El dominio eth.limo fue secuestrado; EasyDNS admite su primer ataque de ingeniería social en 28 años

ENS 到 Web 的 portal eth.limo, el 17 de abril por la noche, fue víctima de un secuestro de DNS; el análisis posterior mostró que el atacante se hizo pasar por un miembro del equipo de eth.limo, y logró engañar al registrador de dominios EasyDNS para que ejecutara el proceso de recuperación de cuenta. El CEO de EasyDNS, Mark Jeftovic, admitió públicamente que esta es la primera vez que su empresa logra un ataque de ingeniería social contra clientes en sus 28 años de historia.

Cronología del ataque: se activa el proceso de recuperación de la cuenta tras el engaño

Según el análisis posterior y un artículo oficial del blog de EasyDNS, la cronología completa del ataque es la siguiente: el 17 de abril, a las 7:07 p. m. (hora del este de EE. UU.), el atacante se hizo pasar por un miembro del equipo de eth.limo y engañó para que se ejecutara el proceso de recuperación de la cuenta en EasyDNS. El 18 de abril, a las 2:23 a. m. (hora del este de EE. UU.), el atacante cambió los servidores de nombres del dominio eth.limo a Cloudflare, lo que activó una alerta automática de caída y despertó al equipo de eth.limo; a las 3:57 a. m., los servidores de nombres se cambiaron nuevamente a Namecheap; y a las 7:49 a. m., EasyDNS restableció el acceso a la cuenta del equipo de eth.limo.

Vitalik Buterin advirtió a los usuarios durante el incidente que evitaran usar todos los enlaces de eth.limo, y les indicó acceder directamente al contenido a través de IPFS. El sábado confirmó que el problema ya se había resuelto por completo.

Cómo el DNSSEC se convirtió en la última línea de defensa

El atacante intentó redirigir el tráfico a infraestructura de phishing mediante el dominio comodín de eth.limo (*.eth.limo), con un alcance potencial que abarca más de 2 millones de dominios ENS .eth, incluyendo el blog personal de Vitalik Buterin vitalik.eth.limo.

Sin embargo, debido a que el atacante nunca obtuvo la clave de firma DNSSEC de eth.limo, cuando el resolvedor comparó la respuesta del nuevo servidor de nombres del atacante con los registros DS legítimos almacenados en caché de la zona padre, la cadena de confianza se rompió; el resolvedor devolvió un error SERVFAIL en lugar de una redirección maliciosa. «El DNSSEC podría haber reducido el impacto del incidente de secuestro; hasta el momento, no hemos detectado ningún impacto en los usuarios», indicó el equipo de eth.limo en el informe.

Tendencia sistemática de ataques de ingeniería social basados en DNS en el front-end cripto

Este incidente es el caso más reciente dentro de una serie de ataques a nivel de registradores de dominios dirigidos recientemente a front-ends cripto: en noviembre de 2024, el atacante secuestró la cuenta de NameSilo y eliminó DNSSEC, lo que causó que los usuarios de DEX Aerodrome y Velodrome perdieran más de 700 mil dólares; el 30 de marzo de este año, el servicio de atención al cliente de OVH de Steakhouse Financial fue inducido por ingeniería social a desactivar la autenticación de doble factor, clonó el sitio y se publicó brevemente la web clonada; y ese mismo mes, la plataforma de ingresos Neutrl también sufrió un incidente similar.

Irónicamente, eth.limo anteriormente había brindado apoyo urgente en el incidente de Aerodrome de noviembre, y era ampliamente considerado como la opción preferida y descentralizada para un plan de respaldo cuando el front-end DeFi caía. Tras la resolución del incidente, eth.limo planea migrar a Domainsure, que está bajo el paraguas de EasyDNS: este servicio está orientado a clientes empresariales, no ofrece ningún mecanismo de recuperación de cuentas y elimina de raíz el punto de entrada para este tipo de ataques de ingeniería social.

Vitalik considera desde hace tiempo que la dependencia de Ethereum de la resolución de DNS centralizada es un «retroceso de la confianza», y pidió a los desarrolladores que, en 2026, guíen a los usuarios a usar la ruta de acceso directo a IPFS.

Preguntas frecuentes

¿Qué es eth.limo y qué papel desempeña en el ecosistema de Ethereum?

eth.limo es un proxy inverso gratuito y de código abierto que permite a los usuarios agregar “.limo” después de cualquier dominio .eth, y acceder mediante un navegador estándar a contenido relacionado con ENS desplegado en IPFS, Arweave o Swarm. Sus registros DNS comodín cubren aproximadamente 2 millones de dominios .eth registrados a través de ENS, y es uno de los puentes de acceso Web2 más utilizados dentro del ecosistema ENS.

¿Cómo evitó DNSSEC que este ataque causara pérdidas a los usuarios?

DNSSEC firma de forma cifrada los registros DNS, permitiendo que el resolvedor verifique y rechace respuestas que no estén firmadas o que estén firmadas incorrectamente. Dado que el atacante nunca obtuvo la clave de firma DNSSEC de eth.limo, sus cambios maliciosos en el servidor de nombres de los dominios no pudieron pasar la verificación de la cadena de confianza; el resolvedor devolvió un error SERVFAIL en lugar de una redirección maliciosa, bloqueando de manera efectiva posibles ataques de phishing a gran escala.

¿Qué advertencias deja este incidente para la seguridad del ecosistema ENS y de los front-ends DeFi?

Este incidente vuelve a poner de manifiesto la contradicción de seguridad más central del front-end cripto: los contratos inteligentes son descentralizados, pero la capa de dominios Web2 a la que acceden los usuarios aún depende de registradores de dominios centralizados, cuya atención al cliente representa el eslabón débil. El diseño de Domainsure de “no admitir la recuperación de cuentas” es una de las defensas más directas que existe en la industria actualmente contra este tipo de ataques de ingeniería social, pero ello también implica que los titulares de cuentas deben asegurarse de que exista una copia de seguridad segura de las claves privadas.