eth.limo 域名遭劫持，EasyDNS 承认 28 年首次社交工程攻击

ENS 到 Web 的网关 eth.limo 于 4 月 17 日晚间遭到 DNS 劫持，事后分析显示攻击者冒充 eth.limo 团队成员，成功诱骗域名注册商 EasyDNS 执行账户恢复流程。EasyDNS 首席执行官 Mark Jeftovic 公开承认，这是该公司 28 年历史上针对客户的首次成功社交工程攻击。

攻击时间轴：账户恢复流程被诱骗触发

根据事后分析和 EasyDNS 官方博客文章，攻击全程时间轴如下：4 月 17 日美东时间晚 7:07，攻击者冒充 eth.limo 团队成员，诱骗 EasyDNS 执行账户恢复流程。4 月 18 日美东时间凌晨 2:23，攻击者将 eth.limo 域名服务器切换至 Cloudflare，触发自动宕机警报，唤醒 eth.limo 团队；凌晨 3:57，域名服务器被再次切换至 Namecheap；至早上 7:49，EasyDNS 恢复了 eth.limo 团队的账户访问权限。

Vitalik Buterin 在事件期间警告用户避免使用所有 eth.limo 连接，引导其直接通过 IPFS 访问内容。他于周六确认问题已全部解决。

DNSSEC 如何成为最后防线

攻击者试图通过 eth.limo 的通配符域名（*.eth.limo）将流量重定向至钓鱼基础设施，潜在影响范围涵盖逾 200 万个 ENS .eth 域名，包括 Vitalik Buterin 的个人博客 vitalik.eth.limo。

然而，由于攻击者从未取得 eth.limo 的 DNSSEC 签名密钥，当解析器将攻击者的新域名服务器响应与父区域缓存的合法 DS 记录比对时，信任链断裂，解析器返回 SERVFAIL 错误而非恶意重定向。「DNSSEC 可能缩小了劫持事件的影响范围，目前我们尚未发现对用户造成任何影响，」eth.limo 团队在报告中表示。

加密前端 DNS 社交工程攻击的系统性趋势

此次事件是近期针对加密前端的一系列域名注册商级别攻击中的最新案例：2024 年 11 月，攻击者劫持 NameSilo 账户并剥离 DNSSEC，导致 DEX Aerodrome 和 Velodrome 用户损失逾 70 万美元；今年 3 月 30 日，Steakhouse Financial 的 OVH 客服被社交工程攻击诱导关闭账户双重认证，克隆网站短暂上线；同月，收益平台 Neutrl 亦遭遇类似事件。

讽刺的是，eth.limo 此前曾在 11 月 Aerodrome 劫持事件中提供紧急支持，被广泛视为 DeFi 前端宕机时的去中心化备用首选。事件解决后，eth.limo 计划迁移至 EasyDNS 旗下的 Domainsure——该服务面向企业客户，不提供任何账户恢复机制，从根本上消除此类社交工程攻击的入口。

Vitalik 长期认为以太坊对中心化 DNS 解析的依赖是「信任倒退」，并呼吁开发者在 2026 年引导用户使用直接访问 IPFS 的路径。

常见问题

eth.limo 是什么，它在以太坊生态中扮演什么角色？

eth.limo 是一个免费的开源反向代理，允许用户在任何 .eth 域名后添加「.limo」，通过标准浏览器访问部署在 IPFS、Arweave 或 Swarm 上的 ENS 相关内容。其通配符 DNS 记录覆盖约 200 万个通过 ENS 注册的 .eth 域名，是 ENS 生态系统中最广泛使用的 Web2 访问桥梁之一。

DNSSEC 如何阻止了此次攻击造成用户损失？

DNSSEC 对 DNS 记录进行加密签名，允许验证解析器拒绝未签名或签署错误的响应。由于攻击者从未取得 eth.limo 的 DNSSEC 签名密钥，其对域名服务器的恶意更改无法通过信任链验证，解析器返回 SERVFAIL 错误而非恶意重定向，有效阻止了潜在的大规模钓鱼攻击。

此次事件对 ENS 生态和 DeFi 前端安全有何警示？

此次事件再次印证了加密前端最核心的安全矛盾：智能合约去中心化，但用户访问的 Web2 域名层仍依赖中心化的域名注册商，而后者的客服流程是薄弱环节。Domainsure「不支持账户恢复」的设计，是目前业界对此类社交工程攻击最直接的防御方案之一，但这也意味着账户持有人必须确保私钥的安全备份。