De Ethereum Name Service-gateway eth.limo is vrijdag slachtoffer geworden van een domeinkaping. Een hacker deed zich voor als medewerker van eth.limo bij domeinprovider EasyDNS en wist via het accountherstelproces toegang te krijgen tot de domeininstellingen. Het verkeer van de website werd tijdelijk omgeleid, waardoor bezoekers risico liepen op phishing en malware.
Eth.limo is geen klein project. De gateway biedt toegang tot circa twee miljoen websites met een .eth-domein en speelt daarmee een belangrijke rol in het Ethereum (ETH) ecosysteem. Door de kaping konden bezoekers potentieel naar nepwebsites worden geleid.
Ethereum-medeoprichter Vitalik Buterin waarschuwde gebruikers tijdens het incident om voorzichtig te zijn en bepaalde websites tijdelijk te vermijden. Eth.limo zelf meldde dat het incident snel werd opgemerkt en dat er direct maatregelen zijn genomen.
De schade bleef beperkt dankzij DNSSEC, een beveiligingstechnologie die controleert of websitegegevens authentiek zijn. De aanvaller beschikte niet over de juiste digitale handtekeningen, waardoor vervalste gegevens niet konden worden geverifieerd. Veel internetdiensten blokkeerden de kwaadaardige aanpassingen automatisch. Bezoekers kregen foutmeldingen in plaats van nepwebsites.
Volgens EasyDNS-CEO Mark Jeftovic speelde DNSSEC een cruciale rol. Eth.limo geeft aan dat er vooralsnog geen aanwijzingen zijn dat gebruikers daadwerkelijk zijn getroffen.
EasyDNS heeft publiekelijk de verantwoordelijkheid erkend. De CEO noemt het de eerste succesvolle social engineering-aanval op een klant in het 28-jarig bestaan van het bedrijf. Er loopt een onderzoek naar de exacte werkwijze.
Eth.limo migreert inmiddels naar Domainsure, een dienst waar accountherstel niet mogelijk is. Dat sluit dit type aanval in de toekomst uit.
De aanval past in een patroon. Eerder deze week verloor CoW Swap tijdelijk de controle over zijn website. Eind maart overkwam Steakhouse Financial hetzelfde. Hackers richten zich steeds vaker op menselijke fouten en processen in plaats van op technische kwetsbaarheden.
Voor gebruikers is de boodschap helder: zelfs vertrouwde websites kunnen tijdelijk zijn gekaapt. Bij afwijkend gedrag, onbekende pop-ups of verdachte wallet-verzoeken is het verstandig om direct te stoppen en via een andere bron te controleren of de website nog veilig is.
Op advies van de oplichter opende het slachtoffer een account op een beleggingsplatform dat achteraf nep bleek te zijn.
De oorzaak van de aanval lag volgens beveiligingsbedrijf Cyvers in meerdere fouten binnen een aangepaste RFQ-swapproxy van TrustedVolumes.
De zaak kan belangrijke gevolgen hebben voor de manier waarop crypto-exchanges omgaan met gestolen tegoeden.
Hormuz is negen weken dicht en een miljard vaten olie zijn al weg. Handelaren waarschuwen voor rantsoenering, dieseltekort en wereldwijde recessie.
MSC laat zijn grote containerschepen de Straat van Hormuz mijden door in Jeddah te lossen. Vrachtwagens overbruggen vervolgens 1.300 kilometer over land.
Eerst min 10 procent, nu in de plus: olieprijs reageert direct op WSJ-bericht dat Iran het Hormuz-voorstel afwijst.
