าไม่ได้ประเมินความเสี่ยงนี้อย่างเพียงพอ โดยอธิบายว่าผู้ให้บริการจดทะเบียนเป็น "จุดเดียวที่ล้มเหลว" ในโครงสร้างพื้นฐานของบริษัท
ช่องโหว่นอกเชนยังคงเป็นจุดอ่อน
เหตุการณ์นี้เน้นย้ำถึงปัญหาที่กว้างขึ้นในความปลอดภัยด้านคริปโต — ว่าการป้องกันบนเชนที่แข็งแกร่งไม่ได้กำจัดความเสี่ยงในโครงสร้างพื้นฐานโดยรอบ
ในขณะที่สมาร์ทคอนแทรกต์และห้องนิรภัยยังคงปลอดภัย การควบคุม DNS ทำให้ผู้โจมตีสามารถกำหนดเป้าหมายผู้ใช้ผ่านการฟิชชิ่ง ซึ่งเป็นวิธีการที่พบเห็นได้บ่อยขึ้นในระบบนิเวศ
การโจมตียังเกี่ยวข้องกับเครื่องมือที่สอดคล้องกับการดำเนินงาน "ตัวดูดในรูปแบบบริการ" โดยเน้นให้เห็นว่าผู้โจมตียังคงผสมผสานวิศวกรรมสังคมกับชุดเครื่องมือการโจมตีสำเร็จรูป
การอัปเกรดความปลอดภัยและขั้นตอนถัดไป
หลังจากเหตุการณ์ Steakhouse ได้ย้ายไปใช้ผู้ให้บริการจดทะเบียนที่ปลอดภัยกว่า บริษัทได้ปรับใช้การตรวจสอบ DNS อย่างต่อเนื่อง หมุนเวียนข้อมูลรับรอง และเปิดตัวการทบทวนแนวปฏิบัติด้านความปลอดภัยของผู้ขายในวงกว้าง
ทีมงานยังแนะนำการควบคุมที่เข้มงวดยิ่งขึ้นสำหรับการจัดการโดเมน รวมถึงการบังคับใช้คีย์ฮาร์ดแวร์และการล็อกในระดับผู้ให้บริการจดทะเบียน
สรุปสุดท้าย
- รายงานชันสูตรพลิกศพของ Steakhouse เปิดเผยว่าการข้ามการยืนยันตัวตนแบบสองปัจจัยในระดับผู้ให้บริการจดทะเบียนได้เปิดใช้งานการแฮ็ก DNS ทำให้ผู้ใช้ตกเป็นเป้าหมายของการฟิชชิ่งแม้ว่าระบบบนเชนจะปลอดภัย
- เหตุการณ์นี้เน้นย้ำว่าโครงสร้างพื้นฐานนอกเชนและความปลอดภัยของผู้ขายยังคงเป็นช่องโหว่สำคัญในระบบนิเวศคริปโต
แหล่งที่มา: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
