Ένας κακόβουλος παράγοντας παραβίασε τον πάροχο της λίστας αλληλογραφίας του Ethereum και έστειλε σε περισσότερες από 35.000 διευθύνσεις ένα email ηλεκτρονικού phishing με έναν σύνδεσμο προς έναν κακόβουλο ιστότοπο που εκτελούσε ένα πρόγραμμα crypto draining.
Δείτε επίσης: Ethereum: Καταχράστηκε για κλοπή 60 εκατομμυρίων δολαρίων από 99.000 θύματα
Το Ethereum αποκάλυψε το περιστατικό σε μια ανάρτηση ιστολογίου αυτή την εβδομάδα και είπε ότι δεν είχε καμία ουσιαστική επίδραση στους χρήστες.
Λεπτομέρειες επίθεσης
Η επίθεση σημειώθηκε το βράδυ της 23ης Ιουνίου όταν εστάλη ένα email από τη διεύθυνση «updates@blog.ethereum.org» σε 35.794 διευθύνσεις.
Το Ethereum λέει ότι ο κακόβουλος παράγοντας χρησιμοποίησε έναν συνδυασμό της δικής του λίστας διευθύνσεων email και επιπλέον 3.759 που εξήχθησαν από τη λίστα αλληλογραφίας του ιστολογίου της πλατφόρμας. Ωστόσο, μόνο 81 από τις εξαγόμενες διευθύνσεις ήταν προηγουμένως άγνωστες στον εισβολέα.
Το μήνυμα παρέσυρε τους παραλήπτες στον κακόβουλο ιστότοπο crypto draining, με μια ανακοίνωση συνεργασίας με το Lido DAO και τους κάλεσε να επωφεληθούν από την ετήσια ποσοστιαία απόδοση (APY) 6,8% στο staked Ethereum. Κάνοντας κλικ στο ενσωματωμένο κουμπί “Έναρξη πονταρίσματος” για να λάβουν τις υποσχόμενες αποδόσεις της επένδυσης, οι χρήστες οδηγούνταν σε έναν ψεύτικο αλλά επαγγελματικά κατασκευασμένο ιστότοπο που δημιουργήθηκε για να εμφανιστεί ως μέρος της προώθησης.
Δείτε ακόμα: FBI: Νέα crypto scams – Κυβερνοεγκληματίες υποδύονται τους δικηγόρους
Εάν οι χρήστες συνέδεαν τα πορτοφόλια τους σε αυτόν τον ιστότοπο και υπέγραφαν τη συναλλαγή που ζητήθηκε, μια συσκευή crypto draining θα άδειαζε τα πορτοφόλια τους, στέλνοντας όλα τα ποσά στον εισβολέα.
Η Ethereum λέει ότι η ομάδα εσωτερικής ασφαλείας της ξεκίνησε έρευνα το συντομότερο δυνατό για να εντοπίσει τον εισβολέα, να κατανοήσει τον σκοπό της επίθεσης, να καθορίσει το χρονοδιάγραμμα και να εντοπίσει τα επηρεαζόμενα μέρη.
Ο εισβολέας αποκλείστηκε γρήγορα από το να στείλει περισσότερα μηνύματα ηλεκτρονικού phishing και το Ethereum στράφηκε στο Twitter για να ειδοποιήσει την κοινότητα για τα κακόβουλα email, προειδοποιώντας όλους να μην κάνουν κλικ στον σύνδεσμο. Το Ethereum υπέβαλε επίσης τον κακόβουλο σύνδεσμο σε διάφορες λίστες αποκλεισμού, γεγονός που οδήγησε στον αποκλεισμό του από τους περισσότερους παρόχους πορτοφολιών Web3 και το Cloudflare.
Η ανάλυση συναλλαγών στην αλυσίδα έδειξε ότι κανένας από τους παραλήπτες email δεν έπεσε στην παγίδα κατά τη διάρκεια της καμπάνιας. Το Ethereum καταλήγει λέγοντας ότι έχει λάβει πρόσθετα μέτρα και μεταφέρει ορισμένες υπηρεσίες email σε άλλους παρόχους για να αποτρέψει την επανάληψη ενός τέτοιου περιστατικού.
Δείτε επίσης: Hackers στοχεύουν HFS servers για εγκατάσταση cryptominers
Το crypto draining, όπως στην περίπτωση των διευθύνσεων Ethereum, αναφέρεται στη μη εξουσιοδοτημένη μεταφορά κρυπτονομισμάτων από το πορτοφόλι ενός χρήστη χωρίς τη συγκατάθεσή του. Αυτή η κακόβουλη δραστηριότητα μπορεί να προκύψει για διάφορους λόγους, συμπεριλαμβανομένων των απατών ηλεκτρονικού phishing, των επιθέσεων κακόβουλου λογισμικού και της εκμετάλλευσης τρωτών σημείων σε δίκτυα blockchain ή λογισμικό κρυπτογραφικού πορτοφολιού. Μόλις το κρυπτονόμισμα αποστραγγιστεί, είναι συχνά δύσκολο να εντοπιστεί και να ανακτηθεί λόγω της ανώνυμης φύσης των συναλλαγών blockchain. Για την προστασία από το crypto draining, συνιστάται στους χρήστες να χρησιμοποιούν ισχυρά μέτρα ασφαλείας, όπως η χρήση πορτοφολιών υλικού, η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων και η επαγρύπνηση έναντι απόπειρας phishing.
Πηγή: bleepingcomputer
