Em 23 de junho, a conta de e-mail "update" da Fundação Ethereum foi hackeada e usada para promover um golpe de phishing, de acordo com uma postagem no blog da fundação em 2 de julho. A fundação recuperou a conta e os e-mails maliciosos não estão mais sendo enviados.
De acordo com a postagem, 35.794 e-mails fraudulentos foram enviados aos assinantes da fundação e a outras pessoas usando o endereço de e-mail oficial updates@blog.ethereum.org.
A investigação da fundação concluiu que nenhuma vítima perdeu criptomoedas com o ataque. No entanto, o atacante pode ter exposto os endereços de e-mail de 81 assinantes.
Os e-mails continham um anúncio falso afirmando que a Fundação Ethereum havia feito uma parceria com a organização autônoma descentralizada Lido (LidoDAO) para oferecer um rendimento de 6,8% em Ether (stETH) em staking, Wrapped Ether (WETH) ou depósitos de Ether (ETH). Informava aos assinantes que o staking seria "Protegido e Verificado pela Fundação Ethereum."
Os usuários que clicavam no botão "Iniciar Staking" no e-mail eram direcionados a um aplicativo web malicioso, que se anunciava como um "Launchpad de Staking."
Clicar no botão "Stake" dentro desse aplicativo enviava uma transação para a carteira do usuário. Se o usuário aprovasse essa transação, "sua carteira seria drenada", afirmou a postagem.
Quando os e-mails maliciosos foram descobertos, a fundação respondeu bloqueando o atacante de enviar mais e-mails. Também "fechou o caminho de acesso malicioso que o ator da ameaça havia usado para obter acesso ao provedor de lista de e-mails", garantindo que o atacante não pudesse mais acessar o endereço de e-mail. Além disso, enviou avisos para várias listas negras, provedores de carteiras Web3 e Cloudfare para que os usuários pudessem receber avisos se tentassem navegar até o site malicioso.
Após uma investigação adicional, a Fundação Ethereum descobriu que o atacante havia carregado um banco de dados contendo novos endereços de e-mail que não faziam parte da lista de assinantes da Fundação Ethereum, implicando que alguns usuários que não estavam na lista podem ter recebido os e-mails fraudulentos.
Além disso, o atacante "exportou os endereços de e-mail da lista de mala direta do blog, que totalizavam 3.759 endereços de e-mail."
A fundação tentou determinar se o atacante obteve algum novo endereço de e-mail com a exploração. Descobriu que "a lista de mala direta do blog continha 81 endereços de e-mail que o ator da ameaça não tinha conhecimento prévio, e o restante eram endereços duplicados."
Felizmente, o atacante parece não ter ganho criptomoedas com o ataque. A fundação afirmou:
"A análise das transações on-chain feitas para o ator da ameaça entre o momento em que enviaram a campanha de e-mail e o momento em que o domínio malicioso foi bloqueado, parece mostrar que nenhuma vítima perdeu fundos durante esta campanha específica enviada pelo ator da ameaça."
Campanhas de phishing são uma maneira comum de os usuários de criptomoedas perderem seus fundos. Em 23 de junho, um membro da MakerDAO perdeu US$ 11 milhões após fazer várias aprovações de tokens erradas, aparentemente após interagir com um aplicativo web falso. Em 26 de junho, um endereço de e-mail de marketing da rede blockchain Hadera Hashgraph também foi hackeado para enviar e-mails fraudulentos.