La Fondation Ethereum a vu son compte de messagerie piraté pour promouvoir une arnaque se faisant passer pour un système de jalonnement du Lido.
Selon une annonce récente, le compte de messagerie de la Fondation Ethereum utilisé pour envoyer les mises à jour officielles a été compromis le 23 juin.
Les attaquants ont utilisé l’adresse e-mail update@blog.ethereum.org pour envoyer des e-mails frauduleux à 35 794 adresses.
Dans l'e-mail, les utilisateurs sont tombés sur une annonce selon laquelle la Fondation Ethereum avait collaboré avec l'organisation autonome décentralisée du Lido (LidoDAO). Dans le cadre du partenariat, un rendement de 6,8 % sur l'Ether jalonné (stETH), l'Ether enveloppé (WETH) ou l'Ether
Des dépôts ETH étaient proposés.
"La collaboration exploite les forces des deux organisations pour fournir des liquidités importantes et des récompenses compétitives, améliorant ainsi votre expérience de jalonnement avec plus de 100 intégrations", indique un extrait de l'annonce.
En outre, il a ajouté que le service de jalonnement serait « protégé et vérifié » par la Fondation Ethereum.
Au bas de l'annonce se trouvait un bouton « Commencer le jalonnement ». En cliquant dessus, les utilisateurs seraient redirigés vers un site Web créé par les attaquants.
E-mail de phishing créé par le pirate informatique de la Fondation Ethereum | Source : blog de la Fondation Ethereum
Surnommé « Staking Launchpad », le site Web malveillant aurait utilisé un drain de cryptographie en arrière-plan. De plus, le site Web a été conçu pour avoir un aspect professionnel.
Le faux site Web est lié à l'e-mail envoyé par le pirate informatique | Source : blog de la Fondation Ethereum
Toute personne cliquant sur le bouton « Stake » sur le site Web sera invitée à approuver la transaction dans son portefeuille. S’il est approuvé, tous les fonds du compte de l’utilisateur seront drainés.
Vous aimerez peut-être aussi : La Fondation Ethereum effectue un transfert ETH de 13,3 millions de dollars, suscitant des spéculations sur le marché.
Aucun fonds perdu
Au moment de la rédaction de cet article, la fondation a déclaré avoir pris le contrôle de l'adresse e-mail compromise. Selon l’enquête de la fondation, aucun argent n’a été perdu lors de l’attaque.
"L'analyse des transactions en chaîne effectuées avec l'acteur menaçant entre le moment où il a envoyé la campagne par courrier électronique et le moment où le domaine malveillant a été bloqué semble montrer qu'aucune victime n'a perdu de fonds au cours de cette campagne spécifique envoyée par l'acteur menaçant", a noté la fondation. .
La fondation a également découvert que le pirate informatique avait mis en ligne une base de données contenant des adresses e-mail qui ne faisaient pas partie de la liste d’abonnés de la Fondation. En conséquence, plusieurs utilisateurs non abonnés ont également reçu l’e-mail frauduleux.
L’attaquant a également exporté les « adresses e-mail de la liste de diffusion du blog » contenant 3 759 adresses e-mail. Cependant, la liste ne contenait que 81 adresses e-mail, le reste étant des « adresses en double ».
Ainsi, on estime que l’attaque a compromis les adresses e-mail de 81 abonnés.
Parallèlement, la fondation a également contacté plusieurs fournisseurs de portefeuilles, listes noires et fournisseur DNS Cloudflare, exhortant ces plateformes à avertir les utilisateurs s'ils sont redirigés vers le site Web malveillant.
Le secteur des cryptomonnaies n’est pas étranger aux stratagèmes de phishing par courrier électronique.
Début juin, plusieurs personnalités clés de la cryptographie ont averti qu'un important fournisseur de courrier électronique était compromis et que les utilisateurs recevaient des escroqueries faisant la promotion de faux parachutages. Avant cela, les adresses e-mail de plusieurs entités importantes liées à la cryptographie étaient utilisées pour envoyer des e-mails de phishing.
Lire la suite : Les revenus sur un an d’Ethereum sont en tête du classement, atteignant 2,7 milliards de dollars