Einem gestern veröffentlichten Bericht der Ethereum Foundation zufolge wurde der E-Mail-Server der Organisation am 23. Juni gehackt, um einen betrügerischen Krypto-Staking-Dienst auf Lido anzubieten.
Die Hacker nutzten die über 35.000 Adressen, die den Ethereum-Newsletter abonniert hatten, um eine Phishing-E-Mail mit der offiziellen Adresse der Gruppe zu versenden.
In der Nachricht wurden Benutzer aufgefordert, Kryptowährungen auf Lido einzusetzen und dabei von einem Renditeanreiz von 6,8 % zu profitieren. Indem sie jedoch auf die Betrugsplattform klickten, autorisierten sie tatsächlich die Leerung der Brieftasche
Sehen wir uns im Detail an, was passiert ist.
In den E-Mail-Server der Ethereum Foundation eingedrungen: Krypto-Hacker macht Werbung für Lido-Betrugsplattform
Am 23. Juni brach ein Hacker in den Mailserver der Ethereum Foundation ein, um den Newsletter-Abonnenten einen Krypto-Betrug anzubieten.
Laut einer gestern von denselben Insidern der Organisation veröffentlichten Meldung wurden Phishing-Nachrichten mit Drain-Links an 35.794 Kontakte gesendet.
Im Einzelnen bewarb der Betreff ein Fake-Staking auf Lido mit einer besonders hohen Rendite von 6,8% auf stETH, WETH und ETH.
Um die Ankündigung wahrheitsgetreuer zu gestalten, wurde die offizielle E-Mail-Adresse der Ethereum Foundation updates@blog.ethereum.org verwendet.
Der Hacker musste auch die übertriebene Leistung rechtfertigen, die auf der echten Plattform tatsächlich nur 3 % betrug.
Aus diesem Grund schrieb er, dass Ethereum mit Lido zusammenarbeite, um der Community mehr Vorteile zu bieten, und dass das Staking „garantiert und geschützt“ sei.
Durch Klicken auf die Schaltfläche „Staking beginnen“ in der Phishing-E-Mail wurden die Benutzer zu einer betrügerischen Dapp umgeleitet, die eine ähnliche Benutzeroberfläche wie Lido aufwies.
Bis zu diesem Punkt nichts Schädliches, nicht einmal die Verbindung der Brieftasche mit der gefälschten Lido-Website im Hintergrund.
Beim Versuch, auf die betrügerische Anwendung zu „staken“, wurde jedoch eine Anfrage in der Brieftasche empfangen, deren Bestätigung das gesamte Portfolio gefährden würde.
Mit einem einzigen Klick wären alle Gelder abgeschöpft und direkt in die Taschen des Betrügers geflossen.
Diese Geschichte erinnert uns daran, wie wichtig es ist, die Domäne der von uns verwendeten Dapp stets durch eine doppelte Kontrolle zu überprüfen.
Leider genügt es nicht, offizielle Quellen zu nutzen, da diese, wie in diesem Fall, ebenfalls kompromittiert sein können.
Die Post-Mortem-Reaktion von Ethereum auf den Phishing-Angriff
Die Antwort der Ethereum Foundation ließ einige Tage auf sich warten, nachdem der Krypto-Betrug in einer eigenen E-Mail in Umlauf gekommen war.
Am 2. Juli erklärte der Kernentwickler Tim Beiko in einem offiziellen Post, was mit seiner Community passiert ist.
Der Hacker soll in den E-Mail-Anbieter „SendPulse“ von Ethereum eingedrungen sein und sich unbefugten Zugriff verschafft haben.
Die Stiftung arbeitet noch immer mit SendPulse zusammen, um das Problem zu beheben, aber es scheint, dass der Hack vorerst abgewendet wurde.
Der böswillige Akteur hat keinen Zugriff mehr auf die Kontakte der Ethereum-Entwicklungsorganisation und alles scheint gelöst zu sein.
Darüber hinaus wurde die beworbene Betrugsnachricht an verschiedene schwarze Listen von Web3-Wallet-Anbietern weitergeleitet, um Kontaminationsprobleme zu vermeiden.
Der Angreifer hat tatsächlich etwa 3.759 Adressen aus der Mailingliste des Blogs exportiert, wahrscheinlich mit der Absicht, sie für andere Betrügereien zu verwenden.
Nach weiteren Untersuchungen entdeckte Ethereum die Existenz einer Datenbank mit neuen E-Mail-Adressen, die nicht in der Unternehmensliste enthalten waren.
Wörtlich geschrieben von Beiko:
„Die Mailingliste des Blogs enthielt 81 E-Mail-Adressen, die dem Bedrohungsakteur zuvor nicht bekannt waren, und bei den übrigen handelte es sich um doppelte Adressen.“
Dies bedeutet, dass die Phishing-E-Mail möglicherweise auch an Benutzer gesendet wurde, die nicht der Organisation zugeordnet sind, und dass der Betrug an anderer Stelle reproduziert werden könnte.
Wir bestätigen, dass wir ein Update versenden konnten. Wir hätten alle externen Zugriffe sperren sollen, bestätigen es aber trotzdem. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
– timbeiko.eth (@TimBeiko), 23. Juni 2024
Letzten Endes ist alles gut, was gut ist: Es scheint keine Fälle von Drainage gegeben zu haben und bei dem Angriff wurden auch keine Kryptowährungen gestohlen.
Um ihre Nutzer vor dem Betrugsversuch zu warnen, hat die Ethereum Foundation Folgendes geschrieben:
„Eine Analyse der On-Chain-Transaktionen, die der Bedrohungsakteur zwischen dem Versand der E-Mail-Kampagne und der Blockierung der bösartigen Domain durchgeführt hat, scheint zu belegen, dass während dieser spezifischen Kampagne des Bedrohungsakteurs kein Opfer Geld verloren hat.“
Betrug und Exploit in der Kryptowelt: Hacker auf der Suche nach Sichtbarkeit und Zuverlässigkeit
Betrüger suchen ständig nach Möglichkeiten, über das offizielle Konto einer anerkannten und zuverlässigen Entität in der Kryptowelt Sichtbarkeit zu erlangen.
Der jüngste Angriffsversuch auf die Ethereum Foundation, mit der eine betrügerische Version von Lido beworben wurde, ist nur der jüngste in einer langen Reihe ähnlicher Episoden.
In einem Online-Kontext voller Nachrichten ist es für Hacker nicht einfach, aus der Masse hervorzustechen: Oft positionieren sie sich in den Kommentaren eines offiziellen Posts in der Hoffnung, von den Naiveren gesehen zu werden.
Der beste Weg, mehr Benutzer zu gewinnen, besteht jedoch darin, Zugriff auf ein zuverlässiges und von der Krypto-Community anerkanntes Kommunikationstool zu erhalten.
Diesmal war der Angriff erfolglos, weil die Ethereum Foundation einerseits schnell den Versand zahlreicher E-Mails blockierte. Andererseits dürften die anvisierten Ethereum-Abonnenten besonders gut vorbereitet und Experten in kryptografischen Themen sein, sodass sie sich nicht täuschen ließen.
In der Vergangenheit kam es allerdings bereits zu zahlreichen ähnlichen Betrugsversuchen: So wurde etwa am 26. Juni beispielsweise auch eine Marketing-E-Mail-Adresse des Blockchain-Netzwerks Hedera Hashgraph gehackt, um Betrugs-E-Mails zu versenden.
Am 23. Juni, also drei Tage zuvor, hatte ein Mitglied von MakerDAO 11 Millionen Dollar verloren, nachdem es mit einer gefälschten Web-App interagiert hatte.
Sogar auf der neuen Blockchain von TON scheinen Phishing-Angriffe zuzunehmen, bei denen böswillige Benutzer versuchen, die Popularitätsphasen des Netzwerks auszunutzen.
Generell ist die Zahl der im Juni in der Blockchain registrierten Diebstähle im Vergleich zu den im Mai beobachteten Diebstählen jedoch zurückgegangen, wie Peckshield berichtet.
Tatsächlich sanken die Kryptowährungsverluste in diesem Sinne im letzten Monat auf 176 Millionen Dollar, verglichen mit 385 Millionen Dollar im Mai.
Von 2016 bis heute belaufen sich die Hacks und Exploits laut einem Bericht von DeFiLlama auf insgesamt 8,3 Milliarden Dollar.