Secondo quanto riportato ieri dall’Ethereum Foundation, il 23 giugno il server di posta elettronica dell’organizzazione è stato compromesso al fine di veicolare un servizio scam di crypto staking su Lido.
Gli hacker hanno sfruttato gli oltre 35.000 indirizzi abbonati alla newsletter di Ethereum per promuovere una mail di phishing con l’indirizzo ufficiale del gruppo.
Nel messaggio gli utenti erano invitati a fare staking di crypto su Lido sfruttando un incentivo yield del 6,8%. In realtà però cliccando sulla piattaforma scam si andava ad autorizzare il drenaggio del wallet
Vediamo nel dettaglio cosa è successo.
Summary
Bucato il server di posta elettronica dell’Ethereum Foundation: crypto hacker pubblicizza una piattaforma scam di Lido
Il 23 giugno un hacker ha fatto irruzione all’interno del server mail dell’Ethereum Foundation nell’intento di promuovere un scam crypto agli iscritti della newsletter.
Secondo quanto riportato ieri dagli stessi addetti ai lavori dell’organizzazione, sono state inviati messaggi phishing a 35.794 contatti contenenti link di drenaggio.
Nel dettaglio il soggetto ha pubblicizzato un falso staking su Lido ad uno yield particolarmente elevato del 6,8% su stETH, WETH ed ETH.
Per rendere più veritiero l’annuncio è stato utilizzato l’indirizzo di posta elettronica ufficiale della Ethereum Foundation [email protected].
L’hacker ha dovuto inoltre giustificare il rendimento esagerato, essendo in realtà del 3% sulla vera piattaforma.
Per questo ha scritto che Ethereum stava collaborando con Lido per offrire più vantaggi alla community, e che lo staking era “garantito e protetto”.
Cliccando sul tasto “begin staking” nella mail di phishing, gli utenti venivano reindirizzati su una dapp scam che riproduceva un’interfaccia simile a quella di Lido.
Fino a qui nulla di dannoso, anche connettendo il wallet al falso sito web di Lido in background.
Provando però a fare “stake” sull’applicazione fraudolenta, si riceveva una richiesta nel wallet, che se confermata andava a compromettere l’intero portafoglio.
Con un solo click, tutti i fondi sarebbero stati drenati e inviati direttamente nelle tasche dello scammer.
Questa vicenda ci ricorda quanto sia importante controllare sempre il dominio delle dapp che stiamo utilizzando facendo sempre un doppio controllo.
Purtroppo non è sufficiente passare per fonti ufficiali poiché, come in questo caso, anch’esse possono essere compromesse.
La risposta post-mortem di Ethereum all’attacco di phishing
La risposta dell’Ethereum Foundation si è fatta attendere qualche giorno dopo che il crypto scam è stato veicolato con la propria mail.
Il 2 luglio, con un post ufficiale il core developer Tim Beiko ha spiegato quanto successo alla propria community.
L’hacker avrebbe violato il provider di posta elettronica di Ethereum “SendPulse” riuscendo ad ottenere un accesso non autorizzato.
La fondazione sta ancora lavorando con SendPulse per fixare il problema ma sembra che al momento l’hack sia scampato.
Il malintenzionato non ha più accesso ai contatti dell’organizzazione di sviluppo di Ethereum e tutto sembra essersi risolto.
Inoltre il messaggio scam promosso, è stato inoltrato a varie liste nere di fornitori di portafogli web3 in modo da evitare problemi di contaminazione.
L’attaccante ha infatti esportato circa 3,759 indirizzi della mailing list del blog, probabilmente nell’intento di sfruttarli per altre truffe.
Poi, a seguito di ulteriori indagini, Ethereum ha scoperto l’esistenza di un database contenente nuovi indirizzi e-mail non contenuti nell’elenco aziendale.
Come scritto testualmente da Beiko:
“la mailing list del blog conteneva 81 indirizzi e-mail di cui l’attore della minaccia non era precedentemente a conoscenza e il resto erano indirizzi duplicati.”
Ciò significa che alcuni utenti non abbondati all’organizzazione potrebbero aver ricevuto la mail di phishing e che lo scam poteva essere riprodotto altrove.
Alla fine tutto è bene quel che finisce bene: non sembra che ci siano stati casi di drenaggio e nessuna crypto è stata rubata dall’attacco.
L’Ethereum Foundation ha scritto quanto segue per rassicurare i propri utenti dal tentativo di scam:
“Analisi delle transazioni in catena effettuate all’attore della minaccia tra il momento in cui hanno inviato la campagna e-mail e il momento in cui il dominio dannoso è stato bloccato, sembrano dimostrare che nessuna vittima ha perso fondi durante questa specifica campagna inviata dall’attore della minaccia.”
Scam ed exploit nel mondo crypto: hacker in cerca di visibilità ed affidabilità
Gli scammer sono alla costante ricerca di occasioni per ottenere visibilità attraverso l’account ufficiale di un soggetto riconosciuto ed affidabile nel mondo crypto.
L’ultimo tentativo di attacco all’Ethereum Foundation, con cui è stata promossa una versione scam di Lido, è solo l’ultimo di una lunga serie di episodi simili.
In un contesto online pieno di messaggi, non è facile per gli hacker farsi notare dalla folla: spesso infatti si posizionano nei commenti di un post ufficiale nella speranza di essere visti dai più ingenui.
Ottenere l’accesso di uno strumento di comunicazione affidabile e riconosciuto dalla crypto community è però il metodo migliore per attirare più utenti.
Questa volta l’attacco non è riuscito poiché da un lato l’Ethereum Foundation è stata rapida a bloccare l’invio di numerose mail. Dall’altro poiché probabilmente il target degli abbonati di Ethereum è particolarmente preparato ed esperto in temi crittografici dunque non si è fatto abbindolare.
In passato però ci sono stati molti tentativi di scam simili:Il 26 giugno, un indirizzo e-mail di marketing per la rete blockchain Hedera Hashgraph è stato anche hackerato per inviare e-mail di truffa.
il 23 giugno, 3 giorni prima, un membro MakerDAO aveva perso 11 milioni di dollari dopo aver interagito con un’app web falsa.
Anche sulla nuova blockchain di TON sembra che gli attacchi phishing siano in aumento, con gli utenti malintenzionati che cercano di sfruttare il periodi di popolarità della rete.
In generale però, come riportato da Peckshield, i furti registrati su blockchain a giugno sono diminuiti rispetto a quelli osservati a maggio.
Infatti le perdite crittografiche in tal senso sono scese a 176 milioni di dollari lo scorso mese, contro i 385 milioni di dollari di maggio.
Dal 2016 ad oggi, come riporta DeFiLlama, gli hack ed exploit complessivi ammontano a 8,3 miliardi di dollari.
