Zgodnie z tym, co poinformowała wczoraj Fundacja Ethereum, 23 czerwca serwer poczty e-mail tej organizacji został przejęty w celu dostarczenia oszukańczej usługi stakingu kryptowalut na Lido.
Hakerzy wykorzystali ponad 35 000 adresów subskrybowanych do biuletynu Ethereum w celu promowania wiadomości e-mail phishingowej zawierającej oficjalny adres grupy.
W wiadomości użytkownicy zostali zaproszeni do postawienia kryptowalut na Lido, korzystając z zachęty do zwrotu wynoszącej 6,8%. Jednak klikając na platformę oszustwa, w rzeczywistości zezwalali na opróżnienie portfela
Zobaczmy szczegółowo, co się stało.
Włamał się na serwer e-mail Fundacji Ethereum: haker kryptowalut reklamuje platformę oszustwa Lido
23 czerwca haker włamał się na serwer pocztowy Fundacji Ethereum z zamiarem promowania oszustwa kryptowalutowego wśród subskrybentów biuletynu.
Według tego, co wczoraj zgłosili ci sami informatorzy organizacji, wiadomości phishingowe zostały wysłane do 35 794 kontaktów zawierających linki drenażowe.
Szczegółowo podmiot reklamował fałszywe obstawianie na Lido ze szczególnie wysokim zyskiem wynoszącym 6,8% na stETH, WETH i ETH.
Aby ogłoszenie było jak najbardziej zgodne z prawdą, wykorzystano oficjalny adres e-mail Fundacji Ethereum opens@blog.ethereum.org.
Haker musiał także uzasadnić przesadną wydajność, która w rzeczywistości wynosiła 3% na prawdziwej platformie.
Z tego powodu napisał, że Ethereum współpracuje z Lido, aby zaoferować społeczności więcej korzyści, a stakowanie jest „gwarantowane i chronione”.
Klikając przycisk „rozpocznij stakowanie” w wiadomości phishingowej, użytkownicy byli przekierowywani do oszukańczej aplikacji, która naśladowała interfejs podobny do aplikacji Lido.
Do tego momentu nic szkodliwego, nawet połączenie portfela z fałszywą stroną Lido w tle.
Jednak podczas próby „postawienia” na fałszywą aplikację do portfela wpłynęło żądanie, które w przypadku potwierdzenia zagroziłoby całemu portfelowi.
Za pomocą jednego kliknięcia wszystkie środki zostałyby wyczerpane i przesłane bezpośrednio do kieszeni oszusta.
Ta historia przypomina nam, jak ważne jest, aby zawsze sprawdzać domenę dapp, którego używamy, zawsze wykonując podwójną kontrolę.
Niestety nie wystarczy sięgnąć do oficjalnych źródeł, gdyż tak jak w tym przypadku i one mogą zostać naruszone.
Sekcja zwłok Ethereum na atak phishingowy
Odpowiedź Fundacji Ethereum zajęła kilka dni po rozesłaniu oszustwa związanego z kryptowalutami za pośrednictwem ich własnych e-maili.
2 lipca w oficjalnym poście główny programista Tim Beiko wyjaśnił, co stało się z jego społecznością.
Haker rzekomo włamał się do dostawcy poczty e-mail Ethereum „SendPulse”, uzyskując nieautoryzowany dostęp.
Fundacja nadal współpracuje z SendPulse, aby rozwiązać problem, ale wydaje się, że na razie udało się uniknąć włamania.
Złośliwy aktor nie ma już dostępu do kontaktów organizacji zajmującej się rozwojem Ethereum i wydaje się, że wszystko zostało rozwiązane.
Co więcej, promowana wiadomość o oszustwie została przekazana na różne czarne listy dostawców portfeli web3, aby uniknąć problemów z zanieczyszczeniem.
Osoba atakująca rzeczywiście wyeksportowała około 3759 adresów z listy mailingowej bloga, prawdopodobnie z zamiarem wykorzystania ich do innych oszustw.
Następnie, po dalszych dochodzeniach, Ethereum odkryło istnienie bazy danych zawierającej nowe adresy e-mail, które nie znajdują się na liście firm.
Jak dosłownie napisała Beiko:
„lista mailingowa bloga zawierała 81 adresów e-mail, o których podmiot zagrażający nie był wcześniej świadomy, a reszta to zduplikowane adresy”.
Oznacza to, że niektórzy użytkownicy, którzy nie zostali pozostawieni w organizacji, mogli otrzymać wiadomość phishingową, a oszustwo mogło zostać odtworzone gdzie indziej.
Potwierdzam, że udało nam się wysłać aktualizację. Powinniśmy byli zablokować cały dostęp zewnętrzny, ale nadal potwierdzamy. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
— timbeiko.eth (@TimBeiko) 23 czerwca 2024 r
Ostatecznie wszystko dobre, co się dobrze kończy: nie wydaje się, aby miały miejsce jakiekolwiek przypadki drenażu i żadna kryptowaluta nie została skradziona w wyniku ataku.
Fundacja Ethereum napisała, co następuje, aby uspokoić swoich użytkowników przed próbą oszustwa:
„Analiza transakcji w łańcuchu przeprowadzonych przez ugrupowanie zagrażające od momentu wysłania kampanii e-mailowej do momentu zablokowania złośliwej domeny wydaje się wykazywać, że żadna ofiara nie straciła środków podczas tej konkretnej kampanii wysłanej przez ugrupowanie zagrażające”.
Oszustwo i exploit w świecie kryptowalut: hakerzy poszukujący widoczności i niezawodności
Oszuści nieustannie szukają możliwości zdobycia widoczności poprzez oficjalne konto uznanego i wiarygodnego podmiotu w świecie kryptowalut.
Najnowsza próba ataku na Fundację Ethereum, za pomocą której promowana była oszukańcza wersja Lido, jest tylko ostatnią z długiej serii podobnych epizodów.
W kontekście internetowym pełnym wiadomości hakerom nie jest łatwo wyróżnić się z tłumu: często wręcz umieszczają się w komentarzach do oficjalnego posta w nadziei, że dostrzegą ich bardziej naiwni.
Uzyskanie dostępu do niezawodnego i uznanego narzędzia komunikacji przez społeczność kryptograficzną jest jednak najlepszą metodą na przyciągnięcie większej liczby użytkowników.
Tym razem atak nie powiódł się, ponieważ z jednej strony Fundacja Ethereum szybko zablokowała wysyłanie licznych e-maili. Z drugiej strony prawdopodobnie grupa docelowa abonentów Ethereum jest szczególnie przygotowana i zna się na tematyce kryptograficznej, więc nie dali się oszukać.
Jednak w przeszłości miało miejsce wiele podobnych prób oszustwa: 26 czerwca włamano się również na marketingowy adres e-mail sieci Blockchain Hedera Hashgraph w celu wysyłania oszukańczych wiadomości e-mail.
23 czerwca, 3 dni wcześniej, członek MakerDAO stracił 11 milionów dolarów po interakcji z fałszywą aplikacją internetową.
Wydaje się, że nawet na nowym blockchainie TON liczba ataków phishingowych rośnie, a szkodliwi użytkownicy próbują wykorzystać okresy popularności sieci.
Ogólnie jednak, jak podaje Peckshield, kradzieże odnotowane na blockchainie w czerwcu spadły w porównaniu do tych odnotowanych w maju.
Tak naprawdę straty kryptograficzne w tym sensie spadły w zeszłym miesiącu do 176 milionów dolarów w porównaniu do 385 milionów dolarów w maju.
Jak podaje DeFiLlama, od 2016 r. do chwili obecnej wartość hacków i exploitów wyniosła łącznie 8,3 miliarda dolarów.