Một hacker đã xâm nhập vào máy chủ email của Ethereum Foundation, gửi email lừa đảo đến 35,794 người và ghi lại địa chỉ email của 81 người đăng ký. Vào ngày 23 tháng 6, tài khoản email “update” của Ethereum Foundation đã bị xâm nhập và sử dụng để quảng bá một lừa đảo phishing, theo một bài đăng trên blog của Ethereum Foundation vào ngày 2 tháng 7. Foundation đã khôi phục tài khoản này và các email độc hại không còn được gửi đi nữa.

Theo bài đăng, 35,794 email lừa đảo đã được gửi đến những người đăng ký và các cá nhân khác sử dụng địa chỉ email chính thức updates@blog.ethereum.org của foundation. Cuộc điều tra của foundation kết luận rằng không có nạn nhân nào mất tiền điện tử từ cuộc tấn công này. Tuy nhiên, kẻ tấn công có thể đã làm lộ địa chỉ email của 81 người đăng ký.

Các email này chứa thông báo giả mạo rằng Ethereum Foundation đã hợp tác với tổ chức tự trị phi tập trung Lido (LidoDAO) để cung cấp lợi suất 6.8% trên Ether (stETH) được stake, Wrapped Ether (WETH), hoặc Ether (ETH) gửi vào. Nó đảm bảo với người đăng ký rằng việc staking sẽ được “Bảo Vệ và Xác Minh bởi Ethereum Foundation.”

Người dùng nhấp vào nút “Begin Staking” trong email sẽ được chuyển hướng đến một ứng dụng web độc hại, tự quảng cáo là “Staking Launchpad.” Nhấp vào nút “Stake” trong ứng dụng này sẽ đẩy một giao dịch đến ví của người dùng. Nếu người dùng chấp nhận giao dịch này, ví của họ sẽ bị rút cạn, theo bài đăng.

Khi các email độc hại được phát hiện, foundation đã phản ứng bằng cách chặn kẻ tấn công gửi thêm email. Họ cũng “đóng lối truy cập độc hại mà kẻ tấn công đã sử dụng để truy cập vào nhà cung cấp danh sách email,” đảm bảo rằng kẻ tấn công không thể truy cập vào địa chỉ email nữa. Ngoài ra, foundation cũng gửi thông báo đến các danh sách đen, nhà cung cấp ví Web3 và Cloudflare để người dùng có thể nhận cảnh báo nếu họ cố gắng truy cập vào trang web độc hại.

Sau khi điều tra thêm, Ethereum Foundation phát hiện rằng kẻ tấn công đã tải lên một cơ sở dữ liệu chứa các địa chỉ email mới không thuộc danh sách người đăng ký của Ethereum Foundation, cho thấy rằng một số người dùng không nằm trong danh sách vẫn có thể nhận được email lừa đảo. Ngoài ra, kẻ tấn công “xuất danh sách email của blog, tổng cộng là 3,759 địa chỉ email.”

Foundation cố gắng xác định xem kẻ tấn công có lấy được bất kỳ địa chỉ email mới nào từ cuộc tấn công hay không. Họ phát hiện rằng “danh sách email của blog chứa 81 địa chỉ email mà kẻ tấn công chưa biết trước đó, và phần còn lại là các địa chỉ trùng lặp.”

May mắn thay, kẻ tấn công dường như không lấy được bất kỳ khoản tiền điện tử nào từ cuộc tấn công này. Foundation cho biết: “Phân tích các giao dịch trên chuỗi được thực hiện đến kẻ tấn công giữa thời gian họ gửi chiến dịch email và thời gian miền độc hại bị chặn cho thấy rằng không có nạn nhân nào mất tiền trong chiến dịch cụ thể này của kẻ tấn công.”

Các chiến dịch phishing là một cách phổ biến để người dùng tiền điện tử mất tiền. Vào ngày 23 tháng 6, một thành viên của MakerDAO đã mất 11 triệu USD sau khi chấp nhận nhầm các token, dường như sau khi tương tác với một ứng dụng web giả mạo. Vào ngày 26 tháng 6, một địa chỉ email tiếp thị của mạng blockchain Hadera Hashgraph cũng bị tấn công để gửi email lừa đảo.