Báo cáo hậu kiểm từ Steakhouse đã làm sáng tỏ thêm về sự cố bảo mật vào ngày 30 tháng 3. Kẻ tấn công đã tạm thời chiếm đoạt tên miền của họ để triển khai một trang web giả mạo, phơi bày lỗ hổng nghiêm trọng trong cơ sở hạ tầng ngoài chuỗi thay vì hệ thống on-chain.
Nhóm xác nhận rằng cuộc tấn công bắt nguồn từ một nỗ lực kỹ thuật xã hội thành công nhắm vào nhà đăng ký tên miền của họ, OVHcloud. Điều này cho phép kẻ tấn công vượt qua xác thực hai yếu tố và kiểm soát bản ghi DNS.
Kỹ thuật xã hội dẫn đến chiếm quyền kiểm soát tài khoản hoàn toàn
Theo báo cáo, kẻ tấn công đã liên hệ với bộ phận hỗ trợ của nhà đăng ký, mạo danh chủ tài khoản và thuyết phục nhân viên hỗ trợ gỡ bỏ xác thực hai yếu tố dựa trên phần cứng.
Sau khi được cấp quyền truy cập, kẻ tấn công nhanh chóng thực hiện một loạt các hành động tự động. Điều này bao gồm xóa thông tin xác thực bảo mật hiện có, đăng ký thiết bị xác thực mới và chuyển hướng bản ghi DNS đến cơ sở hạ tầng dưới quyền kiểm soát của chúng.
Điều này cho phép triển khai một trang web Steakhouse nhái được nhúng công cụ rút cạn ví, vẫn có thể truy cập gián đoạn trong khoảng bốn giờ.
Trang web giả mạo hoạt động, nhưng quỹ vẫn an toàn
Mặc dù mức độ nghiêm trọng của vi phạm, Steakhouse tuyên bố rằng không có quỹ người dùng nào bị mất và không có giao dịch độc hại nào được xác nhận.
Sự xâm phạm chỉ giới hạn ở lớp tên miền. Các vault on-chain và hợp đồng thông minh, hoạt động độc lập với giao diện người dùng, không bị ảnh hưởng. Giao thức nhấn mạnh rằng họ không giữ khóa quản trị nào có thể truy cập tiền gửi của người dùng.
Các biện pháp bảo vệ ví trình duyệt từ các nhà cung cấp như MetaMask và Phantom đã nhanh chóng gắn cờ trang web giả mạo, trong khi nhóm đã đưa ra cảnh báo công khai trong vòng 30 phút sau khi phát hiện sự cố.
Báo cáo hậu kiểm làm nổi bật rủi ro nhà cung cấp và điểm lỗi duy nhất
Báo cáo chỉ ra một lỗi quan trọng trong các giả định bảo mật của Steakhouse: sự phụ thuộc vào một nhà đăng ký duy nhất có quy trình hỗ trợ có thể ghi đè các biện pháp bảo vệ dựa trên phần cứng.
Khả năng vô hiệu hóa xác thực hai yếu tố qua cuộc gọi điện thoại, mà không có xác minh ngoài băng tần mạnh mẽ, đã biến việc rò rỉ thông tin đăng nhập thành chiếm quyền kiểm soát tài khoản hoàn toàn.
Steakhouse thừa nhận rằng họ đã không đánh giá đầy đủ rủi ro này, mô tả nhà đăng ký là "điểm lỗi duy nhất" trong cơ sở hạ tầng của họ.
Các lỗ hổng ngoài chuỗi vẫn là mắt xích yếu
Sự cố nhấn mạnh một vấn đề rộng lớn hơn trong bảo mật tiền mã hóa — rằng các biện pháp bảo vệ on-chain mạnh mẽ không loại bỏ rủi ro trong cơ sở hạ tầng xung quanh.
Trong khi các hợp đồng thông minh và vault vẫn an toàn, quyền kiểm soát DNS cho phép kẻ tấn công nhắm mục tiêu người dùng thông qua giả mạo, một phương pháp ngày càng phổ biến trong hệ sinh thái.
Cuộc tấn công cũng liên quan đến các công cụ phù hợp với hoạt động "drainer-as-a-service", làm nổi bật cách kẻ tấn công tiếp tục kết hợp kỹ thuật xã hội với bộ công cụ khai thác sẵn có.
Nâng cấp bảo mật và các bước tiếp theo
Sau sự cố, Steakhouse đã chuyển sang một nhà đăng ký an toàn hơn. Họ triển khai giám sát DNS liên tục, luân chuyển thông tin đăng nhập và khởi động đánh giá rộng hơn về các thực hành bảo mật của nhà cung cấp.
Nhóm cũng đưa ra các biện pháp kiểm soát nghiêm ngặt hơn cho quản lý tên miền, bao gồm thực thi khóa phần cứng và khóa cấp độ nhà đăng ký.
Tóm tắt cuối cùng
- Báo cáo hậu kiểm của Steakhouse tiết lộ rằng việc vượt qua 2FA cấp độ nhà đăng ký đã cho phép chiếm đoạt DNS, khiến người dùng phải đối mặt với giả mạo mặc dù hệ thống on-chain an toàn.
- Sự cố làm nổi bật cách cơ sở hạ tầng ngoài chuỗi và bảo mật nhà cung cấp vẫn là các lỗ hổng nghiêm trọng trong hệ sinh thái tiền mã hóa.
Nguồn: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
