Согласно сообщению в блоге фонда от 2 июля, 23 июня «обновляемая» учетная запись электронной почты Ethereum Foundation была взломана и использована для продвижения фишинга. Фонд восстановил учетную запись, и вредоносные электронные письма больше не рассылаются.
Согласно сообщению, подписчикам фонда и другим лицам было отправлено 35 794 мошеннических электронных письма с использованием официального адреса электронной почты update@blog.ethereum.org. Расследование фонда привело к выводу, что ни одна жертва не потеряла криптовалюту в результате атаки. Однако злоумышленнику могли быть предоставлены адреса электронной почты 81 подписчика.
В электронных письмах содержалось фальшивое объявление о том, что Ethereum Foundation заключила партнерское соглашение с децентрализованной автономной организацией Lido (LidoDAO), чтобы предложить доходность 6,8% по депозитам в эфире (stETH), завернутом эфире (WETH) или эфире (ETH). Он сообщил подписчикам, что ставки будут «защищены и проверены The Ethereum Foundation».
Пользователи, которые нажимали кнопку «Начать ставку» в электронном письме, были перенаправлены на вредоносное веб-приложение, которое рекламировало себя как «Панель запуска ставок». Нажатие кнопки «Ставка» в этом приложении перевело транзакцию в кошелек пользователя. Если бы пользователь одобрил эту транзакцию, «его кошелек был бы опустошен», говорится в сообщении.
Когда вредоносные электронные письма были обнаружены, фонд в ответ заблокировал злоумышленнику отправку новых писем. Он также «закрыл вредоносный путь доступа, который злоумышленник использовал для получения доступа к провайдеру списка рассылки», гарантируя, что злоумышленник больше не сможет получить доступ к адресу электронной почты. Кроме того, он рассылал уведомления различным черным спискам, поставщикам кошельков Web3 и Cloudfare, чтобы пользователи могли получать предупреждения, если они попытаются перейти на вредоносный сайт.
После дальнейшего расследования Ethereum Foundation обнаружил, что злоумышленник загрузил базу данных, содержащую новые адреса электронной почты, которые не входили в список подписчиков Ethereum Foundation, а это означает, что некоторые пользователи, которых не было в списке, тем не менее могли получить мошеннические электронные письма. Кроме того, злоумышленник «экспортировал адреса электронной почты из списка рассылки блога, который в общей сложности насчитывал 3759 адресов электронной почты».
Фонд попытался определить, получил ли злоумышленник какие-либо новые адреса электронной почты в результате эксплойта. Было обнаружено, что «список рассылки блога содержал 81 адрес электронной почты, о которых злоумышленник ранее не знал, а остальные были повторяющимися адресами».
По теме: SlowMist предупреждает, что экосистема TON наводнена фишинговыми атаками
К счастью, злоумышленник, похоже, не получил никакой добычи в криптовалюте в результате атаки. Фонд заявил:
«Анализ внутрисетевых транзакций, совершенных злоумышленником между моментом отправки им рассылки по электронной почте и моментом блокировки вредоносного домена, по-видимому, показывает, что ни одна жертва не потеряла средства во время этой конкретной кампании, отправленной злоумышленником».
Фишинговые кампании — распространенный способ потерять свои средства среди пользователей криптовалюты.23 июня участник MakerDAO потерял 11 миллионов долларов из-за нескольких ошибочных утверждений токенов, очевидно, после взаимодействия с поддельным веб-приложением.26 июня маркетинговый адрес электронной почты блокчейн-сети Hadera Hashgraph также был взломан для рассылки мошеннических писем.
