هکرها با نفوذ به یکی از فهرستهای ایمیل بنیاد اتریوم توانستند ایمیلهایی حاوی لینکهای مخرب به بیش از ۳۵ هزار کاربر این سازمان ارسال کنند. این لینکهای مخرب، کاربران را به یک سایت آلوده به کریپتو دراینر[1] (تخلیه کننده کیف پول ارز دیجیتال) هدایت کردهاند.
این حمله در شب 23 ژوئن رخ داد و ایمیلی از آدرس “updates@blog.ethereum.org” به ۳۵,۷۹۴ کاربر اتریوم ارسال شد.
این ایمیل با مضمون اعلام همکاری و مشارکت اتریوم با مجموعه Lido DAO بود که گیرندگان را به سمت وب سایت جعلی جذب کرد و از آنها دعوت کرد تا با کلیک بر روی لینک ارائه شده از سود ۶.۸ درصدی سالانه (APY) بابت سرمایه گذاری در اتریوم استفاده کنند.
کاربران با کلیک بر روی لینک ارائه شده در ایمیل به وب سایتی هدایت شدند که جعلی بوده اما دارای طراحی حرفهای میباشد. چنانچه کاربری، کیف پول خود را به وب سایت جعلی متصل کرده و تراکنش درخواستی را امضا کرده باشد، یک کریپتو دراینر، تمام موجودی کیف پول ارز دیجیتال قربانی را برای مهاجم ارسال کرده است.
اتریوم خبر داد که تیم امنیت داخلی آن تحقیقاتی را برای شناسایی مهاجم، درک هدف حمله، تعیین جدول زمانی و شناسایی قرباینان آغاز کرده است.
اتریوم فورا با انتشار توئیتی در توییتر، موضوع ایمیلهای جعلی را اطلاع رسانی کرد و هشدار داد که بر روی این لینکها کلیک نشود. این لینک مخرب توسط اکثر ارائه دهندگان کیف پول Web3 و Cloudflare مسدود شدند.
اتریوم همچنین اعلام کرد که برخی سرویسهای ایمیل خود را به سایر ارائهدهندگان منتقل کرده است تا از تکرار چنین رخدادهایی جلوگیری به عمل آورد. تجزیه و تحلیل تراکنشهای زنجیرهای حاکی از آن است که هیچ یک از گیرندگان ایمیل در طول این حمله، دچار مشکل نشدهاند و هیچگونه زیان مالی به کاربران اتریوم وارد نشده است.
[1] crypto drainer
