Steakhouseの事後分析により、3月30日のセキュリティー事件に新たな光が当てられた。攻撃者は一時的にそのドメインを乗っ取ってフィッシングサイトを提供し、オンチェーンシステムではなくオフチェーンインフラの重大な脆弱性を露呈させた。
チームは、この攻撃がドメインレジストラOVHcloudを標的としたソーシャルエンジニアリング攻撃の成功に起因することを確認した。これにより、攻撃者は2段階認証をバイパスし、DNSレコードの制御を奪取することができた。
ソーシャルエンジニアリングによる完全なアカウント乗っ取り
報告書によると、攻撃者はレジストラのサポートデスクに連絡し、アカウント所有者になりすまし、サポート担当者を説得してハードウェアベースの2段階認証を削除させた。
アクセスが許可されると、攻撃者は迅速に一連の自動化されたアクションを実行した。これには、既存のセキュリティー認証情報の削除、新しい認証デバイスの登録、DNSレコードの自分の管理下にあるインフラへのリダイレクトが含まれていた。
これにより、ウォレットドレイナーが埋め込まれたSteakhouseのクローンウェブサイトが展開され、約4時間にわたって断続的にアクセス可能な状態が続いた。
フィッシングサイトは稼働していたが、資金は安全なまま
侵害の深刻さにもかかわらず、Steakhouseはユーザー資金の損失はなく、悪意のある取引も確認されなかったと述べた。
侵害はドメイン層に限定されていた。フロントエンドとは独立して動作するオンチェーン保管庫とスマートコントラクトは影響を受けなかった。プロトコルは、ユーザーの預金にアクセスできる管理者キーを保持していないことを強調した。
MetaMaskやPhantomなどのプロバイダーからのブラウザウォレット保護機能がフィッシングサイトを迅速にフラグ付けし、チームは事件検出から30分以内に公開警告を発した。
事後分析はベンダーリスクと単一障害点を強調
報告書は、Steakhouseのセキュリティー前提における重要な失敗を指摘している:サポートプロセスがハードウェアベースの保護を上書きできる単一のレジストラへの依存である。
堅牢な帯域外検証なしに電話で2段階認証を無効にできる能力は、認証情報の漏洩を完全なアカウント乗っ取りに効果的に変えてしまった。
Steakhouseは、このリスクを十分に評価していなかったことを認め、レジストラをインフラにおける「単一障害点」と表現した。
オフチェーンの脆弱性は依然として弱点
この事件は、暗号資産セキュリティーにおけるより広範な問題を浮き彫りにしている — 強力なオンチェーン保護は、周辺インフラのリスクを排除しないということだ。
スマートコントラクトと保管庫は安全なままだったが、DNSの制御により、攻撃者はフィッシングを通じてユーザーを標的にすることができた。これはエコシステムでますます一般的になっている手法である。
この攻撃には「drainer-as-a-service」運営と一致するツールも含まれており、攻撃者がソーシャルエンジニアリングと既製の攻撃キットを組み合わせ続けていることが強調された。
セキュリティーのアップグレードと次のステップ
事件の後、Steakhouseはより安全なレジストラに移行した。継続的なDNS監視を実装し、認証情報をローテーションし、ベンダーのセキュリティー慣行のより広範なレビューを開始した。
チームはまた、ハードウェアキーの強制やレジストラレベルのロックを含む、ドメイン管理のためのより厳格な制御を導入した。
最終まとめ
- Steakhouseの事後分析により、レジストラレベルの2段階認証バイパスがDNS乗っ取りを可能にし、安全なオンチェーンシステムにもかかわらずユーザーをフィッシングにさらしたことが明らかになった。
- この事件は、オフチェーンインフラとベンダーセキュリティーが暗号資産エコシステムにおいて依然として重要な脆弱性であることを強調している。
Source: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
