A conta de email de atualização da Fundação Ethereum foi hackeada e usada para promover um golpe de phishing, de acordo com uma postagem no blog. A fundação recuperou a conta e os emails maliciosos não estão mais sendo enviados.
De acordo com a postagem, 35.794 emails fraudulentos foram enviados aos assinantes da fundação e outros indivíduos usando seu endereço de email oficial [email protected].
A investigação concluiu que nenhuma vítima perdeu criptomoedas no ataque. No entanto, o invasor pode ter exposto os endereços de email de 81 assinantes.
Os emails continham um anúncio falso afirmando que a Fundação Ethereum fez parceria com a organização autônoma descentralizada Lido (LidoDAO) para oferecer rendimento de 6,8% em depósitos apostados de Ether (stETH), Wrapped Ether (WETH) ou Ether (ETH). Dizendo aos assinantes que o staking seria protegido e verificado pela Fundação Ethereum.
Os usuários que clicaram no botão “Iniciar piquetagem” no email foram direcionados para um aplicativo da web malicioso, que se anunciava como “Staking Launchpad”.
Clicar no botão “Stake” neste aplicativo empurrou uma transação para a carteira do usuário. Se o usuário tivesse aprovado esta transação sua carteira teria sido esgotada.
Quando os emails maliciosos foram descobertos, a fundação respondeu bloqueando o invasor de enviar mais emails. E também fechou o caminho de acesso malicioso que o autor da ameaça usou para obter acesso ao provedor da lista de emails, garantindo que o invasor não pudesse mais acessar. Também foram enviados avisos para várias listas negras, provedores de carteira Web3 e Cloudfare para que os usuários pudessem receber avisos caso tentassem navegar para o site malicioso.
Após uma investigação mais aprofundada, a Fundação Ethereum descobriu que o invasor havia carregado um banco de dados contendo novos endereços de email que não faziam parte da lista de assinantes da Fundação Ethereum, o que implica que alguns usuários que não estavam na lista podem ter recebido os emails fraudulentos.
Além disso, o invasor exportou os endereços de email da lista de email do blog, totalizando 3.759 endereços de email.
A fundação tentou determinar se o invasor obteve novos endereços de email com a exploração. Descobriu-se que a lista de discussão do blog continha 81 endereços de email dos quais o hacker não tinha conhecimento anteriormente, e o restante eram endereços duplicados.
Felizmente, o invasor parece não ter obtido nenhum saque criptográfico com o ataque. A fundação declarou:
“A análise das transações em cadeia feitas ao ator da ameaça entre o momento em que enviou a campanha de email e o momento em que o domínio malicioso foi bloqueado parece mostrar que nenhuma vítima perdeu fundos durante esta campanha específica enviada pelo ator da ameaça.”
As campanhas de phishing são uma forma comum de os usuários de criptomoedas perderem seus fundos. Em junho, um membro da MakerDAO perdeu US$11 milhões depois de fazer várias aprovações erradas de tokens, aparentemente após interagir com um aplicativo da web falso. Também em junho, um endereço de email de marketing da rede blockchain, Hadera Hashgraph, também foi hackeado para enviar emails fraudulentos.