牛排馆(Steakhouse)的一份事件复盘报告揭示了3月30日安全事件的新细节。攻击者短暂劫持其域名用于提供钓鱼网站,暴露出链下基础设施而非链上系统的关键弱点。
团队确认攻击源于针对其域名注册商OVHcloud的社会工程学攻击成功。这使得攻击者能够绕过双因素认证并控制DNS记录。
社会工程学导致账户接管
报告显示,攻击者冒充账户所有者联系注册商客服,说服支持人员移除了基于硬件的双因素认证。
获得访问权限后,攻击者快速执行了一系列自动化操作,包括删除现有安全凭证、注册新验证设备,以及将DNS记录重定向到其控制的服务器。
这使得攻击者能够部署嵌入钱包盗取程序的克隆版牛排馆网站,该网站在约四小时内间歇可访问。
钓鱼网站活跃但资金安全
尽管漏洞严重,牛排馆表示没有用户资金损失,也未确认任何恶意交易。
入侵仅限于域名层面。独立于前端运行的链上金库和智能合约未受影响。协议强调其不持有可访问用户存款的管理密钥。
MetaMask和Phantom等浏览器钱包提供商迅速标记了钓鱼网站,团队在检测到事件后30分钟内发布了公开警告。
复盘报告指出供应商风险与单点故障
报告指出牛排馆安全假设的关键失误:过度依赖单个注册商,其支持流程可能覆盖硬件级保护。
仅通过电话呼叫即可禁用双因素认证,且缺乏强效的跨渠道验证,使得凭证泄露直接导致完全账户接管。
牛排馆承认未充分评估该风险,将注册商描述为其基础设施中的“单点故障”。
链下漏洞仍是薄弱环节
该事件凸显了加密安全领域的更广泛问题——强大的链上保护并不能消除周边基础设施的风险。
虽然智能合约和金库保持安全,但通过控制DNS,攻击者能够针对用户进行钓鱼攻击,这种方式在生态系统中日益普遍。
攻击还涉及与“盗取即服务”操作相符的工具,凸显攻击者持续将社会工程学与现成漏洞利用工具包结合的趋势。
安全升级与后续措施
事件发生后,牛排馆已迁移至更安全的注册商。实施了持续DNS监控、凭证轮换,并启动了对供应商安全实践的全面审查。
团队还引入了更严格的域名管理控制措施,包括硬件密钥强制使用和注册商级锁定。
最终总结
- 牛排馆事件复盘显示:注册商层面的双因素认证绕过导致DNS劫持,尽管链上系统安全,仍使用户面临钓鱼风险
- 该事件凸显链下基础设施和供应商安全仍是加密生态系统的关键漏洞
