De acordo com o relatado ontem pela Ethereum Foundation, no dia 23 de junho o servidor de e-mail da organização foi comprometido com o objetivo de veicular um serviço scam de crypto staking no Lido.
Os hackers aproveitaram os mais de 35.000 endereços assinantes da newsletter de Ethereum para promover um e-mail de phishing com o endereço oficial do grupo.
No mensagem, os usuários eram convidados a fazer staking de crypto no Lido aproveitando um incentivo yield de 6,8%. Na realidade, porém, ao clicar na plataforma scam, autorizava-se a drenagem da wallet
Vamos ver em detalhe o que aconteceu.
Summary
Invadido o servidor de e-mail da Ethereum Foundation: crypto hacker promove uma plataforma scam de Lido
Em 23 de junho, um hacker invadiu o servidor de e-mail da Ethereum Foundation com a intenção de promover um scam crypto aos inscritos da newsletter.
De acordo com o que foi relatado ontem pelos próprios trabalhadores da organização, foram enviadas mensagens phishing para 35.794 contatos contendo links de drenagem.
Em detalhe o sujeito publicitou um falso staking no Lido a um yield particularmente elevado de 6,8% em stETH, WETH e ETH.
Para tornar o anúncio mais verídico, foi utilizado o endereço de e-mail oficial da Ethereum Foundation [email protected].
O hacker teve que justificar o rendimento exagerado, sendo na verdade de 3% na verdadeira plataforma.
Por isso escreveu que Ethereum estava colaborando com Lido para oferecer mais vantagens à comunidade, e que o staking era “garantido e protegido”.
Ao clicar no botão “begin staking” no e-mail de phishing, os usuários eram redirecionados para um dapp scam que reproduzia uma interface semelhante à do Lido.
Até aqui nada de prejudicial, mesmo conectando a wallet ao site falso de Lido em segundo plano.
Ao tentar fazer “stake” no aplicativo fraudulento, recebia-se uma solicitação na carteira, que se confirmada comprometia toda a carteira.
Com um único clique, todos os fundos seriam drenados e enviados diretamente para os bolsos do scammer.
Esta situação nos lembra o quão importante é sempre verificar o domínio das dapp que estamos utilizando, fazendo sempre uma dupla verificação.
Infelizmente, não é suficiente passar por fontes oficiais pois, como neste caso, elas também podem ser comprometidas.
A resposta post-mortem de Ethereum ao ataque de phishing
A resposta da Ethereum Foundation demorou alguns dias depois que o crypto scam foi veiculado com o seu próprio e-mail.
Em 2 de julho, com um post oficial, o core developer Tim Beiko explicou o que aconteceu à sua comunidade.
O hacker teria violado o provedor de e-mail do Ethereum “SendPulse” conseguindo obter um acesso não autorizado.
A fundação ainda está trabalhando com a SendPulse para corrigir o problema, mas parece que no momento o hack foi evitado.
O mal-intencionado não tem mais acesso aos contatos da organização de desenvolvimento de Ethereum e tudo parece ter sido resolvido.
Além disso, a mensagem de scam promovida, foi encaminhada para várias listas negras de fornecedores de carteiras web3 de modo a evitar problemas de contaminação.
O atacante exportou cerca de 3.759 endereços da lista de e-mails do blog, provavelmente com a intenção de usá-los para outros golpes.
Depois, na sequência de investigações adicionais, Ethereum descobriu a existência de uma base de dados contendo novos endereços de e-mail não contidos na lista empresarial.
Como escrito textualmente por Beiko:
“a lista de e-mails do blog continha 81 endereços de e-mail dos quais o autor da ameaça não tinha conhecimento prévio e o restante eram endereços duplicados.”
Isso significa que alguns usuários não abandonados à organização poderiam ter recebido o e-mail de phishing e que o scam poderia ser reproduzido em outro lugar.
No final, tudo está bem quando acaba bem: não parece que houve casos de drenagem e nenhuma crypto foi roubada do ataque.
A Ethereum Foundation escreveu o seguinte para tranquilizar seus usuários sobre a tentativa de scam:
“Análise das transações em cadeia efetuadas ao ator da ameaça entre o momento em que enviaram a campanha de e-mail e o momento em que o domínio malicioso foi bloqueado, parecem demonstrar que nenhuma vítima perdeu fundos durante esta campanha específica enviada pelo ator da ameaça.”
Scam e exploit no mundo crypto: hacker em busca de visibilidade e confiabilidade
Os scammer estão constantemente à procura de oportunidades para obter visibilidade através da conta oficial de um sujeito reconhecido e confiável no mundo crypto.
A última tentativa de ataque à Ethereum Foundation, com a qual foi promovida uma versão scam de Lido, é apenas a última de uma longa série de episódios semelhantes.
Em um contexto online cheio de mensagens, não é fácil para os hackers se destacarem na multidão: muitas vezes, de fato, eles se posicionam nos comentários de um post oficial na esperança de serem vistos pelos mais ingênuos.
Obter acesso a uma ferramenta de comunicação confiável e reconhecida pela crypto community é, no entanto, o melhor método para atrair mais usuários.
Desta vez o ataque não foi bem-sucedido, pois, por um lado, a Ethereum Foundation foi rápida em bloquear o envio de numerosos e-mails. Por outro lado, provavelmente o alvo dos assinantes da Ethereum é particularmente preparado e experiente em temas criptográficos, portanto, não foi enganado.
No passado, porém, houve muitas tentativas de scam semelhantes: Em 26 de junho, um endereço de e-mail de marketing para a rede blockchain Hedera Hashgraph também foi hackeado para enviar e-mails de fraude.
o 23 de junho, 3 dias antes, um membro MakerDAO tinha perdido 11 milhões de dólares depois de interagir com uma aplicação web falsa.
Também na nova blockchain de TON parece que os ataques de phishing estão aumentando, com os usuários mal-intencionados tentando aproveitar os períodos de popularidade da rede.
Em geral, no entanto, como relatado por Peckshield, os roubos registrados em blockchain em junho diminuíram em comparação com os observados em maio.
De fato, as perdas criptográficas nesse sentido caíram para 176 milhões de dólares no mês passado, contra 385 milhões de dólares em maio.
Desde 2016 até hoje, como relata DeFiLlama, os hack e exploit totalizam 8,3 bilhões de dólares.
