De acordo com o que foi relatado ontem pela Fundação Ethereum, em 23 de junho o servidor de e-mail da organização foi comprometido para entregar um serviço fraudulento de criptografia no Lido.
Os hackers exploraram os mais de 35 mil endereços inscritos na newsletter Ethereum para promover um e-mail de phishing com o endereço oficial do grupo.
Na mensagem, os usuários foram convidados a apostar criptografia no Lido aproveitando um incentivo de rendimento de 6,8%. Porém, ao clicar na plataforma do golpe, eles estavam na verdade autorizando o esgotamento da carteira
Vamos ver em detalhes o que aconteceu.
Invadiu o servidor de e-mail da Fundação Ethereum: hacker cripto anuncia plataforma fraudulenta Lido
Em 23 de junho, um hacker invadiu o servidor de e-mail da Fundação Ethereum com a intenção de promover um esquema criptográfico para os assinantes do boletim informativo.
De acordo com o que foi relatado ontem pelos mesmos membros da organização, foram enviadas mensagens de phishing para 35.794 contatos contendo links de drenagem.
Em detalhes, o assunto anunciava uma aposta falsa no Lido com um rendimento particularmente alto de 6,8% em stETH, WETH e ETH.
Para tornar o anúncio mais verdadeiro, foi utilizado o endereço de e-mail oficial da Fundação Ethereum updates@blog.ethereum.org.
O hacker também teve que justificar o desempenho exagerado, sendo na verdade 3% na plataforma real.
Por esse motivo, ele escreveu que o Ethereum estava colaborando com o Lido para oferecer mais benefícios à comunidade e que o staking estava “garantido e protegido”.
Ao clicar no botão “começar a apostar” no e-mail de phishing, os usuários foram redirecionados para um dapp fraudulento que imitava uma interface semelhante à do Lido.
Até o momento, nada prejudicial, até mesmo conectar a carteira ao site falso do Lido em segundo plano.
Porém, ao tentar “apostar” no aplicativo fraudulento, foi recebida uma solicitação na carteira, que se confirmada comprometeria toda a carteira.
Com um único clique, todos os fundos teriam sido drenados e enviados diretamente para o bolso do golpista.
Esta história nos lembra como é importante sempre verificar o domínio do dapp que estamos usando, sempre fazendo uma verificação dupla.
Infelizmente, não basta recorrer às fontes oficiais porque, como neste caso, também elas podem ser comprometidas.
A resposta post-mortem do Ethereum ao ataque de phishing
A resposta da Fundação Ethereum demorou alguns dias depois que o esquema criptográfico foi divulgado em seu próprio e-mail.
No dia 2 de julho, em postagem oficial, o desenvolvedor principal Tim Beiko explicou o que aconteceu com sua comunidade.
O hacker supostamente violou o provedor de e-mail Ethereum “SendPulse”, conseguindo obter acesso não autorizado.
A fundação ainda está trabalhando com o SendPulse para corrigir o problema, mas parece que por enquanto o hack foi evitado.
O ator malicioso não tem mais acesso aos contatos da organização de desenvolvimento Ethereum e tudo parece ter sido resolvido.
Além disso, a mensagem fraudulenta promovida foi encaminhada para várias listas negras de fornecedores de carteiras web3 para evitar problemas de contaminação.
De fato, o invasor exportou cerca de 3.759 endereços da lista de e-mails do blog, provavelmente com a intenção de usá-los para outros golpes.
Então, após investigações adicionais, Ethereum descobriu a existência de um banco de dados contendo novos endereços de e-mail não incluídos na lista da empresa.
Conforme escrito literalmente por Beiko:
“a lista de discussão do blog continha 81 endereços de e-mail dos quais o autor da ameaça não tinha conhecimento anteriormente e o restante eram endereços duplicados.”
Isso significa que alguns usuários não abandonados à organização podem ter recebido o e-mail de phishing e o golpe pode ter sido reproduzido em outro lugar.
Confirmando que conseguimos enviar uma atualização. Devíamos ter bloqueado todos os acessos externos, mas ainda confirmando. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
-timbeiko.eth (@TimBeiko) 23 de junho de 2024
No final das contas, tudo está bem quando acaba bem: não parece que tenha havido nenhum caso de drenagem e nenhuma criptografia foi roubada no ataque.
A Fundação Ethereum escreveu o seguinte para tranquilizar seus usuários contra a tentativa de golpe:
“A análise das transações em cadeia realizadas pelo ator da ameaça entre o momento em que enviou a campanha de e-mail e o momento em que o domínio malicioso foi bloqueado parece demonstrar que nenhuma vítima perdeu fundos durante esta campanha específica enviada pelo ator da ameaça.”
Golpe e exploração no mundo criptográfico: hackers em busca de visibilidade e confiabilidade
Os golpistas estão constantemente em busca de oportunidades para ganhar visibilidade por meio da conta oficial de uma entidade reconhecida e confiável no mundo criptográfico.
A última tentativa de ataque à Fundação Ethereum, com a qual foi promovida uma versão fraudulenta do Lido, é apenas a mais recente de uma longa série de episódios semelhantes.
Num contexto online repleto de mensagens, não é fácil para os hackers se destacarem da multidão: muitas vezes, de facto, posicionam-se nos comentários de uma publicação oficial na esperança de serem vistos pelos mais ingénuos.
Obter acesso a uma ferramenta de comunicação confiável e reconhecida pela comunidade criptográfica é, no entanto, o melhor método para atrair mais usuários.
Desta vez o ataque não teve sucesso porque, por um lado, a Fundação Ethereum foi rápida em bloquear o envio de vários e-mails. Por outro lado, provavelmente o alvo dos assinantes do Ethereum é particularmente preparado e especialista em temas criptográficos, por isso não se deixaram enganar.
No passado, entretanto, houve muitas tentativas semelhantes de fraude: em 26 de junho, um endereço de e-mail de marketing da rede blockchain Hedera Hashgraph também foi hackeado para enviar e-mails fraudulentos.
em 23 de junho, três dias antes, um membro da MakerDAO havia perdido 11 milhões de dólares após interagir com um aplicativo da web falso.
Mesmo na nova blockchain da TON parece que os ataques de phishing estão aumentando, com usuários mal-intencionados tentando aproveitar os períodos de popularidade da rede.
Em geral, porém, conforme relatado pela Peckshield, os roubos registrados na blockchain em junho diminuíram em comparação com os observados em maio.
Na verdade, as perdas criptográficas neste sentido caíram para 176 milhões de dólares no mês passado, em comparação com 385 milhões de dólares em maio.
De 2016 até hoje, conforme relatado pelo DeFiLlama, os hacks e explorações totalizam 8,3 bilhões de dólares.