Hơn 35.000 địa chỉ email đã bị tấn công bởi một email giả mạo chương trình staking của Lido, được gửi từ tài khoản email chính thức của Ethereum Foundation.

Vào ngày 23/6, Ethereum Foundation đã phát thông báo khẩn cấp về việc tài khoản email chính thức của tổ chức là updates@blog.ethereum.org đã bị tấn công. Kẻ tấn công đã lợi dụng quyền truy cập vào tài khoản này để gửi email lừa đảo đến 35.794 địa chỉ, trong đó quảng cáo về chương trình staking “hợp tác” giữa Ethereum Foundation và LidoDAO, nền tảng cung cấp dịch vụ staking phi tập trung nổi tiếng.

Theo nội dung email, chương trình “hợp tác” này hứa hẹn mang đến cho người dùng lợi nhuận lên đến 6.8% khi stake các loại tài sản như ETH, stETH và WETH. Để tăng thêm tính thuyết phục, email giả mạo còn nhấn mạnh dịch vụ staking này “được bảo vệ và xác minh” bởi Ethereum Foundation, qua đó lợi dụng uy tín của tổ chức để đánh lừa người dùng.

Email giả mạo được gửi tới người dùng từ hacker

Email được thiết kế tinh vi và sử dụng ngôn ngữ chuyên nghiệp để tạo sự tin tưởng khiến người dùng bị dẫn dụ click vào nút “Begin Staking” ở cuối email, dẫn đến một trang web giả mạo có tên “Staking Launchpad”. Trang web này được thiết kế để đánh cắp tiền từ ví của người dùng khi họ thực hiện thao tác “Stake”.

Giao diện của trang web Ethereum Foundation bị giả mạo

Ngay sau khi phát hiện vụ việc, Ethereum Foundation đã nhanh chóng vào cuộc, giành lại quyền kiểm soát tài khoản email bị xâm phạm và tiến hành điều tra quy mô tấn công. Theo thông tin từ phía Ethereum Foundation, hiện tại chưa ghi nhận trường hợp nào bị mất tiền do vụ tấn công email này. Tuy nhiên, tổ chức cũng tiết lộ một số thông tin đáng quan ngại về cách thức kẻ tấn công thu thập địa chỉ email.

Cụ thể, Ethereum Foundation phát hiện kẻ tấn công đã tải lên một cơ sở dữ liệu chứa địa chỉ email không có trong danh sách người đăng ký của Ethereum Foundation. Điều này đồng nghĩa với việc không chỉ những người đăng ký nhận email cập nhật từ Ethereum Foundation mới là mục tiêu của vụ tấn công, mà nhiều người dùng khác cũng có nguy cơ trở thành nạn nhân.

Ngoài ra, hacker cũng đã xuất danh sách email “blog mailing list email addresses” chứa 3.759 địa chỉ. Tuy nhiên, danh sách này chỉ chứa 81 địa chỉ email duy nhất, số còn lại là “địa chỉ trùng lặp”. Do đó, ước tính chỉ có 81 người đăng ký thực sự bị ảnh hưởng bởi vụ tấn công này.

Để ngăn chặn thiệt hại lan rộng, Ethereum Foundation đã liên hệ với các nhà cung cấp ví, các tổ chức duy trì danh sách đen website độc hại và nhà cung cấp DNS Cloudflare để yêu cầu cảnh báo người dùng về trang web “Staking Launchpad” giả mạo.

Vụ việc một lần nữa gióng lên hồi chuông cảnh báo về tình trạng lừa đảo phishing qua email trong ngành công nghiệp tiền mã hoá. Để bảo vệ tài sản của mình, người dùng cần nâng cao cảnh giác trước các email đáng ngờ, đặc biệt là những email yêu cầu cung cấp thông tin cá nhân hoặc liên kết đến các trang web lạ. Luôn kiểm tra kỹ địa chỉ email của người gửi và liên hệ trực tiếp với tổ chức liên quan để xác minh thông tin trước khi thực hiện bất kỳ giao dịch nào.