eth.limo 域名遭劫持，EasyDNS 承認 28 年首次社交工程攻擊

ENS 到 Web 的網關 eth.limo 於 4 月 17 日晚間遭到 DNS 劫持，事後分析顯示攻擊者冒充 eth.limo 團隊成員，成功誘騙域名註冊商 EasyDNS 執行帳戶恢復流程。EasyDNS 執行長 Mark Jeftovic 公開承認，這是該公司 28 年歷史上針對客戶的首次成功社交工程攻擊。

攻擊時間軸：帳戶恢復流程被誘騙觸發

根據事後分析和 EasyDNS 官方部落格文章，攻擊全程時間軸如下：4 月 17 日美東時間晚 7:07，攻擊者冒充 eth.limo 團隊成員，誘騙 EasyDNS 執行帳戶恢復流程。4 月 18 日美東時間凌晨 2:23，攻擊者將 eth.limo 域名伺服器切換至 Cloudflare，觸發自動宕機警報，喚醒 eth.limo 團隊；凌晨 3:57，域名伺服器被再次切換至 Namecheap；至早上 7:49，EasyDNS 恢復了 eth.limo 團隊的帳戶存取權限。

Vitalik Buterin 在事件期間警告用戶避免使用所有 eth.limo 連結，引導其直接透過 IPFS 訪問內容。他於週六確認問題已全部解決。

DNSSEC 如何成為最後防線

攻擊者試圖透過 eth.limo 的通配符域名（*.eth.limo）將流量重定向至釣魚基礎設施，潛在影響範圍涵蓋逾 200 萬個 ENS .eth 域名，包括 Vitalik Buterin 的個人部落格 vitalik.eth.limo。

然而，由於攻擊者從未取得 eth.limo 的 DNSSEC 簽名金鑰，當解析器將攻擊者的新域名伺服器回應與父區域緩存的合法 DS 記錄比對時，信任鏈斷裂，解析器返回 SERVFAIL 錯誤而非惡意重定向。「DNSSEC 可能縮小了劫持事件的影響範圍，目前我們尚未發現對用戶造成任何影響，」eth.limo 團隊在報告中表示。

加密前端 DNS 社交工程攻擊的系統性趨勢

此次事件是近期針對加密前端的一系列域名註冊商級別攻擊中的最新案例：2024 年 11 月，攻擊者劫持 NameSilo 帳戶並剝離 DNSSEC，導致 DEX Aerodrome 和 Velodrome 用戶損失逾 70 萬美元；今年 3 月 30 日，Steakhouse Financial 的 OVH 客服被社交工程攻擊誘導關閉帳戶雙重認證，克隆網站短暫上線；同月，收益平台 Neutrl 亦遭遇類似事件。

諷刺的是，eth.limo 此前曾在 11 月 Aerodrome 劫持事件中提供緊急支持，被廣泛視為 DeFi 前端宕機時的去中心化備用首選。事件解決後，eth.limo 計劃遷移至 EasyDNS 旗下的 Domainsure——該服務面向企業客戶，不提供任何帳戶恢復機制，從根本上消除此類社交工程攻擊的入口。

Vitalik 長期認為以太坊對中心化 DNS 解析的依賴是「信任倒退」，並呼籲開發者在 2026 年引導用戶使用直接訪問 IPFS 的路徑。

常見問題

eth.limo 是什麼，它在以太坊生態中扮演什麼角色？

eth.limo 是一個免費的開源反向代理，允許用戶在任何 .eth 域名後添加「.limo」，透過標準瀏覽器訪問部署在 IPFS、Arweave 或 Swarm 上的 ENS 相關內容。其通配符 DNS 記錄覆蓋約 200 萬個透過 ENS 註冊的 .eth 域名，是 ENS 生態系統中最廣泛使用的 Web2 訪問橋樑之一。

DNSSEC 如何阻止了此次攻擊造成用戶損失？

DNSSEC 對 DNS 記錄進行加密簽名，允許驗證解析器拒絕未簽名或簽署錯誤的回應。由於攻擊者從未取得 eth.limo 的 DNSSEC 簽名金鑰，其對域名伺服器的惡意更改無法通過信任鏈驗證，解析器返回 SERVFAIL 錯誤而非惡意重定向，有效阻止了潛在的大規模釣魚攻擊。

此次事件對 ENS 生態和 DeFi 前端安全有何警示？

此次事件再次印證了加密前端最核心的安全矛盾：智能合約去中心化，但用戶訪問的 Web2 域名層仍依賴中心化的域名註冊商，而後者的客服流程是薄弱環節。Domainsure「不支援帳戶恢復」的設計，是目前業界對此類社交工程攻擊最直接的防禦方案之一，但這也意味著帳戶持有人必須確保私鑰的安全備份。