Ethereum Foundation’ın e-posta adresi hacklenip Lido staking dolandırıcılığında kullanıldı

Ethereum Foundation’ın çalınan e-postasından sahte bir Lido staking programının reklamı yapıldı.

Duyuruya göre Ethereum Foundation’ın resmi güncellemeleri göndermek için kullandığı e-postası 23 Haziran’da ele geçirildi.

Saldırganlar, 35.794 adrese dolandırıcılık e-postaları göndermek için [email protected] e-posta adresini kullandı.

E-postada, Ethereum Foundation’ın LidoDAO ile iş birliği yaptığı, ortaklığın bir parçası olarak stake edilmiş Ether (stETH), Wrapped Ether (WETH) veya Ether’de %6,8 getiri sağlayan bir programın başlatıldığı yazıyordu.

Duyuruda, “İş birliği, derin likidite ve rekabetçi ödüller sunmak için her iki kuruluşun güçlü yanlarından faydalanıyor ve 100’den fazla entegrasyonla staking deneyiminizi geliştiriyor” metninin yer aldığı tespit edildi.

Ayrıca staking hizmetinin Ethereum Foundation tarafından “korunacağını ve doğrulanacağını” belirten bir açıklamada yer alıyordu.

Saldırganlar, duyurunun son kısmında kullanıcıları kendi web sitesine yönlendiren “Begin Staking” yani stake etmeye başka butonuna yer verdi.

“Staking Launchpad” olarak adlandırılan kötü amaçlı web sitesinin arka planda çalışan bir “kripto emiciye” sahip olduğu iddia ediliyor. Ayrıca web sitesi ilk görüşte güven sağlayan profesyonel bir tasarıma sahipti.

Web sitesindeki “Stake” butonuna tıklayan herkesin cüzdanındaki işlemi onaylaması istendi. Sonuç olarak onaylayan kullanıcıların cüzdanındaki tüm kripto paralar boşaltılması hedefleniyordu.

Etkilenen kullanıcı olmadı

Ethereum ekibi, ele geçirilen e-posta adresinin kontrolünün kısa sürede geri kazanıldığını ve saldırıda herhangi bir fon kaybının yaşanmadığını bildirdi.

“Saldırganın e-posta kampanyasını göndermesi ile kötü amaçlı alan adının engellenmesi arasında gerçekleştirilen on-chain işlemlerin analizi sonucunda hiçbir kurbanın para kaybetmediğini tespit ettik.”

Ethereum Foundation

Ekip ayrıca hackerın, Ethereum Foundation abone listesinde yer almayan e-posta adreslerini içeren bir veritabanı yüklediğini de keşfetti. Sonuç olarak, abone olmayan birçok kullanıcı da dolandırıcılık e-postası aldı.

Saldırgan ayrıca 3.759 e-posta adresini içeren “blog sayfasına kayıtlı e-posta adreslerini” de dışarı aktardı. Ancak listede yalnızca 81 e-posta adresi vardı ve geri kalanı “yinelenen adreslerdi”.

Bu arada Ethereum Foundation, birkaç cüzdan sağlayıcısı, kara liste ve DNS sağlayıcısı Cloudflare ile de iletişime geçti. Bu platformlardan, kullanıcılar kötü niyetli web sitesine yönlendirildiğinde uyarı vermelerini istedi.

Kripto para sektörü, e-posta yoluyla yapılan oltalama saldırılarına yabancı değil. Haziran ayı başlarında, birkaç önemli kripto fenomeni, tanınmış bir e-posta sağlayıcısının ele geçirildiğini ve kullanıcılara sahte airdropları teşvik eden dolandırıcı e-postalar gönderildiğini bildirdi. Bundan önce, kripto para ile ilgili birkaç önemli kuruluşun e-posta adresleri oltalama e-postaları göndermek için kullanıldı.