Відповідно до того, що вчора було повідомлено Фондом Ethereum, 23 червня сервер електронної пошти організації було зламано з метою надання шахрайської служби криптостейкінгу на Lido.
Хакери використовували понад 35 000 адрес, підписаних на розсилку новин Ethereum, щоб просувати фішинговий електронний лист з офіційною адресою групи.
У повідомленні користувачам було запропоновано зробити ставку на криптовалюту на Lido, скориставшись бонусом у розмірі 6,8%. Однак, натиснувши на шахрайську платформу, вони фактично дозволили злити гаманець
Давайте детально розберемося, що вийшло.
Злом поштового сервера Ethereum Foundation: криптохакер рекламує шахрайську платформу Lido
23 червня хакер зламав поштовий сервер Ethereum Foundation з метою реклами криптошахрайства передплатникам розсилки.
Відповідно до того, що вчора повідомили ті ж інсайдери організації, фішингові повідомлення були надіслані 35 794 контактам, які містили посилання на злив.
Детально суб’єкт рекламував фальшивий стейкинг на Lido з особливо високою прибутковістю 6,8% на stETH, WETH та ETH.
Для більшої правдивості було використано офіційну електронну адресу Ethereum Foundation updates@blog.ethereum.org.
Хакер також повинен був виправдати перебільшену продуктивність, будучи фактично 3% на реальній платформі.
З цієї причини він написав, що Ethereum співпрацює з Lido, щоб запропонувати більше переваг спільноті, і що ставки «гарантовані та захищені».
Натиснувши кнопку «розпочати ставку» у фішинговому листі, користувачі були перенаправлені на шахрайську програму, яка імітувала інтерфейс, схожий на інтерфейс Lido.
До цього моменту нічого шкідливого, навіть підключення гаманця до підробленого сайту Lido у фоновому режимі.
Однак, намагаючись «зробити ставку» на шахрайський додаток, у гаманець надійшов запит, який у разі підтвердження скомпрометував би весь портфель.
Одним клацанням миші всі кошти були б злиті та відправлені прямо в кишені шахрая.
Ця історія нагадує нам, як важливо завжди перевіряти домен використовуваного нами dapp, завжди виконуючи подвійну перевірку.
На жаль, недостатньо перевірити офіційні джерела, оскільки, як у цьому випадку, вони також можуть бути скомпрометовані.
Посмертна реакція Ethereum на фішингову атаку
Відповідь від Ethereum Foundation знадобилася через кілька днів після того, як криптошахрайство було розповсюджено їхньою електронною поштою.
2 липня в офіційній публікації основний розробник Тім Бейко пояснив, що сталося з його спільнотою.
Хакер нібито зламав постачальника електронної пошти Ethereum «SendPulse», зумівши отримати несанкціонований доступ.
Фонд все ще працює з SendPulse, щоб вирішити проблему, але, здається, наразі злому вдалося запобігти.
Зловмисник більше не має доступу до контактів організації з розробки Ethereum, і, здається, все вирішено.
Крім того, рекламоване повідомлення про шахрайство було направлено до різних чорних списків постачальників гаманців web3, щоб уникнути проблем із зараженням.
Зловмисник справді експортував близько 3759 адрес зі списку розсилки блогу, ймовірно, з наміром використовувати їх для інших шахрайств.
Потім, після подальших розслідувань, Ethereum виявив існування бази даних, що містить нові адреси електронної пошти, не включені до списку компаній.
Як дослівно написав Бейко:
«Список розсилки блогу містив 81 адресу електронної пошти, про які автор загрози раніше не знав, а решта були дублікатами адрес».
Це означає, що деякі користувачі, не залишені в організації, могли отримати фішинговий електронний лист і що шахрайство могло бути відтворено в іншому місці.
Підтверджуємо, що нам вдалося надіслати оновлення. Ми повинні були заблокувати весь зовнішній доступ, але все ще підтверджуємо. https://t.co/QJJPSW2fuY pic.twitter.com/sqmL4EmJbc
— timbeiko.eth (@TimBeiko) 23 червня 2024 р
Зрештою, все добре, що добре закінчується: схоже, що не було жодних випадків зливу, і жодна криптовалюта не була вкрадена під час атаки.
Фонд Ethereum написав наступне, щоб заспокоїти своїх користувачів від спроби шахрайства:
«Аналіз транзакцій у ланцюжку, здійснених зловмисником між моментом надсилання електронної кампанії та моментом блокування шкідливого домену, здається, демонструє, що жодна жертва не втратила кошти під час цієї конкретної кампанії, надісланої зловмисником».
Шахрайство та використання в криптосвіті: хакери в пошуках видимості та надійності
Шахраї постійно шукають можливості отримати видимість через офіційний обліковий запис визнаної та надійної організації у криптосвіті.
Остання спроба атаки на Ethereum Foundation, за допомогою якої просувалася шахрайська версія Lido, є лише останньою в довгій серії подібних епізодів.
У онлайн-контексті, насиченому повідомленнями, хакерам непросто виділитися з натовпу: часто насправді вони позиціонують себе в коментарях до офіційного повідомлення в надії, що їх побачать наївніші.
Однак отримання доступу до надійного та визнаного криптоспільнотою інструменту комунікації є найкращим способом залучити більше користувачів.
Цього разу атака виявилася невдалою, оскільки, з одного боку, Ethereum Foundation поспішив заблокувати надсилання численних електронних листів. З іншого боку, ймовірно, цільова аудиторія передплатників Ethereum особливо підготовлена та експерт у криптографічних темах, тому їх не обдурили.
Однак у минулому було багато подібних спроб шахрайства: 26 червня маркетингову електронну адресу блокчейн-мережі Hedera Hashgraph також було зламано для надсилання шахрайських електронних листів.
23 червня, трьома днями раніше, член MakerDAO втратив 11 мільйонів доларів після взаємодії з підробленим веб-додатком.
Навіть у новому блокчейні TON здається, що фішингові атаки зростають, а зловмисники намагаються скористатися періодами популярності мережі.
Проте в цілому, як повідомляє Peckshield, крадіжки, зареєстровані на блокчейні в червні, зменшилися порівняно з тими, що спостерігалися в травні.
Фактично криптографічні втрати в цьому сенсі впали до 176 мільйонів доларів минулого місяця порівняно з 385 мільйонами доларів у травні.
З 2016 року по сьогоднішній день, як повідомляє DeFiLlama, загальна сума хаків і експлойтів становить 8,3 мільярда доларів.
