Un actor de amenazas comprometió el proveedor de listas de correo de Ethereum y envió a más de 35.000 direcciones un correo electrónico de phishing con un enlace a un sitio malicioso que ejecuta un drenador de criptomonedas.
Ethereum reveló el incidente en una publicación de blog esta semana y dijo que no tuvo un impacto material en los usuarios.
Detalles del ataque
El ataque ocurrió la noche del 23 de junio cuando se envió un correo electrónico desde la dirección ‘updates@blog.ethereum.org’ a 35.794 direcciones.
Ethereum dice que el actor de la amenaza utilizó una combinación de su propia lista de direcciones de correo electrónico y otras 3.759 exportadas desde la lista de correo del blog de la plataforma. Sin embargo, solo 81 de las direcciones exportadas eran desconocidas previamente para el atacante.
El mensaje atrajo a los destinatarios al sitio web malicioso con un anuncio de una colaboración con Lido DAO y los invitó a aprovechar un rendimiento porcentual anual (APY) del 6,8% en Ethereum en stake.
Fuente: Ethereum
Al hacer clic en el botón integrado “Comenzar a apostar” para obtener los retornos de inversión prometidos, las personas eran llevadas a un sitio web falso pero diseñado profesionalmente para aparecer como parte de la promoción.
Si los usuarios conectaran sus billeteras en ese sitio y firmaran la transacción solicitada, un drenador de criptomonedas vaciaría sus billeteras, enviando todos los montos al atacante.
Fuente: Ethereum
La respuesta de Ethereum
Ethereum dice que su equipo de seguridad interna lanzó una investigación lo antes posible para identificar al atacante, comprender el propósito del ataque, determinar la línea de tiempo e identificar a las partes afectadas.
Al atacante se le impidió rápidamente enviar más correos electrónicos y Ethereum recurrió a Twitter para… notificar a la comunidad sobre los correos electrónicos maliciosos, advirtiendo a todos que no hagan clic en el enlace.
Ethereum también envió el enlace malicioso a varias listas de bloqueo, lo que llevó a que fuera bloqueado por la mayoría de los proveedores de billeteras Web3 y Cloudflare.
El análisis de transacciones en cadena mostró que ninguno de los destinatarios del correo electrónico cayó en la trampa durante la campaña.
Ethereum concluye diciendo que ha tomado medidas adicionales y está migrando algunos servicios de correo electrónico a otros proveedores para evitar que un incidente de este tipo vuelva a ocurrir.
