Steakhouse bị tấn công DNS do lỗi bỏ qua bảo mật 2FA của nhà đăng ký

Bản phân tích sau sự cố từ Steakhouse đã hé lộ những chi tiết mới về vụ vi phạm an ninh xảy ra vào ngày 30 tháng 3. Những kẻ tấn công đã chiếm quyền kiểm soát tên miền trong một thời gian ngắn để thiết lập một trang web giả mạo, phơi bày điểm yếu nghiêm trọng trong hạ tầng ngoại chuỗi thay vì các hệ thống trên chuỗi.

Nhóm phát triển xác nhận rằng cuộc tấn công bắt nguồn từ một nỗ lực lừa đảo thao túng tâm lý thành công nhắm vào nhà đăng ký tên miền của họ, OVHcloud. Điều này đã cho phép kẻ tấn công vượt qua lớp bảo mật xác thực hai yếu tố và giành quyền kiểm soát các bản ghi DNS.

Thao túng tâm lý dẫn đến chiếm đoạt toàn bộ tài khoản

Theo báo cáo, kẻ tấn công đã liên hệ với bộ phận hỗ trợ của nhà đăng ký, mạo danh chủ tài khoản và thuyết phục nhân viên hỗ trợ gỡ bỏ lớp xác thực hai yếu tố dựa trên phần cứng.

Sau khi được cấp quyền truy cập, kẻ tấn công đã nhanh chóng thực hiện một loạt các hành động tự động. Các hành động này bao gồm xóa các thông tin bảo mật hiện có, đăng ký các thiết bị xác thực mới và chuyển hướng các bản ghi DNS sang hạ tầng dưới sự kiểm soát của chúng.

Điều này cho phép chúng triển khai một phiên bản sao chép của trang web Steakhouse có nhúng mã độc rút tiền từ ví, trang web này đã hoạt động ngắt quãng trong khoảng bốn giờ đồng hồ.

Trang web giả mạo hoạt động nhưng tiền vẫn an toàn

Bất chấp mức độ nghiêm trọng của vụ vi phạm, Steakhouse tuyên bố rằng không có tiền của người dùng nào bị mất và không có giao dịch độc hại nào được xác nhận.

Sự cố chỉ giới hạn ở lớp tên miền. Các kho lưu trữ trên chuỗi và hợp đồng thông minh, vốn hoạt động độc lập với giao diện người dùng, không bị ảnh hưởng. Giao thức nhấn mạnh rằng họ không giữ bất kỳ khóa quản trị nào có thể truy cập vào tiền gửi của người dùng.

Các lớp bảo vệ ví trình duyệt từ các nhà cung cấp như MetaMask và Phantom đã nhanh chóng gắn cờ cảnh báo trang web giả mạo, trong khi nhóm phát triển đã đưa ra cảnh báo công khai trong vòng 30 phút kể từ khi phát hiện sự cố.

Phân tích hậu sự cố làm nổi bật rủi ro từ nhà cung cấp và điểm yếu đơn lẻ

Báo cáo chỉ ra một sai lầm chính trong các giả định bảo mật của Steakhouse: sự phụ thuộc vào một nhà đăng ký duy nhất mà quy trình hỗ trợ của họ có thể vô hiệu hóa các biện pháp bảo vệ dựa trên phần cứng.

Khả năng vô hiệu hóa xác thực hai yếu tố thông qua một cuộc điện thoại, mà không có quy trình xác minh ngoại tuyến nghiêm ngặt, đã biến một vụ rò rỉ thông tin đăng nhập thành một cuộc chiếm đoạt tài khoản toàn diện.

Steakhouse thừa nhận rằng họ đã không đánh giá đầy đủ rủi ro này, mô tả nhà đăng ký là một “điểm yếu đơn lẻ” trong cơ sở hạ tầng của mình.

Lỗ hổng ngoại chuỗi vẫn là mắt xích yếu nhất

Sự cố này nhấn mạnh một vấn đề rộng lớn hơn trong bảo mật tiền mã hóa — đó là các biện pháp bảo vệ trên chuỗi mạnh mẽ không thể loại bỏ các rủi ro trong hạ tầng xung quanh.

Trong khi các hợp đồng thông minh và kho lưu trữ vẫn an toàn, việc kiểm soát DNS đã cho phép kẻ tấn công nhắm mục tiêu vào người dùng thông qua hình thức lừa đảo, một phương thức ngày càng phổ biến trong hệ sinh thái.

Cuộc tấn công cũng sử dụng các công cụ tương thích với các hoạt động “dịch vụ rút tiền mã hóa độc hại”, cho thấy cách những kẻ tấn công tiếp tục kết hợp thao túng tâm lý với các bộ công cụ khai thác có sẵn.

Nâng cấp bảo mật và các bước tiếp theo

Sau sự cố, Steakhouse đã chuyển sang một nhà đăng ký an toàn hơn. Họ đã triển khai giám sát DNS liên tục, thay đổi thông tin đăng nhập và thực hiện đánh giá rộng rãi các quy trình bảo mật của nhà cung cấp.

Nhóm cũng đưa ra các biện pháp kiểm soát chặt chẽ hơn đối với việc quản lý tên miền, bao gồm áp dụng khóa phần cứng bắt buộc và các biện pháp khóa ở cấp độ nhà đăng ký.