Secondo quanto riportato ieri dalla Ethereum Foundation, il 23 giugno il server di posta elettronica dell’organizzazione è stato compromesso per erogare un servizio di crypto staking truffa sul Lido.
Gli hacker hanno sfruttato gli oltre 35.000 indirizzi iscritti alla newsletter di Ethereum per promuovere un'e-mail di phishing con l'indirizzo ufficiale del gruppo.
Nel messaggio gli utenti sono stati invitati a puntare crypto su Lido approfittando di un incentivo di rendimento del 6,8%. Tuttavia, cliccando sulla piattaforma truffa, in realtà autorizzavano lo svuotamento del portafoglio
Vediamo nel dettaglio cosa è successo.
Violato il server di posta elettronica della Ethereum Foundation: crypto hacker pubblicizza una piattaforma truffa del Lido
Il 23 giugno un hacker ha fatto irruzione nel server di posta della Ethereum Foundation con l’intento di promuovere una truffa crittografica tra gli iscritti alla newsletter.
Secondo quanto riferito ieri dagli stessi addetti ai lavori dell'organizzazione, sarebbero stati inviati messaggi di phishing a 35.794 contatti contenenti link di drain.
Nel dettaglio il soggetto ha pubblicizzato un fake staking sul Lido con un rendimento particolarmente elevato pari al 6,8% su stETH, WETH ed ETH.
Per rendere l'annuncio più veritiero è stato utilizzato l'indirizzo email ufficiale della Ethereum Foundation Updates@blog.ethereum.org.
L'hacker ha dovuto anche giustificare la prestazione esagerata, essendo in realtà il 3% sulla piattaforma reale.
Per questo motivo scrive che Ethereum sta collaborando con Lido per offrire maggiori vantaggi alla comunità e che lo staking è “garantito e protetto”.
Facendo clic sul pulsante “inizia staking” nell’e-mail di phishing, gli utenti sono stati reindirizzati a una dapp truffa che imitava un’interfaccia simile a quella di Lido.
Fino a questo punto nulla di dannoso, nemmeno collegando in background il portafoglio al falso sito del Lido.
Tentando però di “scommettere” sull’applicazione fraudolenta, è arrivata una richiesta nel wallet, che se confermata avrebbe compromesso l’intero portafoglio.
Con un solo clic, tutti i fondi sarebbero stati drenati e inviati direttamente nelle tasche del truffatore.
Questa storia ci ricorda quanto sia importante controllare sempre il dominio della dapp che stiamo utilizzando effettuando sempre un doppio controllo.
Purtroppo non è sufficiente passare attraverso le fonti ufficiali perché, come in questo caso, anche queste possono essere compromesse.
La risposta post mortem di Ethereum all'attacco di phishing
La risposta della Fondazione Ethereum è avvenuta alcuni giorni dopo che la truffa crittografica è stata diffusa tramite la propria e-mail.
Il 2 luglio, con un post ufficiale, il core sviluppatore Tim Beiko ha spiegato cosa è successo alla sua community.
L'hacker avrebbe violato il provider di posta elettronica di Ethereum “SendPulse” riuscendo ad ottenere un accesso non autorizzato.
La fondazione sta ancora lavorando con SendPulse per risolvere il problema, ma sembra che per ora l'hack sia stato scongiurato.
Il malintenzionato non ha più accesso ai contatti dell'organizzazione di sviluppo di Ethereum e tutto sembra essere stato risolto.
Inoltre, il messaggio di truffa promosso è stato inoltrato a varie liste nere di fornitori di portafogli web3 per evitare problemi di contaminazione.
L’aggressore ha infatti esportato circa 3.759 indirizzi dalla mailing list del blog, probabilmente con l’intento di utilizzarli per altre truffe.
Successivamente, a seguito di ulteriori indagini, Ethereum ha scoperto l’esistenza di un database contenente nuovi indirizzi email non presenti nell’elenco delle aziende.
Come scritto testualmente da Beiko:
"la mailing list del blog conteneva 81 indirizzi e-mail di cui l'autore della minaccia non era a conoscenza in precedenza e il resto erano indirizzi duplicati."
Ciò significa che alcuni utenti non abbandonati all'organizzazione potrebbero aver ricevuto l'email di phishing e che la truffa potrebbe essere stata riprodotta altrove.
Confermando che siamo riusciti a inviare un aggiornamento. Avremmo dovuto bloccare tutti gli accessi esterni, ma confermavamo comunque. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
- timbeiko.eth (@TimBeiko) 23 giugno 2024
Alla fine, tutto è bene quel che finisce bene: non sembra che ci siano stati casi di draining e nessuna crypto sia stata sottratta all’attacco.
La Ethereum Foundation ha scritto quanto segue per rassicurare i propri utenti dal tentativo di truffa:
"L'analisi delle transazioni on-chain effettuate dall'autore della minaccia tra il momento in cui ha inviato la campagna e-mail e il momento in cui il dominio dannoso è stato bloccato, sembra dimostrare che nessuna vittima ha perso fondi durante questa specifica campagna inviata dall'autore della minaccia."
Scam e exploit nel mondo crypto: hacker in cerca di visibilità e affidabilità
I truffatori sono costantemente alla ricerca di opportunità per ottenere visibilità attraverso l'account ufficiale di un'entità riconosciuta e affidabile nel mondo delle criptovalute.
L'ultimo tentativo di attacco alla Ethereum Foundation, con cui è stata promossa una versione truffa del Lido, è solo l'ultimo di una lunga serie di episodi simili.
In un contesto online ricco di messaggi, non è facile per gli hacker distinguersi dalla massa: spesso infatti si posizionano nei commenti di un post ufficiale nella speranza di essere visti dai più ingenui.
Ottenere l’accesso a uno strumento di comunicazione affidabile e riconosciuto dalla comunità crypto è, tuttavia, il metodo migliore per attirare più utenti.
Questa volta l'attacco non ha avuto successo perché da un lato la Ethereum Foundation si è affrettata a bloccare l'invio di numerose e-mail. D’altronde probabilmente il target degli abbonati Ethereum è particolarmente preparato ed esperto in tematiche crittografiche, quindi non si sono lasciati ingannare.
In passato però si sono verificati molti tentativi di truffa simili: il 26 giugno è stato violato anche un indirizzo e-mail di marketing della rete blockchain Hedera Hashgraph per inviare e-mail truffa.
il 23 giugno, 3 giorni prima, un membro di MakerDAO aveva perso 11 milioni di dollari dopo aver interagito con una web app falsa.
Anche sulla nuova blockchain di TON sembra che gli attacchi di phishing siano in aumento, con utenti malintenzionati che cercano di sfruttare i periodi di popolarità della rete.
In generale però, come riportato da Peckshield, i furti registrati su blockchain nel mese di giugno sono diminuiti rispetto a quelli osservati a maggio.
Le perdite crittografiche in questo senso, infatti, sono scese il mese scorso a 176 milioni di dollari, rispetto ai 385 milioni di dollari di maggio.
Dal 2016 ad oggi, secondo quanto riportato da DeFiLlama, gli hack e gli exploit ammontano complessivamente a 8,3 miliardi di dollari.