Conform celor raportate ieri de Fundația Ethereum, pe 23 iunie, serverul de e-mail al organizației a fost compromis pentru a oferi un serviciu de cripto staking înșelătorie pe Lido.
Hackerii au exploatat cele peste 35.000 de adrese abonate la newsletter-ul Ethereum pentru a promova un e-mail de phishing cu adresa oficială a grupului.
În mesaj, utilizatorii au fost invitați să mizeze cripto pe Lido, profitând de un stimulent de randament de 6,8%. Cu toate acestea, făcând clic pe platforma de escrocherie, ei autorizau de fapt drenarea portofelului
Să vedem în detaliu ce s-a întâmplat.
S-a încălcat serverul de e-mail al Fundației Ethereum: hackerul cripto face publicitate unei platforme de înșelătorie Lido
Pe 23 iunie, un hacker a pătruns în serverul de e-mail al Fundației Ethereum cu intenția de a promova o înșelătorie cripto abonaților la newsletter.
Potrivit celor raportate ieri de aceiași persoane din interiorul organizației, mesaje de phishing au fost trimise către 35.794 de contacte care conțineau link-uri de scurgere.
În detaliu, subiectul a făcut publicitate unei mize false pe Lido cu un randament deosebit de mare de 6,8% pe stETH, WETH și ETH.
Pentru a face anunțul mai veridic, a fost folosită adresa de e-mail oficială a Fundației Ethereum updates@blog.ethereum.org.
Hackerul a trebuit să justifice și performanța exagerată, fiind de fapt 3% pe platforma reală.
Din acest motiv, el a scris că Ethereum colaborează cu Lido pentru a oferi mai multe beneficii comunității și că miza a fost „garantată și protejată”.
Făcând clic pe butonul „Începeți miza” din e-mailul de phishing, utilizatorii au fost redirecționați către o aplicație înșelătorie care imita o interfață similară cu cea a lui Lido.
Până în acest moment, nimic dăunător, chiar și conectarea portofelului la site-ul fals Lido în fundal.
Însă, încercând să „mizeze” aplicația frauduloasă, în portofel a fost primită o solicitare care, dacă ar fi confirmată, ar compromite întregul portofoliu.
Cu un singur clic, toate fondurile ar fi fost scurse și trimise direct în buzunarele escrocului.
Această poveste ne reamintește cât de important este să verificăm întotdeauna domeniul dapp-ului pe care îl folosim, făcând întotdeauna o dublă verificare.
Din păcate, nu este suficient să parcurgeți sursele oficiale pentru că, ca și în acest caz, și ele pot fi compromise.
Răspunsul post-mortem al Ethereum la atacul de phishing
Răspunsul de la Fundația Ethereum a durat câteva zile după ce înșelătoria cripto a fost vehiculată cu propriul e-mail.
Pe 2 iulie, printr-o postare oficială, dezvoltatorul principal Tim Beiko a explicat ce s-a întâmplat cu comunitatea sa.
Hackerul ar fi încălcat furnizorul de e-mail al Ethereum „SendPulse”, reușind să obțină acces neautorizat.
Fundația încă lucrează cu SendPulse pentru a remedia problema, dar se pare că deocamdată hack-ul a fost evitat.
Actorul rău intenționat nu mai are acces la contactele organizației de dezvoltare Ethereum și totul pare să fi fost rezolvat.
În plus, mesajul înșelătorie promovat a fost transmis către diverse liste negre ale furnizorilor de portofel web3 pentru a evita problemele de contaminare.
Atacatorul a exportat într-adevăr aproximativ 3.759 de adrese din lista de corespondență a blogului, probabil cu intenția de a le folosi pentru alte escrocherii.
Apoi, în urma unor investigații ulterioare, Ethereum a descoperit existența unei baze de date care conținea noi adrese de e-mail neincluse în lista companiilor.
După cum a scris literal de Beiko:
„lista de corespondență a blogului conținea 81 de adrese de e-mail de care actorul amenințării nu era conștient anterior, iar restul erau adrese duplicat.”
Aceasta înseamnă că unii utilizatori care nu au fost abandonați organizației ar fi putut primi e-mailul de phishing și că înșelătoria ar fi putut fi reprodusă în altă parte.
Confirmând că am reușit să trimitem o actualizare. Ar fi trebuit să blocăm toate accesul extern, dar încă confirmăm. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
— timbeiko.eth (@TimBeiko) 23 iunie 2024
În cele din urmă, totul este bine, ceea ce se termină cu bine: nu pare că au existat cazuri de scurgere și nicio criptografie nu a fost furată din atac.
Fundația Ethereum a scris următoarele pentru a-și asigura utilizatorii de încercarea de înșelătorie:
„Analiza tranzacțiilor în lanț efectuată de actorul amenințării între momentul în care a trimis campania de e-mail și momentul în care domeniul rău intenționat a fost blocat, par să demonstreze că nicio victimă nu a pierdut fonduri în timpul acestei campanii specifice trimise de actorul amenințării.”
Înșelătorie și exploatare în lumea cripto: hackeri în căutare de vizibilitate și fiabilitate
Escrocii caută constant oportunități de a câștiga vizibilitate prin contul oficial al unei entități recunoscute și de încredere în lumea cripto.
Cea mai recentă încercare de a ataca Fundația Ethereum, cu care a fost promovată o versiune înșelătorie a Lido, este doar cea mai recentă dintr-o serie lungă de episoade similare.
Într-un context online plin de mesaje, hackerilor nu le este ușor să iasă din mulțime: de multe ori de fapt se poziționează în comentariile unei postări oficiale în speranța de a fi văzuți de cei mai naivi.
Obținerea accesului la un instrument de comunicare de încredere și recunoscut de către comunitatea cripto este, totuși, cea mai bună metodă de a atrage mai mulți utilizatori.
De data aceasta, atacul a eșuat, deoarece, pe de o parte, Fundația Ethereum a blocat rapid trimiterea a numeroase e-mailuri. Pe de altă parte, probabil că ținta abonaților Ethereum este deosebit de pregătită și expertă în subiecte criptografice, așa că nu au fost păcăliți.
În trecut, totuși, au existat multe încercări de înșelătorie similare: pe 26 iunie, o adresă de e-mail de marketing pentru rețeaua blockchain Hedera Hashgraph a fost, de asemenea, piratată pentru a trimite e-mailuri înșelătorii.
pe 23 iunie, cu 3 zile mai devreme, un membru MakerDAO pierduse 11 milioane de dolari după ce a interacționat cu o aplicație web falsă.
Chiar și pe noul blockchain al TON se pare că atacurile de phishing sunt în creștere, utilizatorii rău intenționați încercând să profite de perioadele de popularitate ale rețelei.
În general, însă, după cum a raportat Peckshield, furturile înregistrate pe blockchain în iunie au scăzut comparativ cu cele observate în mai.
De altfel, pierderile criptografice în acest sens au scăzut la 176 de milioane de dolari luna trecută, față de 385 de milioane de dolari în mai.
Din 2016 până astăzi, după cum a raportat DeFiLlama, hack-urile și exploatările se ridică la 8,3 miliarde de dolari.