Хакеры взломали почту Ethereum Foundation и разослали мошеннические письма с предложением стейкинга

23 июня электронная почта Ethereum Foundation, используемая для отправки официальных обновлений, была взломана. Злоумышленники использовали адрес updates@blog.ethereum.org, чтобы разослать фишинговые письма 35 794 адресатам.

В письме сообщалось, что Ethereum Foundation сотрудничает с децентрализованной автономной организацией LidoDAO. В рамках этого партнерского соглашения предлагалась годовая доходность в 6.8% на застейканые Ethereum (stETH), Wrapped Ether (WETH) или депозиты ETH.

«Это сотрудничество объединяет сильные стороны обеих организаций для обеспечения глубокой ликвидности и конкурентных вознаграждений, что улучшает ваш опыт стейкинга с более чем 100 интеграциями», — говорилось в объявлении.

Также отмечалось, что услуга стейкинга будет «защищенной и проверенной» Ethereum Foundation. Внизу листа была кнопка «Начать стейкинг» (Begin Staking). Щелчок на эту кнопку перенаправлял пользователей на сайт, созданный злоумышленниками.

Этот фальшивый сайт под названием «Staking Launchpad» содержал вредоносный код для воровства криптовалют. Сайт был профессионально оформлен, чтобы не вызывать подозрений. Пользователей, нажавших кнопку «Stake» на сайте, просили одобрить транзакцию в их кошельке. Если они это делали, то все средства с их счета автоматически переводились в злоумышленников.

На момент написания новости фонд заявил, что получил контроль над взломанным электронным адресом. Согласно расследованию, никакие средства в результате атаки не были утрачены.

«Анализ транзакций в цепочке, осуществленных до момента блокирования вредоносного домена, показал, что никакие средства не были потеряны во время этой конкретной кампании, проведенной злоумышленником», — отметили в фонде.

Также фонд обнаружил, что хакер загрузил базу данных с электронными адресами, не относившимися к списку подписчиков фонда. В результате несколько пользователей, которые не подписывались на рассылку, тоже получили ложное письмо.

Злоумышленник также экспортировал список электронных адресов блога, содержащий 3759 адресов. Однако список содержал только 81 уникальный адрес, остальные были дубликаты.

Таким образом, было оценено, что атака скомпрометировала электронные адреса 81 подписчика.

Фонд также обратился к нескольким провайдерам кошельков, черным спискам и поставщику DNS Cloudflare с просьбой предупредить пользователей, если они будут перенаправлены на вредоносный сайт.

Криптовалютная индустрия не в первый раз сталкивается с фишинговыми схемами через электронную почту.

В начале июня несколько ключевых фигур в криптомире предупредили о компрометации известного поставщика электронной почты и рассылке фишинговых писем, предлагавших фальшивые аирдропы. Ранее электронные адреса нескольких известных криптоорганизаций уже использовались для отправки фишинговых писем.