Ethereum Foundation, неприбуткова організація, що займається підтримкою блокчейну Ethereum та пов’язаних з ним технологій, повідомила про інцидент з фішинговою розсилкою. Поштова система організації була зламана, зловмисники використовували її для фішингового шахрайства.
Як зазначається у релізі фонду, 23 червня 2024 року близько півночі за UTC фішинговий лист було надіслано на 35 794 електронні адреси з домену updates@blog.ethereum.org. Лист містив посилання на шкідливий сайт з криптовалютним “дрейнером” або “зливальником”, формою кіберзагрози, що непомітно викачує активи з цифрових гаманців.
Підкреслюється, що зловмисники використовували власну базу даних електронних адрес. Обліковий запис Ethereum Foundation налічував в цілому 3 759 адрес, переважна більшість з яких вже була присутня в базі даних зловмисників.
Фішинговий лист розповідав про фіктивну співпрацю між Ethereum Foundation та Lido DAO, пропонуючи користувачам участь у програмі стейкінгу ETH та похідними криптовалютами з прибутковістю 6,8%. З електронного листа користувача перенаправляло на шкідливий вебсайт Staking Launchpad. Потенційній жертві пропонували спробувати стейкінг активів, після чого на її гаманець здійснювали транзакцію, через схвалення якої користувач підписував смартконтракт на спустошення свого гаманця.
Перевірка блокчейну з боку організації показала, що під час цієї фішингової кампанії жертви взагалі не втратили коштів. Аналіз активності в мережі за період від початку розсилки до блокування шкідливого домену показав, що жоден користувач не надіслав зловмисникам кошти під час цієї конкретної кампанії.
Команда безпеки організації, за словами Ethereum Foundation, негайно розпочала розслідування та вжила заходів для запобігання подальшим атакам. Зокрема компанія почала уникати додаткових розсилок, проте повідомила користувачів через X і електронну пошту про інцидент. Організація продовжує розслідування інциденту із залученням внутрішніх та зовнішніх команд безпеки.
Організація відновила доступ до облікового запису SendPuls, де відбувся злам корпоративної пошти. Ethereum Foundation вжила додаткових заходів безпеки, включаючи міграцію деяких поштових сервісів до інших провайдерів.
Також шкідливе посилання, поширене в фішингових листах, було додано в різні блокчейн-листи, які більшість провайдерів гаманців Web3 і сервіс Cloudflare використовують як “чорні списки”.