Uma análise post-mortem da Steakhouse lançou nova luz sobre um incidente de segurança de 30 de março. Os atacantes sequestraram brevemente o seu domínio para servir um site de phishing, expondo uma fraqueza crítica na infraestrutura off-chain em vez dos sistemas on-chain.
A equipa confirmou que o ataque resultou de uma tentativa bem-sucedida de engenharia social visando o seu registador de domínio, OVHcloud. Isto permitiu ao atacante contornar a autenticação de dois fatores e assumir o controlo dos registos DNS.
A engenharia social levou à tomada total da conta
De acordo com o relatório, o atacante contactou o serviço de apoio do registador, personificou o proprietário da conta e convenceu um agente de apoio a remover a Autenticação de Dois Fatores (2FA) baseada em hardware.
Uma vez concedido o acesso, o atacante executou rapidamente uma série de ações automatizadas. Isto incluiu eliminar credenciais de segurança existentes, inscrever novos dispositivos de autenticação e redirecionar registos DNS para infraestrutura sob o seu controlo.
Isto permitiu a implementação de um site clonado da Steakhouse incorporado com um drenador de carteira, que permaneceu acessível intermitentemente durante aproximadamente quatro horas.
Site de phishing ativo, mas os fundos permaneceram seguros
Apesar da gravidade da violação, a Steakhouse declarou que nenhum fundo de utilizador foi perdido e nenhuma transação maliciosa foi confirmada.
O comprometimento limitou-se à camada de domínio. Os cofres on-chain e contratos inteligentes, que operam independentemente do frontend, não foram afetados. O protocolo enfatizou que não detém chaves de administração que possam aceder aos depósitos dos utilizadores.
As proteções de carteira de navegador de fornecedores como MetaMask e Phantom sinalizaram rapidamente o site de phishing, enquanto a equipa emitiu um aviso público dentro de 30 minutos após detetar o incidente.
A análise post-mortem destaca o risco do fornecedor e pontos únicos de falha
O relatório aponta para uma falha chave nas suposições de segurança da Steakhouse: dependência de um único registador cujos processos de apoio poderiam sobrepor-se às proteções baseadas em hardware.
A capacidade de desativar a autenticação de dois fatores através de uma chamada telefónica, sem verificação robusta fora da banda, efetivamente transformou uma fuga de credenciais numa tomada total de conta.
A Steakhouse reconheceu que não tinha avaliado adequadamente este risco, descrevendo o registador como um "ponto único de falha" na sua infraestrutura.
As vulnerabilidades off-chain permanecem um elo fraco
O incidente sublinha uma questão mais ampla na segurança cripto — que proteções on-chain fortes não eliminam riscos na infraestrutura circundante.
Embora os contratos inteligentes e cofres tenham permanecido seguros, o controlo sobre DNS permitiu ao atacante visar utilizadores através de phishing, um método cada vez mais comum no ecossistema.
O ataque também envolveu ferramentas consistentes com operações de "drenador-como-serviço", destacando como os atacantes continuam a combinar engenharia social com kits de exploração prontos a usar.
Atualizações de segurança e próximos passos
Após o incidente, a Steakhouse migrou para um registador mais seguro. Implementou monitorização contínua de DNS, rotação de credenciais e lançou uma revisão mais ampla das práticas de segurança de fornecedores.
A equipa também introduziu controlos mais rigorosos para a gestão de domínio, incluindo aplicação de chave de hardware e bloqueios ao nível do registador.
Resumo final
- A análise post-mortem da Steakhouse revela que um bypass de 2FA (Autenticação de Dois Fatores) ao nível do registador permitiu um sequestro de DNS, expondo utilizadores a phishing apesar de sistemas on-chain seguros.
- O incidente destaca como a infraestrutura off-chain e a segurança de fornecedores permanecem vulnerabilidades críticas nos ecossistemas cripto.
Fonte: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
