这里有几件事出了问题，MyEtherWallet 可以做一些事情来降低风险。问题是到 DNS 服务器的流量被劫持，因此对特定域的查询导致了欺骗响应，从而将浏览器引导到攻击者的 IP 地址，并使用冒充原始站点的服务器。在那里，用户看到的是一个看起来像原始网站的假网站。

DNSSec旨在防止这种欺骗，即检测响应是假的。但是，DNSSec 需要域所有者（必须签名记录）、DNS 服务器（必须返回签名记录）和客户端（必须需要签名记录）的支持。虽然 MyEtherWallet 可以在那里配置系统为域提供 DNSSec，但它无法控制客户端部分：攻击者可能刚刚返回了一个未签名的响应，因为只有一些客户端会首先请求 DNSSec，甚至更少的客户端会坚持只获取签署的回应。

更简单的是为 MyEtherWallet 的域设置HSTS。如果设置了这个 HTTP 标头，现代浏览器会记住域总是需要通过 HTTPS 访问，并且不允许出现 SSL 问题的例外情况。为了绕过这种简单的设置保护，攻击者还需要为受攻击的域获取有效证书。如果攻击者临时控制域（如本报告中针对 Fox-IT 的攻击中所见），但通过使用具有额外控制的 CA 颁发者并使用DNS CAA 记录限制颁发者 CA ，通常可以获得这样的证书 攻击者可能无法或至少很难从公共 CA 获得该域的证书。

总而言之：MyEtherWallet 可以做几件事来让攻击者更难。其中一些很容易实现，但仍然非常有效（HSTS）。其他的（如 DNSSec）需要在客户端提供足够的支持，这在今天是不现实的。