コインテレグラフやウォレットコネクト、トークンターミナルなど、大手Web3企業のメールアドレスを悪用したフィッシング攻撃により、被害者から58万ドル以上が盗まれた。
コインテレグラフは、攻撃者がどのように公式のメールアドレスを使用してマルウェアリンクを送信したかを把握するために、影響を受けた当事者に連絡した。メールサービスプロバイダーのメイラー・ライトがハッキングされた可能性があり、現在は同社が調査中であることを確認している。
仮想通貨探偵のZachXBTによると、フィッシングメールが配信されて以来、盗まれた仮想通貨が58万ドルを超えたという。同氏はテレグラムチャンネルでマルチチェーンアドレスを警告した。
このアドレスには、280種類の異なる仮想通貨が混在しており、ウォレットのポートフォリオの86%がイーサリアム(ETH)で占められている。記事執筆時点では227ETHに相当する。
ウォレットコネクトは、X(旧Twitter)で、マルウェアのエアドロップリンクをクリックするように促すフィッシングメールが送られていることをユーザーに警告した。
We’re aware of an email that appears to have been sent from an email address linked to WalletConnect prompting recipients to open a link to be able to claim an airdrop.
— WalletConnect (@WalletConnect) January 23, 2024
We can confirm that this email was not issued directly from WalletConnect or any WalletConnect affiliates, and… pic.twitter.com/bksAlMnWja
Web3 SocialFiアプリのDe.Fiユーザーも、ローンチパッドを宣伝するメールで標的とされている。このメールには、エアドロップへのリンクが含まれている。攻撃者は、架空のエアドロップを備えた偽のトークンターミナルベータリリースを発表している。
ウォレットコネクトのCOOであるジェス・ハウルグレイブ氏は、攻撃者が同社の実際のメールアドレスを使用してフィッシングメールを送信しており、MailerLiteとも連絡を取り合っていると語った。
サイバーセキュリティプラットフォームのハドソン・ロックのレポートによると、メイラー・ライトの従業員のコンピューター上でCRYPTBOT Infostealerマルウェアプログラムのコピーを特定。ハドソン・ロックは、このマルウェアプログラムがメイラー・ライトのサーバーへのアクセスを取得するために使用された可能性があると主張しており、その後、さらなる攻撃に使用するためにデータが盗まれたかもしれないという。
コインテレグラフも、メールサービスプロバイダーとしても利用しているメイラー・ライトから、攻撃者が公式のメールアドレスを利用した経緯の説明を待っている。
トークンターミナルとDe.Fiは、コメントの要請にまだ応答していない。Web3セキュリティ企業のブロッケイドが提供した情報によると、攻撃者は、レジャー・コネクト・キット攻撃でも使用された、ウォレットを空にするソフトウェアのエンジェル・ドレイナーを使用した。