Хакери зламали пошту Ethereum Foundation і розіслали шахрайські листи з пропозицією стейкінгу
Хакери зламали електронну пошту Ethereum Foundation і розіслали фальшиві листи, що вели на шахрайський сайт, який викрадав цифрові активи після підключення гаманця.
23 червня електронна пошта Ethereum Foundation, що використовується для надсилання офіційних оновлень, була зламана. Зловмисники використали адресу updates@blog.ethereum.org, щоб розіслати фішингові листи до 35 794 адресатів.
У листі повідомлялося, що Ethereum Foundation співпрацює з децентралізованою автономною організацією LidoDAO. В рамках цієї партнерської угоди пропонувалась річна прибутковість у 6.8% на застейкані Ethereum (stETH), Wrapped Ether (WETH) або депозити ETH.
«Ця співпраця об'єднує сильні сторони обох організацій для забезпечення глибокої ліквідності та конкурентних винагород, що покращує ваш досвід стейкингу з понад 100 інтеграціями», — йшлося в оголошенні.
Також зазначалося, що послуга стейкингу буде «захищеною та перевіреною» Ethereum Foundation. Внизу листа була кнопка «Почати стейкинг» (Begin Staking). Клацання на цю кнопку перенаправляло користувачів на сайт, створений зловмисниками.
Цей фальшивий сайт під назвою «Staking Launchpad» містив шкідливий код для крадіжки криптовалют. Сайт був професійно оформлений, щоб не викликати підозр. Користувачів, які натискали кнопку «Stake» на сайті, просили схвалити транзакцію в їх гаманці. Якщо вони це робили, всі кошти з їхнього рахунку автоматично переводилися до зловмисників.
На момент написання новини, фонд заявив, що отримав контроль над зламаною електронною адресою. Згідно з розслідуванням, жодні кошти в результаті атаки не були втрачені.
«Аналіз транзакцій в ланцюгжку, здійснених до моменту блокування шкідливого домену, показав, що жодні кошти не були втрачені під час цієї конкретної кампанії, проведеної зловмисником», — зазначили у фонді.
Також фонд виявив, що хакер завантажив базу даних з електронними адресами, які не належали до списку підписників фонду. В результаті кілька користувачів, які не підписувалися на розсилку, теж отримали фальшивий лист.
Зловмисник також експортував список електронних адрес блогу, що містив 3759 адрес. Однак список містив лише 81 унікальну адресу, інші були дублікати.
Таким чином, було оцінено, що атака скомпрометувала електронні адреси 81 підписника.
Фонд також звернувся до кількох провайдерів гаманців, чорних списків та постачальника DNS Cloudflare з проханням попередити користувачів, якщо вони будуть перенаправлені на шкідливий сайт.
Криптовалютна індустрія не вперше стикається з фішинговими схемами через електронну пошту.
На початку червня кілька ключових фігур у криптосвіті попередили про компрометацію відомого постачальника електронної пошти та розсилку фішингових листів, що пропонували фальшиві аірдропи. Раніше електронні адреси кількох відомих криптоорганізацій вже використовувалися для надсилання фішингових листів.
Яка ваша реакція?
