Sebuah postmortem dari Steakhouse telah memberikan pencerahan baru mengenai insiden keamanan pada 30 Maret. Penyerang sempat membajak domainnya untuk melayani situs phishing, mengekspos kelemahan kritis dalam infrastruktur off-chain, bukan sistem on-chain.
Tim mengonfirmasi bahwa serangan tersebut berasal dari upaya social engineering yang berhasil menargetkan registrar domainnya, OVHcloud. Hal ini memungkinkan penyerang untuk melewati autentikasi dua faktor dan mengambil alih catatan DNS.
Social engineering menyebabkan pengambilalihan akun penuh
Menurut laporan tersebut, penyerang menghubungi meja dukungan registrar, menyamar sebagai pemilik akun, dan meyakinkan agen dukungan untuk menghapus autentikasi dua faktor berbasis perangkat keras.
Setelah akses diberikan, penyerang dengan cepat mengeksekusi serangkaian tindakan otomatis. Ini termasuk menghapus kredensial keamanan yang ada, mendaftarkan perangkat autentikasi baru, dan mengalihkan catatan DNS ke infrastruktur yang berada di bawah kendali mereka.
Hal ini memungkinkan penerapan situs web Steakhouse yang dikloning dan disematkan dengan wallet drainer, yang tetap dapat diakses secara intermiten selama kurang lebih empat jam.
Situs phishing aktif, tetapi dana tetap aman
Meskipun tingkat keparahan pelanggaran, Steakhouse menyatakan bahwa tidak ada dana pengguna yang hilang dan tidak ada transaksi berbahaya yang dikonfirmasi.
Kompromi tersebut terbatas pada lapisan domain. Vault on-chain dan kontrak pintar, yang beroperasi secara independen dari frontend, tidak terpengaruh. Protokol menekankan bahwa mereka tidak memegang kunci admin yang dapat mengakses deposit pengguna.
Perlindungan dompet peramban dari penyedia seperti MetaMask dan Phantom dengan cepat menandai situs phishing, sementara tim mengeluarkan peringatan publik dalam waktu 30 menit setelah mendeteksi insiden tersebut.
Postmortem menyoroti risiko vendor dan titik kegagalan tunggal
Laporan tersebut menunjuk pada kegagalan kunci dalam asumsi keamanan Steakhouse: ketergantungan pada satu registrar yang proses dukungannya dapat mengesampingkan perlindungan berbasis perangkat keras.
Kemampuan untuk menonaktifkan autentikasi dua faktor melalui panggilan telepon, tanpa verifikasi out-of-band yang kuat, secara efektif mengubah kebocoran kredensial menjadi pengambilalihan akun penuh.
Steakhouse mengakui bahwa mereka tidak menilai risiko ini secara memadai, menggambarkan registrar sebagai "titik kegagalan tunggal" dalam infrastrukturnya.
Kerentanan off-chain tetap menjadi mata rantai yang lemah
Insiden ini menggarisbawahi masalah yang lebih luas dalam keamanan crypto — bahwa perlindungan on-chain yang kuat tidak menghilangkan risiko dalam infrastruktur sekitarnya.
Sementara kontrak pintar dan vault tetap aman, kendali atas DNS memungkinkan penyerang menargetkan pengguna melalui phishing, metode yang semakin umum dalam ekosistem.
Serangan ini juga melibatkan alat-alat yang konsisten dengan operasi "drainer-as-a-service", menyoroti bagaimana penyerang terus menggabungkan social engineering dengan kit eksploitasi siap pakai.
Peningkatan keamanan dan langkah selanjutnya
Menyusul insiden tersebut, Steakhouse telah bermigrasi ke registrar yang lebih aman. Mereka menerapkan pemantauan DNS berkelanjutan, memutar kredensial, dan meluncurkan tinjauan yang lebih luas terhadap praktik keamanan vendor.
Tim juga memperkenalkan kontrol yang lebih ketat untuk manajemen domain, termasuk penerapan kunci perangkat keras dan kunci tingkat registrar.
Ringkasan Akhir
- Postmortem Steakhouse mengungkapkan bahwa bypass 2FA tingkat registrar memungkinkan perampokan DNS, mengekspos pengguna pada phishing meskipun sistem on-chain aman.
- Insiden ini menyoroti bagaimana infrastruktur off-chain dan keamanan vendor tetap menjadi kerentanan kritis dalam ekosistem crypto.
