Согласно сообщению в блоге фонда от 2 июля, 23 июня учетная запись электронной почты для рассылки «обновлений» от Ethereum Foundation была взломана и использована для продвижения фишинга. Фонд восстановил контроль над учетной записью, и вредоносные электронные письма больше не рассылаются.
Согласно сообщению, 35 794 мошеннических электронных письма было отправлено подписчикам фонда и другим лицам с использованием его официального адреса электронной почты update@blog.ethereum.org.
Расследование фонда пришло к выводу, что ни одна жертва не потеряла криптовалюту в результате атаки. Однако злоумышленник мог раскрыть адреса электронной почты 81 подписчика.
В электронных письмах содержалось фальшивое объявление о том, что Ethereum Foundation заключила партнерское соглашение с децентрализованной автономной организацией Lido (LidoDAO), чтобы предложить доходность 6,8% по депозитам в Staked Ether (stETH), Wrapped Ether (WETH) или Ethereum (ETH). Он сообщил подписчикам, что ставки будут «защищены и проверены The Ethereum Foundation».
Фишинговое письмо хакера Ethereum Foundation.
Пользователи, которые нажимали кнопку «Начать стекинг» в электронном письме, были перенаправлены на вредоносное веб-приложение, которое рекламировало себя как «Панель запуска стекинга».
Нажатие кнопки «Стекинг» в этом приложении инициирует транзакцию в кошельке пользователя. Если пользователь одобрит эту транзакцию, «его кошелек будет опустошен», говорится в сообщении.
Поддельный сайт «Stake Launchpad», рекламируемый хакером. Источник: Ethereum Foundation.
Когда вредоносные электронные письма были обнаружены, фонд заблокировал злоумышленнику отправку новых писем. Он также «закрыл вредоносный путь доступа, который злоумышленник использовал для получения доступа к провайдеру списка рассылки», гарантируя, что злоумышленник больше не сможет получить доступ к адресу электронной почты. Он также рассылал уведомления различным черным спискам, поставщикам кошельков Web3 и Cloudfare, чтобы пользователи могли получать предупреждения, если они попытаются перейти на вредоносный сайт.
После дальнейшего расследования Ethereum Foundation обнаружил, что злоумышленник загрузил базу данных, содержащую новые адреса электронной почты, которые не входили в список подписчиков Ethereum Foundation, а это означает, что некоторые пользователи, которых не было в списке, тем не менее могли получить мошеннические электронные письма.
Кроме того, злоумышленник «экспортировал адреса электронной почты из списка рассылки блога, который в общей сложности составлял 3759 адресов электронной почты».
Фонд попытался определить, получил ли злоумышленник какие-либо новые адреса электронной почты в результате эксплоита. Было обнаружено, что «список рассылки блога содержал 81 адрес электронной почты, о которых злоумышленник ранее не знал, а остальные были повторяющимися адресами».
К счастью, злоумышленник, судя по всему, не получил никакой добычи в результате атаки.
«Анализ внутрисетевых транзакций, совершенных злоумышленником между моментом отправки рассылки по электронной почте и моментом блокировки вредоносного домена, по-видимому, показывает, что ни одна жертва не потеряла средства во время этой конкретной кампании, отправленной злоумышленником», — говорится в сообщении Ethereum Foundation.
Фишинговые кампании — распространенный способ потерять свои средства для пользователей криптовалюты. 23 июня участник MakerDAO потерял 11 миллионов долларов из-за нескольких ошибочных утверждений токенов, очевидно, после взаимодействия с поддельным веб-приложением. 26 июня маркетинговый адрес электронной почты сети блокчейнов Hedera Hashgraph также был взломан для рассылки мошеннических писем.