По данным Ether.fi, в ходе инцидента злоумышленники попытались использовать процесс восстановления Gandi, чтобы получить контроль над доменом Ether.fi. Первые признаки нарушения появились в 16:38 по UTC, когда команда получила уведомление о восстановлении по электронной почте от Gandi.