코인텔레그래프에 따르면, 지난 6월 23일 이더리움 재단의 “업데이트 소식 알림” 이메일 계정이 해킹되어 피싱 사기를 조장하는 데 사용되었던 것으로 재단의 7월 2일 자 블로그 게시글에서 밝혀졌다. 재단은 계정을 복구한 상태이며, 악성 이메일은 더 이상 발송되지 않는다.
해당 게시글에 따르면, 3만5,794개의 사기 이메일이 공식 updates@blog.ethereum.org 이메일 주소를 사용하여 재단 구독자 및 기타 개인에게 전송됐다. 재단의 조사 결과 해당 공격으로 인해 암호화폐를 잃은 피해자는 없다는 결론이 내려졌다.
그러나 81명의 구독자 이메일 주소가 공격자에게 노출되었을 가능성이 있다.
이메일에는 이더리움 재단이 리도 탈중앙화 자율 조직(LidoDAO)과 파트너십을 맺고 스테이킹된 이더리움(stETH), 랩트 이더리움(WETH) 또는 이더리움에 대해 6.8%의 수익률을 제공한다는 가짜 발표가 포함되어 있었다.
또한 가입자에게는 스테이킹이 “이더리움 재단에 의해 보호되고 검증될 것”이라고 설명했다.
이메일에서 “스테이킹 시작” 버튼을 클릭한 사용자는 “스테이킹 런치패드”라고 광고하는 악성 웹 앱으로 연결이 됐다. 그리고 이 앱 내에서 “스테이킹” 버튼을 클릭하면 트랜잭션이 사용자의 지갑으로 푸시된다.
사용자가 해당 거래를 승인했다면 “지갑이 고갈 되었을 것”이라고 게시물은 설명한다.
악성 이메일이 발견되자 재단은 공격자가 더 이상 이메일을 보내지 못하도록 차단을 함으로써 대응에 나섰다. 또 “위협 행위자가 메일링 리스트 공급자에 대한 액세스 권한을 얻는 데 사용한 악의적인 액세스 경로를 차단”하여 공격자가 더 이상 이메일 주소에 액세스할 수 없도록 조치했다.
그리고 다양한 블랙리스트, 웹3 지갑 제공업체 및 클라우드페어에 알림을 보내 사용자가 악성 사이트로 이동하려고 시도하면 경고를 받을 수 있도록 했다.
한편, 추가 조사가 이뤄진 후 이더리움 재단은 공격자가 이더리움 재단의 가입자 목록에 포함되지 않은 새 이메일 주소가 포함된 데이터베이스를 업로드했음을 발견했으며, 이는 목록에 없는 일부 사용자가 사기 이메일을 받았을 수 있음을 암시한다.
또 재단은 공격자가 익스플로잇을 통해 새로운 이메일 주소를 얻었는지 확인한 결과 “블로그 메일링 리스트에는 위협 행위자가 이전에 알지 못했던 81개의 이메일 주소가 포함되어 있었고 나머지는 중복 주소였다”고 전했다.