Am 2024-06-23, 00:19 UTC, wurde eine Phishing-E-Mail an 35.794 E-Mail-Adressen von gesendet updates@blog.ethereum.org mit dem folgenden Inhalt
Benutzer, die auf den Link in der E -Mail klickten, wurden an eine böswillige Website gesendet:
Diese Website hatte einen Krypto -Drainer im Hintergrund, und wenn ein Benutzer seine Brieftasche einleitete und die von seiner Website angeforderte Transaktion unterschrieben hätte, wäre seine Brieftasche entwässert worden.
Unser internes Sicherheitsteam hat sofort eine Untersuchung eingeleitet, um festzustellen, wer den Angriff eingeleitet hat, was das Ziel des Angriffs war, als es geschah, wer betroffen war und wie es geschah.
Einige der intialen Maßnahmen waren:
- Verhinderte, dass der Bedrohungsakteur zusätzliche E -Mails sendet.
- Senden Sie Benachrichtigungen über Twitter und E -Mail, um nicht auf den betreffenden Link zu klicken.
- Schließe den böswilligen Zugangspfad, den der Schauspieler mit dem Bedrohungsakteur verwendet hatte, um Zugriff auf den Anbieter von Mailinglisten zu erhalten.
- Übermittelte den böswilligen Link an verschiedene Blacklists und wurde dann von der Mehrheit der Web3 -Wallet -Anbieter und der Cloudflare blockiert.
Unsere Untersuchung des Angriffs zeigte:
- Der Bedrohungsakteur importierte eine große eigene E -Mail -Liste in die Mailing -List -Plattform, um für die Phishing -Kampagne verwendet zu werden.
- Der Bedrohungsakteur exportierte die E -Mail -Adressen der Blog -Mailingliste, die insgesamt 3759 E -Mail -Adressen betrug.
- Als wir die E -Mails in der E -Mail -Liste verglichen, die der Bedrohungsakteur importiert hatte, konnten wir feststellen, dass die Blog -Mailingliste in der Blog 81 E -Mail -Adressen enthielt, über die der Bedrohungsakteur zuvor keine Kenntnisse hatte, und der Rest waren doppelte Adressen.
- Analyse von On-Chain-Transaktionen, die zwischen dem Zeitpunkt des Versands der E-Mail-Kampagne und zu der Zeit, als die böswillige Domain blockiert wurde, analysiert, scheinen zu zeigen, dass während dieser speziellen Kampagne, die der Bedrohungsschauspieler gesendet hat, keine Opfer verloren hat.
Während wir weiter an diesem Vorfall arbeiten, haben wir zusätzliche Maßnahmen wie die Migration einiger Mail -Dienste auf andere Anbieter ergriffen, um das Risiko eines weiteren Ereignisses weiter zu verringern.
Es tut uns zutiefst leid, dass dieser Vorfall stattgefunden hat, und arbeiten fleißig mit unserem internen Sicherheitsteam sowie externen Sicherheitsteams zusammen, um diesen Vorfall weiter anzusprechen und zu untersuchen.
Alle Fragen können darauf gerichtet werden Security@ethereum.org.
