Selon ce qui a été rapporté hier par la Fondation Ethereum, le 23 juin, le serveur de messagerie de l'organisation a été compromis afin de fournir un service frauduleux de jalonnement cryptographique sur le Lido.
Les pirates ont exploité les plus de 35 000 adresses inscrites à la newsletter Ethereum pour promouvoir un e-mail de phishing contenant l'adresse officielle du groupe.
Dans le message, les utilisateurs ont été invités à miser des crypto-monnaies sur Lido en profitant d'un rendement incitatif de 6,8 %. Or, en cliquant sur la plateforme frauduleuse, ils autorisaient en réalité la vidange du portefeuille.
Voyons en détail ce qui s'est passé.
Violation du serveur de messagerie de la Fondation Ethereum : un pirate informatique fait la publicité d'une plateforme d'arnaque du Lido
Le 23 juin, un pirate informatique a pénétré par effraction dans le serveur de messagerie de la Fondation Ethereum dans le but de promouvoir une arnaque cryptographique auprès des abonnés à la newsletter.
Selon ce qui a été rapporté hier par les mêmes internes de l'organisation, des messages de phishing ont été envoyés à 35 794 contacts contenant des liens de drainage.
Dans le détail, le sujet annonçait un faux staking sur Lido avec un rendement particulièrement élevé de 6,8% sur stETH, WETH et ETH.
Pour rendre l'annonce plus véridique, l'adresse e-mail officielle de la Fondation Ethereum mises à jour@blog.ethereum.org a été utilisée.
Le hacker a également dû justifier les performances exagérées, qui sont en réalité de 3 % sur la plateforme réelle.
Pour cette raison, il a écrit qu’Ethereum collaborait avec le Lido pour offrir plus d’avantages à la communauté et que le jalonnement était « garanti et protégé ».
En cliquant sur le bouton « commencer le staking » dans l’e-mail de phishing, les utilisateurs ont été redirigés vers une application frauduleuse qui imitait une interface similaire à celle du Lido.
Jusqu’à présent, rien de nuisible, même en connectant le portefeuille au faux site du Lido en arrière-plan.
Cependant, en essayant de « miser » sur la demande frauduleuse, une demande a été reçue dans le portefeuille, qui, si elle était confirmée, compromettrait l'ensemble du portefeuille.
D’un simple clic, tous les fonds auraient été drainés et envoyés directement dans les poches de l’escroc.
Cette histoire nous rappelle à quel point il est important de toujours vérifier le domaine de la dapp que nous utilisons en effectuant toujours une double vérification.
Malheureusement, il ne suffit pas de recourir à des sources officielles car, comme dans ce cas, elles peuvent elles aussi être compromises.
La réponse post-mortem d'Ethereum à l'attaque de phishing
La réponse de la Fondation Ethereum a pris quelques jours après la diffusion de l’arnaque cryptographique avec son propre e-mail.
Le 2 juillet, dans un message officiel, le développeur principal Tim Beiko a expliqué ce qui est arrivé à sa communauté.
Le pirate informatique aurait violé le fournisseur de messagerie d’Ethereum « SendPulse », réussissant à obtenir un accès non autorisé.
La fondation travaille toujours avec SendPulse pour résoudre le problème, mais il semble que pour l'instant le piratage ait été évité.
L’acteur malveillant n’a plus accès aux contacts de l’organisation de développement Ethereum et tout semble réglé.
De plus, le message frauduleux promu a été transmis à diverses listes noires de fournisseurs de portefeuilles Web3 afin d'éviter les problèmes de contamination.
L’attaquant a en effet exporté environ 3 759 adresses de la liste de diffusion du blog, probablement dans l’intention de les utiliser pour d’autres escroqueries.
Puis, suite à des investigations plus approfondies, Ethereum a découvert l’existence d’une base de données contenant de nouvelles adresses email ne figurant pas dans la liste des entreprises.
Comme l'écrit textuellement Beiko :
"La liste de diffusion du blog contenait 81 adresses e-mail dont l'auteur de la menace n'avait pas connaissance auparavant et le reste étaient des adresses en double."
Cela signifie que certains utilisateurs non abandonnés à l'organisation pourraient avoir reçu l'e-mail de phishing et que l'arnaque aurait pu être reproduite ailleurs.
Confirmant que nous avons réussi à envoyer une mise à jour. Nous aurions dû verrouiller tous les accès externes, mais nous confirmons toujours. https://t.co/QJJPSW2fuY pic.twitter.com/sqlL4EmJbc
– timbeiko.eth (@TimBeiko) 23 juin 2024
Au final, tout est bien qui finit bien : il ne semble pas y avoir eu de cas de drainage et aucune crypto n’a été volée lors de l’attaque.
La Fondation Ethereum a écrit ce qui suit pour rassurer ses utilisateurs contre la tentative d'arnaque :
"L'analyse des transactions en chaîne effectuées par l'acteur menaçant entre le moment où il a envoyé la campagne par e-mail et le moment où le domaine malveillant a été bloqué, semble démontrer qu'aucune victime n'a perdu de fonds au cours de cette campagne spécifique envoyée par l'acteur menaçant."
Arnaque et exploit dans le monde crypto : les hackers en quête de visibilité et de fiabilité
Les fraudeurs sont constamment à la recherche d’opportunités pour gagner en visibilité grâce au compte officiel d’une entité reconnue et fiable dans le monde de la cryptographie.
La dernière tentative d’attaque contre la Fondation Ethereum, avec laquelle une version frauduleuse du Lido a été promue, n’est que la dernière d’une longue série d’épisodes similaires.
Dans un contexte en ligne saturé de messages, il n'est pas facile pour les hackers de se démarquer : souvent ils se positionnent d'ailleurs dans les commentaires d'un post officiel dans l'espoir d'être vus par les plus naïfs.
Obtenir l’accès à un outil de communication fiable et reconnu par la communauté crypto est pourtant la meilleure méthode pour attirer davantage d’utilisateurs.
Cette fois, l’attaque a échoué car, d’une part, la Fondation Ethereum a rapidement bloqué l’envoi de nombreux e-mails. D’un autre côté, la cible des abonnés Ethereum est probablement particulièrement préparée et experte en matière de cryptographie, ils n’ont donc pas été dupes.
Cependant, de nombreuses tentatives d'escroquerie similaires ont eu lieu dans le passé : le 26 juin, une adresse e-mail marketing du réseau blockchain Hedera Hashgraph a également été piratée pour envoyer des e-mails frauduleux.
le 23 juin, 3 jours plus tôt, un membre de MakerDAO avait perdu 11 millions de dollars après avoir interagi avec une fausse application web.
Même sur la nouvelle blockchain de TON, il semble que les attaques de phishing se multiplient, les utilisateurs malveillants tentant de profiter des périodes de popularité du réseau.
Mais de manière générale, comme le rapporte Peckshield, les vols enregistrés sur la blockchain en juin ont diminué par rapport à ceux observés en mai.
En effet, les pertes cryptographiques dans ce sens sont tombées à 176 millions de dollars le mois dernier, contre 385 millions de dollars en mai.
De 2016 à aujourd’hui, comme le rapporte DeFiLlama, les piratages et exploits s’élèvent au total à 8,3 milliards de dollars.