Según lo informado ayer por la Fundación Ethereum, el 23 de junio el servidor de correo electrónico de la organización se vio comprometido para ofrecer un servicio fraudulento de apuestas criptográficas en Lido.
Los piratas informáticos explotaron las más de 35.000 direcciones suscritas al boletín de Ethereum para promocionar un correo electrónico de phishing con la dirección oficial del grupo.
En el mensaje, se invitaba a los usuarios a apostar criptomonedas en Lido aprovechando un incentivo de rendimiento del 6,8%. Sin embargo, al hacer clic en la plataforma fraudulenta, en realidad estaban autorizando el vaciado de la billetera.
Veamos en detalle qué pasó.
Violó el servidor de correo electrónico de la Fundación Ethereum: un hacker criptográfico anuncia una plataforma de estafa Lido
El 23 de junio, un hacker irrumpió en el servidor de correo de la Fundación Ethereum con la intención de promover una estafa criptográfica entre los suscriptores del boletín.
Según informaron ayer los mismos conocedores de la organización, se enviaron mensajes de phishing a 35.794 contactos que contenían enlaces de drenaje.
En detalle, el sujeto anunciaba una apuesta falsa en Lido con un rendimiento particularmente alto del 6,8% en stETH, WETH y ETH.
Para que el anuncio sea más veraz, se utilizó la dirección de correo electrónico oficial de la Fundación Ethereum actualizaciones@blog.ethereum.org.
El hacker también tuvo que justificar el rendimiento exagerado, siendo en realidad del 3% en la plataforma real.
Por esta razón, escribió que Ethereum estaba colaborando con Lido para ofrecer más beneficios a la comunidad, y que el stake estaba “garantizado y protegido”.
Al hacer clic en el botón "comenzar a apostar" en el correo electrónico de phishing, los usuarios eran redirigidos a una dapp fraudulenta que imitaba una interfaz similar a la de Lido.
Hasta este punto, nada dañino, incluso conectar la billetera al sitio web falso de Lido en segundo plano.
Sin embargo, al intentar “apostar” la aplicación fraudulenta, se recibió una solicitud en la billetera, que de confirmarse comprometería toda la cartera.
Con un solo clic, todos los fondos habrían sido drenados y enviados directamente a los bolsillos del estafador.
Esta historia nos recuerda lo importante que es verificar siempre el dominio de la dapp que estamos usando haciendo siempre una doble verificación.
Desafortunadamente, no basta con consultar las fuentes oficiales porque, como en este caso, también pueden verse comprometidas.
La respuesta post mortem de Ethereum al ataque de phishing
La respuesta de la Fundación Ethereum tardó unos días después de que la estafa criptográfica circulara en su propio correo electrónico.
El 2 de julio, en una publicación oficial, el desarrollador principal Tim Beiko explicó lo que pasó con su comunidad.
El hacker supuestamente violó el proveedor de correo electrónico de Ethereum “SendPulse” y logró obtener acceso no autorizado.
La fundación todavía está trabajando con SendPulse para solucionar el problema, pero parece que por ahora el hack se ha evitado.
El actor malicioso ya no tiene acceso a los contactos de la organización de desarrollo de Ethereum y todo parece haberse resuelto.
Además, el mensaje fraudulento promocionado se ha reenviado a varias listas negras de proveedores de billeteras web3 para evitar problemas de contaminación.
De hecho, el atacante ha exportado alrededor de 3.759 direcciones de la lista de correo del blog, probablemente con la intención de utilizarlas para otras estafas.
Luego, tras nuevas investigaciones, Ethereum descubrió la existencia de una base de datos que contenía nuevas direcciones de correo electrónico no incluidas en la lista de la empresa.
Como está escrito palabra por palabra por Beiko:
"La lista de correo del blog contenía 81 direcciones de correo electrónico que el actor de la amenaza no conocía previamente y el resto eran direcciones duplicadas".
Esto significa que algunos usuarios que no fueron abandonados en la organización podrían haber recibido el correo electrónico de phishing y que la estafa podría haberse reproducido en otro lugar.
Confirmando que logramos enviar una actualización. Deberíamos haber bloqueado todos los accesos externos, pero aún así lo confirmamos. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
– timbeiko.eth (@TimBeiko) 23 de junio de 2024
Al final, está bien lo que bien acaba: no parece que haya habido ningún caso de drenaje y no se haya robado ninguna criptografía del ataque.
La Fundación Ethereum ha escrito lo siguiente para tranquilizar a sus usuarios ante el intento de estafa:
"El análisis de las transacciones en cadena realizadas por el actor de amenazas entre el momento en que envió la campaña de correo electrónico y el momento en que se bloqueó el dominio malicioso parece demostrar que ninguna víctima perdió fondos durante esta campaña específica enviada por el actor de amenazas".
Estafa y exploit en el mundo cripto: hackers en busca de visibilidad y confiabilidad
Los estafadores buscan constantemente oportunidades para ganar visibilidad a través de la cuenta oficial de una entidad reconocida y confiable en el mundo criptográfico.
El último intento de ataque a la Fundación Ethereum, con el que se promocionó una versión fraudulenta de Lido, es sólo el último de una larga serie de episodios similares.
En un contexto online lleno de mensajes, no es fácil para los hackers destacar entre la multitud: a menudo, de hecho, se posicionan en los comentarios de una publicación oficial con la esperanza de ser vistos por los más ingenuos.
Sin embargo, obtener acceso a una herramienta de comunicación confiable y reconocida por la comunidad criptográfica es el mejor método para atraer a más usuarios.
Esta vez el ataque no tuvo éxito porque, por un lado, la Fundación Ethereum se apresuró a bloquear el envío de numerosos correos electrónicos. Por otro lado, probablemente el objetivo de los suscriptores de Ethereum esté especialmente preparado y sea experto en temas criptográficos, por lo que no se dejaron engañar.
Sin embargo, en el pasado ha habido muchos intentos de estafa similares: el 26 de junio, una dirección de correo electrónico de marketing de la red blockchain Hedera Hashgraph también fue pirateada para enviar correos electrónicos fraudulentos.
El 23 de junio, 3 días antes, un miembro de MakerDAO había perdido 11 millones de dólares tras interactuar con una aplicación web falsa.
Incluso en la nueva cadena de bloques de TON parece que los ataques de phishing están aumentando, y los usuarios malintencionados intentan aprovechar los períodos de popularidad de la red.
Sin embargo, en general, como informa Peckshield, los robos registrados en blockchain en junio han disminuido en comparación con los observados en mayo.
De hecho, las pérdidas criptográficas en este sentido cayeron hasta los 176 millones de dólares el mes pasado, frente a los 385 millones de dólares de mayo.
Desde 2016 hasta hoy, según informa DeFiLlama, los hacks y exploits ascienden en total a 8.300 millones de dólares.
