Laporan postmortem dari Steakhouse telah memberikan pencerahan baru tentang insiden keamanan pada 30 Maret. Penyerang sempat membajak domainnya untuk menampilkan situs phishing, mengekspos kelemahan kritis dalam infrastruktur off-chain daripada sistem on-chain.
Tim mengonfirmasi bahwa serangan tersebut berasal dari upaya rekayasa sosial yang berhasil menargetkan registrar domainnya, OVHcloud. Hal ini memungkinkan penyerang untuk melewati autentikasi dua faktor dan mengambil alih kontrol catatan DNS.
Rekayasa sosial menyebabkan pengambilalihan akun penuh
Menurut laporan, penyerang menghubungi meja dukungan registrar, menyamar sebagai pemilik akun, dan meyakinkan agen dukungan untuk menghapus autentikasi dua faktor berbasis perangkat keras.
Setelah akses diberikan, penyerang dengan cepat menjalankan serangkaian tindakan otomatis. Ini termasuk menghapus kredensial keamanan yang ada, mendaftarkan perangkat autentikasi baru, dan mengarahkan ulang catatan DNS ke infrastruktur di bawah kendali mereka.
Hal ini memungkinkan penerapan situs web Steakhouse tiruan yang disematkan dengan wallet drainer, yang tetap dapat diakses secara intermiten selama sekitar empat jam.
Situs phishing aktif, tetapi dana tetap aman
Meskipun tingkat keparahan pelanggaran tersebut, Steakhouse menyatakan bahwa tidak ada dana pengguna yang hilang dan tidak ada transaksi berbahaya yang dikonfirmasi.
Kompromi terbatas pada lapisan domain. Vault on-chain dan kontrak pintar, yang beroperasi secara independen dari frontend, tidak terpengaruh. Protokol menekankan bahwa tidak memegang kunci admin yang dapat mengakses deposit pengguna.
Perlindungan wallet browser dari penyedia seperti MetaMask dan Phantom dengan cepat menandai situs phishing, sementara tim mengeluarkan peringatan publik dalam waktu 30 menit setelah mendeteksi insiden tersebut.
Postmortem menyoroti risiko vendor dan titik kegagalan tunggal
Laporan menunjuk pada kegagalan kunci dalam asumsi keamanan Steakhouse: ketergantungan pada satu registrar yang proses dukungannya dapat mengesampingkan perlindungan berbasis perangkat keras.
Kemampuan untuk menonaktifkan autentikasi dua faktor melalui panggilan telepon, tanpa verifikasi out-of-band yang kuat, secara efektif mengubah kebocoran kredensial menjadi pengambilalihan akun penuh.
Steakhouse mengakui bahwa tidak cukup menilai risiko ini, menggambarkan registrar sebagai "titik kegagalan tunggal" dalam infrastrukturnya.
Kerentanan off-chain tetap menjadi titik lemah
Insiden ini menggarisbawahi masalah yang lebih luas dalam keamanan kripto — bahwa perlindungan on-chain yang kuat tidak menghilangkan risiko dalam infrastruktur di sekitarnya.
Meskipun kontrak pintar dan vault tetap aman, kontrol atas DNS memungkinkan penyerang untuk menargetkan pengguna melalui phishing, sebuah metode yang semakin umum dalam ekosistem.
Serangan tersebut juga melibatkan alat yang konsisten dengan operasi "drainer-as-a-service", menyoroti bagaimana penyerang terus menggabungkan rekayasa sosial dengan kit eksploit yang sudah jadi.
Peningkatan keamanan dan langkah selanjutnya
Setelah insiden tersebut, Steakhouse telah bermigrasi ke registrar yang lebih aman. Mereka menerapkan pemantauan DNS berkelanjutan, merotasi kredensial, dan meluncurkan tinjauan yang lebih luas terhadap praktik keamanan vendor.
Tim juga memperkenalkan kontrol yang lebih ketat untuk manajemen domain, termasuk penegakan kunci perangkat keras dan kunci tingkat registrar.
Ringkasan Akhir
- Postmortem Steakhouse mengungkapkan bahwa bypass 2FA tingkat registrar memungkinkan pembajakan DNS, mengekspos pengguna ke phishing meskipun sistem on-chain aman.
- Insiden tersebut menyoroti bagaimana infrastruktur off-chain dan keamanan vendor tetap menjadi kerentanan kritis dalam ekosistem kripto.
Sumber: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
