🗓️ Contexte

Post-mortem publié par eth.limo sur X (Twitter) le 18 avril 2026, relatant un détournement DNS (DNS hijack) survenu le 17 avril 2026 à 19h07 EDT, avec une mise à jour complémentaire publiée le 20 avril 2026 après collaboration avec Coinspect.

🎯 Déroulement de l’attaque

L’attaquant a compromis le compte EasyDNS d’eth.limo en usurpant l’identité d’un membre de l’équipe auprès du registrar (ingénierie sociale). La chronologie est la suivante :

  • 19h07 EDT, 17/04/2026 : Compromission du compte EasyDNS via social engineering
  • 02h23 EDT, 18/04/2026 : Modification des enregistrements NS pointant vers Cloudflare (infrastructure attaquant)
  • 03h57 EDT, 18/04/2026 : Nouveaux NS redirigés vers Namecheap
  • 07h49 EDT, 18/04/2026 : EasyDNS restaure l’accès et rétablit les enregistrements NS légitimes

🛡️ Facteurs limitant l’impact

DNSSEC a joué un rôle protecteur déterminant : les résolveurs validants ont comparé les réponses de l’attaquant avec le DS record légitime encore en cache dans la zone parente. L’attaquant ne disposant pas des clés de signature, il ne pouvait pas produire de RRSIGs valides, brisant la chaîne de confiance et forçant les résolveurs à retourner SERVFAIL plutôt que les réponses malveillantes.

Par ailleurs, la mise à jour du 20 avril confirme que :

  • Aucun certificat X.509 valide n’a pu être obtenu pour eth.limo ni tornadocash.eth.limo durant la fenêtre de hijack
  • Les lookups CAA ont retourné SERVFAIL, empêchant toute CA conforme (CA/B Forum ballot SC-085v2, en vigueur depuis le 15 mars 2026) d’émettre un certificat
  • Les logs Certificate Transparency ont été consultés pour confirmer l’absence d’émission frauduleuse

📋 Impact déclaré

Aucun impact utilisateur connu à la date de publication. Le service eth.limo est revenu en ligne à partir de 07h49 EDT le 18 avril 2026.

📌 Type d’article

Post-mortem technique détaillé publié par la victime, visant à documenter l’incident, expliquer les mécanismes de protection ayant limité l’impact, et informer la communauté crypto/Web3.

🧠 TTPs et IOCs détectés

TTP

  • T1598.003 — Phishing for Information: Spearphishing via Service (Reconnaissance)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1584.002 — Compromise Infrastructure: DNS Server (Resource Development)
  • T1565.002 — Data Manipulation: Transmitted Data Manipulation (Impact)

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ x.com — source non référencée (0pts)
  • ✅ 5753 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://x.com/eth_limo/status/2045552916157563148