eth.limo ドメインが乗っ取られる、EasyDNS が 28 年ぶり初のソーシャルエンジニアリング攻撃を認める

ENS から Web へのゲートウェイである eth.limo は 4 月 17 日の夜に DNS ハイジャックを受け、事後分析では攻撃者が eth.limo チームのメンバーを装い、ドメイン登録業者 EasyDNS にアカウント復旧プロセスの実行を成功裏に誘導したことが示された。EasyDNS の CEO である Mark Jeftovic はこれが同社の 28 年の歴史の中で、顧客を対象にした初めての成功したソーシャルエンジニアリング攻撃であることを公に認めている。

攻撃タイムライン：アカウント復旧プロセスが誘導されて発動

事後分析および EasyDNS 公式ブログ記事によれば、攻撃の全タイムラインは以下のとおりである。4 月 17 日の米国東部時間 19:07、攻撃者が eth.limo チームのメンバーを装い、EasyDNS のアカウント復旧プロセスを誘導した。4 月 18 日の米国東部時間 2:23、攻撃者が eth.limo のドメインネームサーバーを Cloudflare に切り替え、自動のダウン警報を発火させて eth.limo チームを起こした。3:57、ネームサーバーは再び Namecheap に切り替えられた。そして 7:49 までに、EasyDNS が eth.limo チームのアカウントのアクセス権限を復旧した。

Vitalik Buterin は事件の間、ユーザーに対し、すべての eth.limo リンクの使用を避け、IPFS を直接通じて内容にアクセスするよう促した。彼は土曜日に、問題がすべて解決したことを確認した。

DNSSEC が最後の防衛線になった方法

攻撃者は eth.limo のワイルドカードドメイン（*.eth.limo）を通じて、トラフィックをフィッシング基盤へリダイレクトしようとし、潜在的な影響範囲は 200 万以上の ENS .eth ドメインに及ぶ可能性があった。これには Vitalik Buterin の個人ブログ vitalik.eth.limo も含まれる。

しかし、攻撃者が eth.limo の DNSSEC 署名鍵を一度も取得していなかったため、リゾルバが攻撃者の新しいドメインネームサーバーから返ってきた応答を、親ゾーンのキャッシュにある正当な DS 記録と突き合わせた際に、信頼チェーンが断絶し、リゾルバは悪意あるリダイレクトではなく SERVFAIL エラーを返した。「DNSSEC は、ハイジャック事件の影響範囲を縮小した可能性がある。現在のところ、ユーザーに対する影響は確認されていない」と eth.limo チームは報告書の中で述べている。

暗号フロントエンドに対する DNS ソーシャルエンジニアリング攻撃の体系的なトレンド

今回の事件は、暗号フロントエンドを狙った一連のドメイン登録業者レベルの攻撃における、直近の最新事例である。2024 年 11 月、攻撃者が NameSilo のアカウントを乗っ取り、DNSSEC を剝奪し、その結果 DEX Aerodrome と Velodrome のユーザーが 70 万ドル超の損失を被った。今年 3 月 30 日には、Steakhouse Financial の OVH カスタマーサポートがソーシャルエンジニアリング攻撃により、二要素認証を無効化するよう誘導され、クローンサイトが短期間で立ち上がった。同月、収益プラットフォーム Neutrl も同様の事件に遭遇した。

皮肉にも、eth.limo はそれ以前の 11 月の Aerodrome ハイジャック事件で緊急支援を提供しており、DeFi フロントエンドがダウンした際の分散型の代替手段として広く見なされていた。事件が解決した後、eth.limo は EasyDNS 傘下の Domainsure へ移行する計画だ——同サービスは法人向けで、アカウント復旧メカニズムを提供せず、そもそもこの種のソーシャルエンジニアリング攻撃の入口を根本から排除する。

Vitalik は長期にわたり、イーサリアムが中心化された DNS 解決に依存することを「信頼の後退」と考えており、2026 年に開発者がユーザーに IPFS への直接アクセスの導線を示すよう呼びかけている。

よくある質問

eth.limo とは何で、イーサリアム・エコシステムにおいてどんな役割を果たしていますか？

eth.limo は無料のオープンソースのリバースプロキシで、ユーザーは任意の .eth ドメインの後に「.limo」を追加し、標準的なブラウザ経由で、IPFS、Arweave または Swarm 上にデプロイされた ENS 関連コンテンツにアクセスできる。ワイルドカードの DNS 記録は、ENS を通じて登録された約 200 万の .eth ドメインをカバーしており、ENS エコシステムで最も広く使われている Web2 アクセスのブリッジの 1 つである。

DNSSEC は、今回の攻撃がユーザー損失につながるのをどう阻止しましたか？

DNSSEC は DNS 記録に暗号署名を行い、検証リゾルバが未署名、または署名が誤っている応答を拒否できるようにする。攻撃者は eth.limo の DNSSEC 署名鍵を一度も取得していなかったため、ドメインネームサーバーに対する悪意ある変更は信頼チェーンの検証を通過できない。その結果、リゾルバは悪意あるリダイレクトではなく SERVFAIL エラーを返し、潜在的な大規模なフィッシング攻撃を効果的に阻止した。

今回の事件は ENS エコシステムと DeFi フロントエンドの安全に、どんな警告をもたらしますか？

今回の事件は、暗号フロントエンドにおける最も核心的な安全上の矛盾を改めて裏付けた。すなわち、スマートコントラクトは分散化されている一方で、ユーザーがアクセスする Web2 のドメイン層はいまだ中心化されたドメイン登録業者に依存しており、そして後者のカスタマーサポート手順が弱点になっている、という点だ。Domainsure の「アカウント復旧非対応」という設計は、この種のソーシャルエンジニアリング攻撃に対する業界で最も直接的な防御策の 1 つであるが、その一方でアカウント保有者は秘密鍵の安全なバックアップを確実にしておく必要があることも意味している。