Steakhouse 的事后报告揭示了 3月30日 安全事件的新细节。攻击者短暂劫持了其域名以提供钓鱼网站,暴露了链下基础设施而非链上系统的关键弱点。
团队确认攻击源于 针对其域名注册商 OVHcloud 的成功社交工程尝试。这使攻击者能够 绕过双因素认证并控制 DNS 记录。
社交工程导致账户完全被接管
根据报告,攻击者联系了注册商的支持台,冒充账户所有者,并说服支持人员移除基于硬件的双因素认证。
一旦获得访问权限,攻击者迅速执行了一系列自动化操作。这包括删除现有安全凭证、注册新的认证设备,以及将 DNS 记录重定向到他们控制的基础设施。
这使得嵌入了钱包盗取器的克隆 Steakhouse 网站得以部署,该网站在大约四小时内断断续续地可访问。
钓鱼网站活跃,但资金保持安全
尽管入侵严重,Steakhouse 表示没有用户资金损失,也没有确认恶意交易。
妥协仅限于域名层。独立于前端运行的链上保险库和智能合约未受影响。该协议强调它不持有可访问用户存款的管理员密钥。
来自 MetaMask 和 Phantom 等提供商的浏览器钱包保护功能快速标记了钓鱼网站,而团队在检测到事件后 30 分钟内发布了公开警告。
事后报告突出供应商风险和单点故障
报告指出 Steakhouse 安全假设中的一个关键失败:依赖单一注册商,其支持流程可以覆盖基于硬件的保护。
通过电话禁用双因素认证的能力,在没有强大的带外验证的情况下,有效地将凭证泄露转变为完全的账户接管。
Steakhouse 承认未充分评估此风险,将注册商描述为其基础设施中的"单点故障"。
链下漏洞仍是薄弱环节
该事件凸显了加密安全中一个更广泛的问题——强大的链上保护并不能消除周边基础设施中的风险。
虽然智能合约和保险库保持安全,但对 DNS 的控制使攻击者能够通过钓鱼攻击用户,这是生态系统中越来越常见的方法。
攻击还涉及与"盗取器即服务"操作一致的工具,突显了攻击者如何继续将社交工程与现成的漏洞利用工具包结合起来。
安全升级和后续步骤
事件发生后,Steakhouse 已迁移到更安全的注册商。它实施了持续的 DNS 监控、轮换凭证,并启动了对供应商安全实践的更广泛审查。
团队还引入了更严格的域名管理控制,包括硬件密钥强制执行和注册商级别的锁定。
最终总结
- Steakhouse 的事后报告揭示,注册商级别的双因素认证绕过导致了 DNS 劫持,尽管链上系统安全,但仍使用户面临钓鱼攻击。
- 该事件突显了链下基础设施和供应商安全如何仍是加密生态系统中的关键漏洞。
来源: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
