ENS 网关 eth.limo 遭社会工程攻击,域名服务器被短暂劫持约 12 小时
4 月 17 日至 18 日,攻击者冒充 eth.limo 团队成员,诱骗注册商 EasyDNS 启动账户恢复流程,导致 eth.limo 域名服务器先后被切换至 Cloudflare 和 Namecheap,覆盖约 200 万个 ENS 域名的通配符解析记录随之失控。EasyDNS 已于当日上午恢复账户访问权限,并公开承认对此次事件负责。
eth.limo 是 ENS(以太坊名称服务)生态中一个免费开源的反向代理网关,用户只需在 .eth 域名后附加 .limo 后缀,即可通过普通浏览器访问托管于 IPFS、Arweave 或 Swarm 上的去中心化内容。其通配符 DNS 记录 *.eth.limo 覆盖约 200 万个通过 ENS 注册的 .eth 域名。
美国东部时间 4 月 17 日晚 7 点 07 分,攻击者冒充 eth.limo 团队成员,向域名注册商 EasyDNS 发起社会工程攻击,成功触发账户恢复流程。4 月 18 日凌晨 2 点 23 分,eth.limo 的域名服务器被切换至 Cloudflare,自动宕机警报随即触发并惊动项目团队。凌晨 3 点 57 分,域名服务器再次被切换至 Namecheap。早上 7 点 49 分,EasyDNS 恢复了 eth.limo 团队的账户访问权限,整个劫持过程持续约 12 小时。
eth.limo 项目方于周六发布事后分析报告,将此次事件定性为社会工程攻击。EasyDNS 创始人 Mark Jeftovic 另发博客文章,承认公司对此次事件负有责任,并指出这是该公司 28 年运营历史中首次遭遇此类攻击。
目前尚不清楚劫持期间是否有用户流量被实际重定向或数据被截获,攻击者身份与动机亦未披露。
解读
此次事件的核心漏洞并非出现在区块链或智能合约层面,而是传统域名注册商的身份验证与账户恢复机制。eth.limo 作为连接 Web2 浏览器与去中心化存储的关键基础设施,其 DNS 层的单点风险在此次事件中得到直接体现——即便底层 ENS 解析本身未受影响,网关层的劫持已足以影响大量用户的实际访问路径。EasyDNS 公开承认责任并披露细节,有助于行业层面审视注册商在应对社会工程攻击时的流程设计是否存在系统性缺陷。