Eth.limo вернула домен после атаки на регистратора easyDNS, а Vercel подтвердил утечку данных

Домен eth.limo перехвачен через социальную инженерию

Шлюз Ethereum Name Service (ENS) eth.limo опубликовал подробный разбор инцидента, в ходе которого злоумышленник получил контроль над доменом проекта. Атака была направлена не на саму инфраструктуру eth.limo, а на регистратора доменных имён easyDNS.

«https://t.co/of1ktfaPss» — ETH.LIMO 🦇🔊 (@eth_limo), оригинальный пост

Злоумышленник представился членом команды eth.limo и инициировал процедуру восстановления учётной записи в easyDNS. Получив доступ к панели управления, хакер подменил записи серверов имён (NS), перенаправив их на Cloudflare. Это означало, что пользователи, обращавшиеся к eth.limo, могли попасть на фишинговые ресурсы.

Почему это важно

Eth.limo выполняет функцию моста между Web2 и Web3, предоставляя доступ к 2 млн децентрализованных сайтов в доменной зоне .eth. Компрометация такого шлюза потенциально ставила под угрозу огромное количество пользователей децентрализованного интернета.

Сооснователь Ethereum Виталик Бутерин лично предупредил аудиторию о проблеме, попросив не посещать его блог и другие .eth-страницы до устранения последствий.

«The kind people at @eth_limo have warned me that there has been an attack on their DNS registrar. So please do not visit vitalik.eth.limo or other .eth.limo pages until they confirm that things are back to normal. You can check my blog via IPFS directly…» — vitalik.eth (@VitalikButerin), оригинальный пост

DNSSEC спасла ситуацию

Глава easyDNS Марк Джефтович признал ответственность компании за инцидент. Он охарактеризовал атаку как «высокотехнологичную» и заявил, что за 28 лет существования провайдера подобного не случалось.

Серьёзных последствий удалось избежать благодаря расширению DNSSEC. У атакующего не было криптографических ключей для подписи DNS-записей, поэтому большинство DNS-серверов отклоняли подменённые ответы. Вместо вредоносных страниц пользователи видели сообщения об ошибке.

Команда eth.limo подтвердила отсутствие ущерба для пользователей. Проект переходит на платформу Domainsure, которая не поддерживает механизм восстановления аккаунта через службу поддержки — это исключает повторение аналогичных атак через социальную инженерию.

Vercel подтвердил утечку данных клиентов

Параллельно с инцидентом eth.limo облачный провайдер Vercel сообщил о нарушении безопасности, затронувшем часть учётных данных клиентов.

«We've identified a security incident that involved unauthorized access to certain internal Vercel systems, impacting a limited subset of customers.» — Vercel (@vercel), оригинальный пост

CEO Vercel Гильермо Раух раскрыл подробности: атака началась с компрометации ИИ-инструмента Context.ai, которым пользовался один из сотрудников компании. Через этот вектор злоумышленники проникли в корпоративный аккаунт Google Workspace и далее во внутренние системы Vercel.

«A Vercel employee got compromised via the breach of an AI platform customer called Context.ai that he was using…» — Guillermo Rauch (@rauchg), оригинальный пост

Ещё до официального заявления Vercel на хакерском форуме BreachForums появилось предложение о продаже украденных данных за $2 млн. Продавец утверждал, что располагает исходным кодом и ключами доступа.

«VERCEL just got breached. They're selling internal DB + employee accounts + GitHub/NPM tokens for $2M on BreachForums.» — shirish (@shiri_shh), оригинальный пост

Руководство Vercel призвало клиентов немедленно сменить учётные данные и контролировать активность в своих средах. Раух подчеркнул, что инфраструктура открытых проектов, включая фреймворк Next.js, не пострадала.

Волна инцидентов в крипто

Оба события произошли на фоне серии крупных атак в криптоиндустрии. 1 апреля DeFi-платформа Drift Protocol на Solana потеряла не менее $280 млн в результате хакерской атаки. 17 апреля протокол ликвидного рестейкинга Kelp лишился $293 млн после инцидента с кроссчейн-мостом. Совокупный ущерб от этих атак подчёркивает масштаб проблемы безопасности в Web3-пространстве.