Según lo informado ayer por la Ethereum Foundation, el 23 de junio el servidor de correo electrónico de la organización fue comprometido con el fin de vehicular un servicio scam de crypto staking en Lido.
Los hackers han aprovechado las más de 35.000 direcciones suscritas al boletín de Ethereum para promover un correo de phishing con la dirección oficial del grupo.
En el mensaje, los usuarios eran invitados a hacer staking de crypto en Lido aprovechando un incentivo yield del 6,8%. En realidad, sin embargo, al hacer clic en la plataforma scam se autorizaba el drenaje del wallet
Veamos en detalle qué ha sucedido.
Summary
Hackeado el servidor de correo electrónico de la Ethereum Foundation: crypto hacker publicita una plataforma scam de Lido
El 23 de junio un hacker irrumpió dentro del servidor de correo de la Ethereum Foundation con la intención de promover una estafa crypto a los suscriptores del boletín.
Según lo informado ayer por los mismos empleados de la organización, se enviaron mensajes phishing a 35.794 contactos que contenían enlaces de drenaje.
En detalle el sujeto ha publicitado un falso staking en Lido a un yield particularmente elevado del 6,8% en stETH, WETH y ETH.
Para hacer más veraz el anuncio se ha utilizado la dirección de correo electrónico oficial de la Ethereum Foundation [email protected].
El hacker tuvo que justificar el rendimiento exagerado, siendo en realidad del 3% en la verdadera plataforma.
Por eso escribió que Ethereum estaba colaborando con Lido para ofrecer más ventajas a la comunidad, y que el staking era “garantizado y protegido”.
Al hacer clic en el botón “begin staking” en el correo de phishing, los usuarios eran redirigidos a una dapp scam que reproducía una interfaz similar a la de Lido.
Hasta aquí nada dañino, incluso conectando el wallet al falso sitio web de Lido en segundo plano.
Sin embargo, al intentar hacer “stake” en la aplicación fraudulenta, se recibía una solicitud en el wallet, que si se confirmaba comprometía toda la cartera.
Con un solo click, todos los fondos habrían sido drenados y enviados directamente a los bolsillos del scammer.
Este evento nos recuerda lo importante que es siempre controlar el dominio de las dapp que estamos utilizando, haciendo siempre una doble verificación.
Desafortunadamente, no es suficiente pasar por fuentes oficiales ya que, como en este caso, ellas también pueden estar comprometidas.
La respuesta post-mortem de Ethereum al ataque de phishing
La respuesta de la Ethereum Foundation se hizo esperar unos días después de que el crypto scam se difundiera con su propio correo electrónico.
El 2 de julio, con una publicación oficial el core developer Tim Beiko explicó lo sucedido a su propia comunidad.
El hacker habría violado el proveedor de correo electrónico de Ethereum “SendPulse” logrando obtener un acceso no autorizado.
La fundación todavía está trabajando con SendPulse para arreglar el problema, pero parece que por el momento el hackeo ha sido evitado.
El malintencionado ya no tiene acceso a los contactos de la organización de desarrollo de Ethereum y todo parece haberse resuelto.
Además, el mensaje scam promocionado, ha sido reenviado a varias listas negras de proveedores de carteras web3 para evitar problemas de contaminación.
El atacante ha exportado de hecho alrededor de 3,759 direcciones de la lista de correo del blog, probablemente con la intención de utilizarlas para otras estafas.
Luego, a raíz de investigaciones adicionales, Ethereum descubrió la existencia de una base de datos que contenía nuevas direcciones de correo electrónico no incluidas en la lista de la empresa.
Como escrito textualmente por Beiko:
“la lista de correo del blog contenía 81 direcciones de correo electrónico de las cuales el actor de la amenaza no tenía conocimiento previo y el resto eran direcciones duplicadas.”
Esto significa que algunos usuarios no abandonados a la organización podrían haber recibido el correo de phishing y que el scam podría haberse reproducido en otro lugar.
Al final todo está bien lo que bien acaba: no parece que haya habido casos de drenaje y ninguna crypto ha sido robada del ataque.
La Ethereum Foundation ha escrito lo siguiente para tranquilizar a sus usuarios del intento de scam:
“Análisis de las transacciones en cadena realizadas al actor de la amenaza entre el momento en que enviaron la campaña de correo electrónico y el momento en que el dominio malicioso fue bloqueado, parecen demostrar que ninguna víctima perdió fondos durante esta campaña específica enviada por el actor de la amenaza.”
Estafas y exploits en el mundo crypto: hackers en busca de visibilidad y fiabilidad
Los scammer están en constante búsqueda de ocasiones para obtener visibilidad a través de la cuenta oficial de un sujeto reconocido y confiable en el mundo crypto.
El último intento de ataque a la Ethereum Foundation, con el que se ha promovido una versión scam de Lido, es solo el último de una larga serie de episodios similares.
En un contexto en línea lleno de mensajes, no es fácil para los hackers hacerse notar entre la multitud: a menudo de hecho se posicionan en los comentarios de una publicación oficial con la esperanza de ser vistos por los más ingenuos.
Obtener el acceso a una herramienta de comunicación confiable y reconocida por la comunidad crypto es sin embargo el mejor método para atraer a más usuarios.
Esta vez el ataque no tuvo éxito ya que por un lado la Ethereum Foundation fue rápida en bloquear el envío de numerosos correos electrónicos. Por otro lado, probablemente el objetivo de los suscriptores de Ethereum está particularmente preparado y es experto en temas criptográficos, por lo que no se dejaron engañar.
En el pasado sin embargo, ha habido muchos intentos de estafa similares: El 26 de junio, una dirección de correo electrónico de marketing para la red blockchain Hedera Hashgraph también fue hackeada para enviar correos electrónicos de estafa.
el 23 de junio, 3 días antes, un miembro MakerDAO había perdido 11 millones de dólares después de interactuar con una aplicación web falsa.
También en la nueva blockchain de TON parece que los ataques phishing están en aumento, con los usuarios malintencionados que buscan aprovechar los periodos de popularidad de la red.
En general, sin embargo, como reportado por Peckshield, los robos registrados en blockchain en junio han disminuido en comparación con los observados en mayo.
De hecho, las pérdidas criptográficas en tal sentido bajaron a 176 millones de dólares el mes pasado, frente a los 385 millones de dólares de mayo.
Desde 2016 hasta hoy, como informa DeFiLlama, los hackeos y exploits totales ascienden a 8,3 mil millones de dólares.
