Hay varias cosas que salieron mal aquí y MyEtherWallet podría haber hecho cosas para reducir el riesgo. El problema fue que el tráfico al servidor DNS fue secuestrado y, por lo tanto, las consultas de dominios específicos dieron como resultado una respuesta falsificada, lo que dirigió el navegador a la dirección IP de los atacantes con un servidor que se hacía pasar por el sitio original. Allí se presentó al usuario un sitio falso que se parecía al original.
DNSSec está diseñado para evitar exactamente este tipo de falsificación, es decir, detectar que una respuesta es falsa. Pero, DNSSec requiere soporte del propietario del dominio (debe firmar registros), el servidor DNS (debe devolver los registros firmados) y del cliente (debe requerir registros firmados). Si bien MyEtherWallet podría haber configurado el sistema para ofrecer DNSSec para el dominio, no tiene control sobre la parte del cliente: el atacante podría haber devuelto una respuesta sin firmar, ya que solo algunos clientes solicitarán DNSSec en primer lugar e incluso muchos menos insistirán en obtener solo una respuesta firmada.
Más fácil hubiera sido establecer HSTS para los dominios de MyEtherWallet. Si este encabezado HTTP está configurado, navegadores modernos recordarán que HTTPS siempre debe acceder al dominio y que no hay excepciones en caso de Se permiten problemas de SSL. Para omitir esta sencilla protección de configuración, el atacante también debería obtener un certificado válido para el dominio atacado. A menudo es posible obtener dicho certificado si el atacante controla temporalmente el dominio (como se ve en este informe de un ataque contra Fox-IT ) pero usando un emisor de CA con controles adicionales y restringiendo el CA de emisor usando DNS CAA records podría haber sido imposible o al menos muy difícil para el atacante obtener un certificado para este dominio de una CA pública.
En resumen: MyEtherWallet podría haber hecho varias cosas para que sea más difícil para el atacante. Algunos de estos serían fáciles de implementar pero aún así muy efectivos (HSTS). Otros (como DNSSec) requieren un soporte adecuado en el lado del cliente, lo cual no es una realidad en la actualidad.