Mr.Dark
Активный пользователь
- Регистрация
- 01.06.2025
- Сообщения
- 8 075
- Реакции
- 6 987
- Баллы
- 113
ХАКЕРЫ ВЗЛОМАЛИ ETH․LIMO И ПЕРЕХВАТИЛИ ДОМЕН
Домен eth․limo угнали через социнженерию — скамер притворился членом команды и восстановил доступ у EasyDNS, после чего сменил DNS.eth․limo — это шлюз к Ethereum Name Service, через который открываются .eth сайты без Web3.
Атака позволяла перенаправлять пользователей на фишинговые сайты.
Виталик Бутерин уже предупредил не заходить на ресурс.
Как хакеры обманули регистратора с 28-летней историей и поставили под удар два миллиона доменов .eth
Вечером 17 апреля 2026 года, когда большая часть криптосообщества готовилась к выходным, в инфраструктуре Ethereum Name Service начался переполох. Сооснователь Ethereum Виталик Бутерин, чьё слово в индустрии весит больше, чем иные рыночные индексы, опубликовал в X тревожное сообщение: "Команда @eth_limo предупредила меня, что на их DNS-регистратора совершили атаку. Не переходите по ссылкам vitalik.eth.limo и другим адресам на eth.limo, пока не появится подтверждение о восстановлении работы".
Это было не рядовое предупреждение. Eth.limo — это не просто очередной криптосервис, а мост между двумя мирами. Он позволяет открыть любой сайт с доменом .eth в обычном браузере, без установки специального софта, без поднятия собственного IPFS-узла. Достаточно просто дописать ".limo" в конце адреса. Через этот шлюз проходит трафик примерно двух миллионов децентрализованных сайтов, от личных блогов до интерфейсов крупных DeFi-протоколов. И вот этот мост оказался в чужих руках.
Полночный перехват: хроника захвата
События той ночи развивались стремительно. Согласно отчёту, опубликованному командой eth.limo на следующий день, всё началось 17 апреля в 19:07 по восточному времени. В этот момент злоумышленник вышел на связь с компанией easyDNS — канадским регистратором доменных имён, который обслуживал eth.limo и имел репутацию надёжного, проверенного временем партнёра.
Атакующий не взламывал серверы, не подбирал пароли и не эксплуатировал уязвимости в коде. Он просто представился сотрудником команды eth.limo и запустил стандартную процедуру восстановления доступа к аккаунту. "Я потерял доступ, помогите войти" — что-то в этом роде. Этого оказалось достаточно. Служба поддержки easyDNS поверила и передала управление доменом в руки злоумышленника.
Дальше события покатились по нарастающей. В 2:23 ночи 18 апреля NS-записи домена были изменены и перенаправлены на инфраструктуру Cloudflare. Системы мониторинга eth.limo зафиксировали сбой, и команду подняли по тревоге. Но злоумышленник не остановился: в 3:57 ночи серверы имён были снова переключены — на этот раз на Namecheap. Атакующий явно пытался запутать следы и закрепиться в захваченном домене.
Только в 7:49 утра easyDNS, осознав масштаб ошибки, восстановила доступ команды eth.limo к аккаунту. Домен вернулся к законным владельцам. Вся операция заняла чуть больше двенадцати часов.
"Мы облажались, и мы это признаём"
Генеральный директор easyDNS Марк Джетфтович не стал прятаться за формулировками. В тот же день в блоге компании появился пост с красноречивым заголовком: "We screwed up and we own it" — "Мы облажались, и мы это признаём".
"Это первый успешный случай социальной инженерии против клиента easyDNS за всю нашу 28-летнюю историю. Попыток были сотни, но эта прошла", — написал Джетфтович. Он принёс извинения команде eth.limo и всему сообществу Ethereum, подчеркнув особое отношение компании к ENS: именно easyDNS была первым регистратором, поддержавшим связку ENS-доменов с традиционной веб-инфраструктурой ещё в 2017 году.
Джетфтович охарактеризовал атаку как "высокосложную" с точки зрения социальной инженерии, однако отказался раскрывать детали того, как именно злоумышленнику удалось обмануть службу поддержки. Внутреннее расследование easyDNS на момент публикации отчёта ещё продолжалось.
DNSSEC: невидимый щит, который спас два миллиона доменов
Если бы не одна техническая деталь, последствия этого инцидента могли бы быть катастрофическими. Речь идёт о DNSSEC — расширении безопасности системы доменных имён, которое криптографически подписывает DNS-записи.
Когда злоумышленник изменил NS-записи домена и попытался перенаправить трафик на свои серверы, произошло следующее: современные DNS-резолверы, поддерживающие DNSSEC, проверили цифровую подпись полученных записей. Поскольку у атакующего не было приватных ключей, необходимых для создания корректной подписи, проверка провалилась. Вместо того чтобы перенаправить пользователей на фишинговый сайт, резолверы вернули ошибку SERVFAIL.
"DNSSEC, скорее всего, значительно уменьшил радиус поражения при захвате домена. На данный момент нам не известно о каком-либо воздействии на пользователей", — сообщила команда eth.limo в своём отчёте.
Это признание — одновременно и облегчение, и горькая пилюля. DNSSEC существует уже много лет, но до сих пор остаётся опциональной, а не обязательной мерой защиты. В этом конкретном случае она сработала. Но многие другие проекты, включая недавно пострадавшие CoW Swap, Aerodrome и Velodrome, такой защиты не имели — и поплатились миллионами долларов.
Парадокс децентрализации: когда мост оказывается слабым звеном
Этот инцидент в очередной раз высветил фундаментальное противоречие, которое Виталик Бутерин и другие идеологи Web3 поднимают уже не первый год. Сами по себе ENS-записи и контент в IPFS остались нетронутыми — децентрализованная часть инфраструктуры выдержала. Уязвимым оказался именно мост между Web2 и Web3, точка соприкосновения с традиционным интернетом.
Бутерин ещё в январе 2026 года объявил, что этот год должен стать переломным в отказе от зависимости от централизованной DNS-инфраструктуры. И вот, спустя всего несколько месяцев, его собственный шлюз, носящий его имя (vitalik.eth.limo), оказался под угрозой именно из-за этой зависимости.
Ирония ситуации усугубляется тем, что в ноябре 2025 года, когда аналогичной атаке подверглись децентрализованные биржи Aerodrome и Velodrome, именно eth.limo выступил в роли спасательного круга, предоставляя альтернативный доступ к интерфейсам этих протоколов. Теперь же спасатель сам оказался в воде.
Что дальше: миграция на Domainsure и уроки на будущее
EasyDNS уже объявила о конкретных мерах, призванных предотвратить повторение подобных инцидентов. Eth.limo будет перенесён на платформу Domainsure — специализированный сервис для корпоративных и финтех-клиентов, у которого напрочь отсутствует функция восстановления доступа к аккаунту. Нет процедуры восстановления — нечего и взламывать методами социальной инженерии.
Команда eth.limo, со своей стороны, планирует перейти на более строгий тарифный план easyDNS с усиленными мерами безопасности.
Для всего криптосообщества этот инцидент стал ещё одним напоминанием: децентрализация — это не бинарное состояние, а спектр. Можно построить идеально защищённый смарт-контракт на Ethereum, но если пользователи заходят на ваш сайт через домен, зарегистрированный у провайдера с уязвимой процедурой восстановления пароля, вся ваша безопасность летит в тартарары.
Виталик Бутерин уже подтвердил, что ситуация "полностью разрешена". Но осадок остался. В индустрии, где потери от фишинга в 2025 году превысили четыре миллиарда долларов, а взломы фронтендов становятся самым популярным вектором атак, история с eth.limo звучит не как исключительный случай, а как тревожный звонок, который пока услышали не все.