Ci sono diverse cose che sono andate storte qui e MyEtherWallet avrebbe potuto fare cose per ridurre il rischio. Il problema era che il traffico verso il server DNS è stato dirottato e quindi le query per domini specifici hanno provocato una risposta falsa, indirizzando quindi il browser sull'indirizzo IP degli hacker con un server che impersona il sito originale. Lì l'utente è stato presentato era un sito falso che sembrava quello originale.
DNSSec è progettato per prevenire esattamente questo tipo di spoofing, cioè rilevare che una risposta è falsa. Tuttavia, DNSSec richiede il supporto del proprietario del dominio (deve firmare i record), il server DNS (deve restituire i record firmati) e dal client (deve richiedere record firmati). Anche se MyEtherWallet avrebbe potuto configurare lì il sistema per offrire DNSSec per il dominio non ha alcun controllo sulla parte client: l'autore dell'attacco potrebbe aver appena restituito una risposta non firmata dal momento che solo alcuni clienti chiedono DNSSec e ancor meno insistono per ottenere solo una risposta firmata.
Più facile sarebbe stato impostare HSTS per i domini di MyEtherWallet. Se questa intestazione HTTP è impostata su browser moderni ricorderà che il dominio deve sempre essere accessibile da HTTPS e che nessuna eccezione in caso di I problemi SSL sono consentiti. Per evitare questa protezione semplice da installare, l'autore dell'attacco dovrebbe anche ottenere un certificato valido per il dominio attaccato. È spesso possibile ottenere tale certificato se l'utente malintenzionato controlla temporaneamente il dominio (come si vede in questo rapporto da un attacco contro Fox-IT ) ma utilizzando un emittente della CA con controlli aggiuntivi e limitando la CA emittente utilizzando Record DNS CAA potrebbe essere stato reso impossibile o almeno molto difficile per l'hacker ottenere un certificato per questo dominio da una CA pubblica.
In sintesi: MyEtherWallet avrebbe potuto fare parecchie cose per rendere più difficile l'attacco. Alcuni di questi sarebbero facili da implementare ma ancora molto efficaci (HSTS). Altri (come DNSSec) richiedono un supporto adeguato dal lato del cliente che non è realtà oggi.