Согласно сообщению Ethereum Foundation, опубликованному вчера, 23 июня сервер электронной почты организации был взломан с целью распространения мошеннического сервиса по crypto staking на Lido.
Хакеры использовали более 35.000 адресов подписчиков на рассылку новостей Ethereum, чтобы продвигать фишинговое письмо с официального адреса группы.
В сообщении пользователи были приглашены делать стейкинг криптовалют на Lido, используя стимул доходности в 6,8%. На самом деле, однако, при нажатии на мошенническую платформу происходило разрешение на опустошение кошелька
Давайте подробно рассмотрим, что произошло.
Summary
Взломан почтовый сервер Ethereum Foundation: крипто-хакер рекламирует мошенническую платформу Lido
23 июня хакер ворвался на почтовый сервер Ethereum Foundation с целью продвижения крипто-мошенничества среди подписчиков рассылки.
Согласно вчерашнему сообщению самих сотрудников организации, были отправлены сообщения phishing на 35.794 контактов, содержащие ссылки для дренажа.
В деталях субъект рекламировал ложный staking на Lido с особенно высоким доходом в 6,8% на stETH, WETH и ETH.
Чтобы сделать объявление более правдоподобным, был использован официальный адрес электронной почты Ethereum Foundation [email protected].
Хакеру также пришлось оправдать чрезмерную доходность, которая на самом деле составляет 3% на реальной платформе.
Поэтому он написал, что Ethereum сотрудничает с Lido, чтобы предложить больше преимуществ сообществу, и что стейкинг был “гарантирован и защищен”.
Нажав на кнопку «begin staking» в фишинговом письме, пользователи перенаправлялись на мошенническую dapp, которая воспроизводила интерфейс, похожий на интерфейс Lido.
До сих пор ничего вредного, даже при подключении кошелька к фальшивому сайту Lido в фоновом режиме.
Однако, пытаясь сделать “stake” в мошенническом приложении, получали запрос в кошельке, который, если подтвержден, компрометировал весь портфель.
С одним кликом все средства были бы выведены и отправлены прямо в карманы мошенника.
Эта история напоминает нам о том, как важно всегда проверять домен dapp, которые мы используем, всегда делая двойную проверку.
К сожалению, недостаточно полагаться на официальные источники, так как, как в этом случае, они также могут быть скомпрометированы.
Ответ Ethereum post-mortem на фишинговую атаку
Ответ Ethereum Foundation пришлось подождать несколько дней после того, как крипто-мошенничество было распространено через их собственную почту.
2 июля, с официальным постом core developer Tim Beiko объяснил, что произошло с его сообществом.
Хакер якобы взломал провайдера электронной почты Ethereum “SendPulse”, получив несанкционированный доступ.
Фонд все еще работает с SendPulse, чтобы исправить проблему, но кажется, что на данный момент взлом предотвращен.
Злоумышленник больше не имеет доступа к контактам организации по разработке Ethereum, и, похоже, все разрешилось.
Кроме того, мошенническое сообщение, было отправлено в различные черные списки поставщиков web3 кошельков, чтобы избежать проблем с заражением.
Нападающий действительно экспортировал около 3,759 адресов из списка рассылки блога, вероятно, с намерением использовать их для других мошенничеств.
Затем, в результате дальнейших расследований, Ethereum обнаружил существование базы данных, содержащей новые адреса электронной почты, не включенные в корпоративный список.
Как написал буквально Бейко:
“список рассылки блога содержал 81 адрес электронной почты, о которых bull и bear не знали ранее, а остальные были дублирующими адресами.”
Это означает, что некоторые пользователи, не принадлежащие к организации, могли получить фишинговое письмо и что мошенничество могло быть воспроизведено в другом месте.
В конце концов, всё хорошо, что хорошо кончается: не похоже, что были случаи утечки, и ни одна криптовалюта не была украдена в результате атаки.
Фонд Ethereum написал следующее, чтобы успокоить своих пользователей от попытки мошенничества:
“Анализ транзакций в цепочке, выполненных угрозой между моментом отправки кампании по электронной почте и моментом блокировки вредоносного домена, кажется, показывает, что ни одна жертва не потеряла средства во время этой конкретной кампании, отправленной угрозой.”
Мошенничество и эксплойты в мире криптовалют: хакеры в поисках видимости и надежности
Мошенники постоянно ищут возможности для получения видимости через официальный аккаунт признанного и надежного субъекта в мире криптовалют.
Последняя попытка атаки на Ethereum Foundation, с которой была продвинута мошенническая версия Lido, является лишь последним из длинной серии подобных эпизодов.
В онлайн-контексте, полном сообщений, не легко для хакеров выделиться из толпы: часто они размещаются в комментариях к официальному посту в надежде быть замеченными самыми наивными.
Получение доступа к надежному и признанному крипто-сообществом инструменту коммуникации является лучшим методом для привлечения большего числа пользователей.
На этот раз атака не удалась, поскольку, с одной стороны, Ethereum Foundation быстро заблокировала отправку многочисленных писем. С другой стороны, вероятно, целевая аудитория подписчиков Ethereum особенно подготовлена и опытна в криптографических вопросах, поэтому не поддалась на уловку.
В прошлом однако было много попыток подобных мошенничеств: 26 июня маркетинговый адрес электронной почты для сети блокчейн Hedera Hashgraph также был взломан для отправки мошеннических писем.
23 июня, за 3 дня до этого, один из членов MakerDAO потерял 11 миллионов долларов после взаимодействия с поддельным веб-приложением.
Также на новой блокчейн TON кажется, что фишинговые атаки увеличиваются, с злоумышленниками, которые пытаются воспользоваться периодами популярности сети.
В общем, однако, как сообщает Peckshield, кражи, зарегистрированные на blockchain в июне, уменьшились по сравнению с теми, что наблюдались в мае.
Фактически криптографические потери в этом смысле снизились до 176 миллионов долларов в прошлом месяце, против 385 миллионов долларов в мае.
С 2016 года по настоящее время, как сообщает DeFiLlama, взломы и эксплойты в общей сложности составляют 8,3 миллиарда долларов.
