Un rapport post-mortem de Steakhouse a apporté un nouvel éclairage sur un incident de sécurité survenu le 30 mars. Des attaquants ont brièvement détourné son domaine pour héberger un site d'hameçonnage, exposant une faiblesse critique dans l'infrastructure off-chain plutôt que dans les systèmes on-chain.
L'équipe a confirmé que l'attaque provenait d'une tentative réussie d'ingénierie sociale ciblant son registraire de domaine, OVHcloud. Cela a permis à l'attaquant de contourner l'authentification à deux facteurs et de prendre le contrôle des enregistrements DNS.
L'ingénierie sociale a conduit à une prise de contrôle complète du compte
Selon le rapport, l'attaquant a contacté le service d'assistance du registraire, s'est fait passer pour le propriétaire du compte et a convaincu un agent d'assistance de supprimer l'authentification à deux facteurs basée sur le matériel.
Une fois l'accès accordé, l'attaquant a rapidement exécuté une série d'actions automatisées. Cela comprenait la suppression des identifiants de sécurité existants, l'enregistrement de nouveaux dispositifs d'authentification et la redirection des enregistrements DNS vers une infrastructure sous leur contrôle.
Cela a permis le déploiement d'un site Web Steakhouse cloné intégrant un videur de portefeuille, qui est resté accessible par intermittence pendant environ quatre heures.
Site d'hameçonnage actif, mais les fonds sont restés en sécurité
Malgré la gravité de la violation, Steakhouse a déclaré qu'aucun fonds d'utilisateur n'avait été perdu et qu'aucune transaction malveillante n'avait été confirmée.
La compromission était limitée à la couche de domaine. Les coffres-forts on-chain et les contrats intelligents, qui fonctionnent indépendamment du frontend, n'ont pas été affectés. Le protocole a souligné qu'il ne détenait aucune clé d'administrateur pouvant accéder aux dépôts des utilisateurs.
Les protections de portefeuille de navigateur de fournisseurs tels que MetaMask et Phantom ont rapidement signalé le site d'hameçonnage, tandis que l'équipe a émis un avertissement public dans les 30 minutes suivant la détection de l'incident.
Le rapport post-mortem met en évidence le risque fournisseur et les points de défaillance uniques
Le rapport souligne une défaillance clé dans les hypothèses de sécurité de Steakhouse : la dépendance à un seul registraire dont les processus d'assistance pouvaient contourner les protections basées sur le matériel.
La capacité de désactiver l'authentification à deux facteurs via un appel téléphonique, sans vérification hors bande robuste, a effectivement transformé une fuite d'identifiants en une prise de contrôle complète du compte.
Steakhouse a reconnu qu'il n'avait pas correctement évalué ce risque, décrivant le registraire comme un "point de défaillance unique" dans son infrastructure.
Les vulnérabilités off-chain restent un maillon faible
L'incident souligne un problème plus large dans la sécurité crypto — que de fortes protections on-chain n'éliminent pas les risques dans l'infrastructure environnante.
Alors que les contrats intelligents et les coffres-forts restaient sécurisés, le contrôle du DNS a permis à l'attaquant de cibler les utilisateurs par hameçonnage, une méthode de plus en plus courante dans l'écosystème.
L'attaque impliquait également des outils cohérents avec les opérations de "videur en tant que service", soulignant comment les attaquants continuent de combiner l'ingénierie sociale avec des kits d'exploitation prêts à l'emploi.
Mises à niveau de sécurité et prochaines étapes
Suite à l'incident, Steakhouse a migré vers un registraire plus sécurisé. Il a mis en œuvre une surveillance DNS continue, une rotation des identifiants et lancé une revue plus large des pratiques de sécurité des fournisseurs.
L'équipe a également introduit des contrôles plus stricts pour la gestion des domaines, notamment l'application de clés matérielles et des verrous au niveau du registraire.
Résumé final
- Le rapport post-mortem de Steakhouse révèle qu'un contournement de 2FA au niveau du registraire a permis un détournement DNS, exposant les utilisateurs à l'hameçonnage malgré des systèmes on-chain sécurisés.
- L'incident souligne comment l'infrastructure off-chain et la sécurité des fournisseurs restent des vulnérabilités critiques dans les écosystèmes crypto.
Source: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
