Báo cáo phân tích sự cố từ Steakhouse đã làm sáng tỏ vụ việc an ninh xảy ra vào ngày 30 tháng 3. Kẻ tấn công tạm thời chiếm quyền điều khiển tên miền để triển khai trang web lừa đảo, làm lộ ra điểm yếu nghiêm trọng trong cơ sở hạ tầng ngoài chuỗi thay vì hệ thống trên chuỗi.
Nhóm nghiên cứu xác nhận rằng cuộc tấn công bắt nguồn từ một nỗ lực tấn công kỹ thuật xã hội nhắm vào nhà đăng ký tên miền của họ, OVHcloud. Điều này cho phép kẻ tấn công bỏ qua xác thực hai yếu tố và giành quyền kiểm soát bản ghi DNS.
Tấn công kỹ thuật xã hội dẫn đến chiếm đoạt tài khoản toàn quyền
Theo báo cáo, kẻ tấn công đã liên hệ với bộ phận hỗ trợ của nhà đăng ký, mạo danh chủ tài khoản và thuyết phục nhân viên hỗ trợ gỡ bỏ xác thực hai yếu tố dựa trên phần cứng.
Khi được cấp quyền truy cập, kẻ tấn công nhanh chóng thực hiện một loạt hành động tự động. Điều này bao gồm xóa thông tin xác thực bảo mật hiện có, đăng ký thiết bị xác thực mới và chuyển hướng bản ghi DNS đến cơ sở hạ tầng do chúng kiểm soát.
Điều này cho phép triển khai một trang web Steakhouse sao chép có nhúng trình rút tiền ví, vẫn có thể truy cập không liên tục trong khoảng bốn giờ.
Trang web lừa đảo hoạt động, nhưng tiền vẫn an toàn
Bất chấp mức độ nghiêm trọng của vụ vi phạm, Steakhouse tuyên bố rằng không có khoản tiền nào của người dùng bị mất và không có giao dịch độc hại nào được xác nhận.
Sự xâm phạm chỉ giới hạn ở lớp tên miền. Các kho tiền trên chuỗi và hợp đồng thông minh, hoạt động độc lập với giao diện người dùng, không bị ảnh hưởng. Giao thức nhấn mạnh rằng họ không nắm giữ bất kỳ khóa quản trị nào có thể truy cập tiền gửi của người dùng.
Các biện pháp bảo vệ ví trình duyệt từ các nhà cung cấp như MetaMask và Phantom nhanh chóng đánh dấu trang web lừa đảo, trong khi nhóm nghiên cứu đưa ra cảnh báo công khai trong vòng 30 phút kể từ khi phát hiện sự cố.
Báo cáo phân tích nổi bật rủi ro nhà cung cấp và điểm yếu đơn lẻ
Báo cáo chỉ ra một điểm yếu quan trọng trong giả định bảo mật của Steakhouse: sự phụ thuộc vào một nhà đăng ký duy nhất mà quy trình hỗ trợ của họ có thể ghi đè các biện pháp bảo vệ dựa trên phần cứng.
Khả năng vô hiệu hóa xác thực hai yếu tố qua cuộc gọi điện thoại, mà không có xác minh ngoài luồng mạnh mẽ, đã biến rò rỉ thông tin đăng nhập thành chiếm đoạt tài khoản toàn quyền.
Steakhouse thừa nhận rằng họ đã không đánh giá đầy đủ rủi ro này, mô tả nhà đăng ký là "điểm yếu đơn lẻ" trong cơ sở hạ tầng của họ.
Lỗ hổng ngoài chuỗi vẫn là mắt xích yếu
Sự cố này nhấn mạnh một vấn đề rộng lớn hơn trong bảo mật tiền mã hóa — đó là các biện pháp bảo vệ mạnh mẽ trên chuỗi không loại bỏ rủi ro trong cơ sở hạ tầng xung quanh.
Mặc dù hợp đồng thông minh và kho tiền vẫn an toàn, quyền kiểm soát DNS cho phép kẻ tấn công nhắm mục tiêu người dùng thông qua lừa đảo, một phương pháp ngày càng phổ biến trong hệ sinh thái.
Cuộc tấn công cũng liên quan đến các công cụ phù hợp với hoạt động "dịch vụ rút tiền", làm nổi bật cách kẻ tấn công tiếp tục kết hợp kỹ thuật xã hội với bộ khai thác sẵn có.
Nâng cấp bảo mật và các bước tiếp theo
Sau sự cố, Steakhouse đã chuyển sang một nhà đăng ký an toàn hơn. Họ triển khai giám sát DNS liên tục, luân chuyển thông tin xác thực và tiến hành đánh giá rộng hơn về các phương pháp bảo mật của nhà cung cấp.
Nhóm nghiên cứu cũng giới thiệu các biện pháp kiểm soát chặt chẽ hơn cho quản lý tên miền, bao gồm thực thi khóa phần cứng và khóa cấp nhà đăng ký.
Tóm tắt cuối cùng
- Báo cáo phân tích sự cố của Steakhouse tiết lộ rằng việc bỏ qua 2FA ở cấp nhà đăng ký đã cho phép chiếm quyền điều khiển DNS, khiến người dùng phải đối mặt với lừa đảo mặc dù hệ thống trên chuỗi an toàn.
- Sự cố này làm nổi bật cách cơ sở hạ tầng ngoài chuỗi và bảo mật nhà cung cấp vẫn là lỗ hổng quan trọng trong hệ sinh thái tiền mã hóa.
