W weekend konto Vitalika Buterina na Twitterze zostało zhakowane. Następnie haker opublikował złośliwy link na stronie twórcy Ethereum, po kliknięciu w który ofiary oszustwa straciły środki ze swoich portfeli kryptowalutowych. W rezultacie ich łączna strata osiągnęła równowartość 691 000 USD. Teraz Buterin nie tylko przywrócił dostęp do konta, ale także opowiedział o szczegółach incydentu.
Plan hakera polegał na wykorzystaniu złośliwego smart kontraktu po tym, jak ofiara weszła na stronę z publikacji na koncie Buterina. Zawierała ona upoważnienie do wypłaty kryptowalut z portfela użytkownika. W związku z tym, gdy dana osoba wyraziła zgodę na interakcję z kontraktem, zasadniczo pozwoliło to również oszustom na wypłacanie monet i NFT z portfela.
Jak okazało się, oszustwo zakończyło się zarobkiem ” oszustów na poziomie prawie 700 tysięcy dolarów. Najdroższym skradzionym aktywem okazał się przedstawiciel legendarnej kolekcji Cryptopunk o numerze 3983. Jego wartość wyceniono na 153,62 ETH, czyli około 250 tysięcy dolarów.
Niektórzy użytkownicy stwierdzili, że Buterin musi zrekompensować ofiarom oszustwa, ponieważ to jego konto zostało zhakowane. Według nich deweloper nie zadbał o bezpieczeństwo swojego konta w odpowiedni sposób, przez co ucierpieli ludzie. Chociaż, jak teraz stało się jasne, główną rolę odegrało tutaj niewystarczające potwierdzenie tożsamości przez przedstawicieli operatora komórkowego, a także wątpliwy system bezpieczeństwa platformy X, który można ominąć za pomocą jednego numeru telefonu.
Jak zostało zhackowane konto Vitalika Buterina?
Atakujący przejął konto poprzez tak zwany atak SIM-swap. Tak właśnie twierdzi sam Vitalik na platformie społecznościowej Farcaster.
Ten rodzaj ataku polega na przekonaniu pomocy technicznej operatora, że karta SIM została rzekomo utracona. Innymi słowy, atakujący udaje ofiarę i prosi o przywrócenie numeru telefonu komórkowego na nowej karcie SIM. Cóż, dostęp do numeru pozwala ominąć zabezpieczenia konta w sieci społecznościowej. Buterin przyznaje, że to, co się stało, było dla niego zaskoczeniem.
“Numer telefonu wystarczy do zresetowania hasła do konta, nawet jeśli nie jest on używany w uwierzytelnianiu dwuskładnikowym. Widziałem już wcześniej ostrzeżenia na ten temat, ale nie zdawałem sobie sprawy, że może to być tak poważne.”
Uwierzytelnianie dwuskładnikowe (2FA) to metoda ochrony konta, w której oprócz hasła wymagany jest inny identyfikator do logowania przy użyciu kombinacji wysłanej przez numer telefonu lub wygenerowanej w specjalnej aplikacji, takiej jak Google Authenticator. Vitalik nie pamięta, kiedy wprowadził swój numer w ustawieniach konta, ale przyznaje, że stało się to po zasubskrybowaniu Twitter Blue.
Jest to główna luka w zabezpieczeniach tej platformy. Sądząc po uwagach Buterina, nie używał on swojego numeru telefonu jako narzędzia uwierzytelniania dwuskładnikowego. Jednocześnie dostęp do numeru telefonu Vitalika przez hakera wystarczył, aby zresetować wszystkie zabezpieczenia i wykorzystać konto dewelopera.
Kontrowersje T-Mobile
To nie pierwszy raz, kiedy T-Mobile jest zamieszany w taki skandal. W 2020 roku gigant telekomunikacyjny został pozwany za rzekome umożliwienie kradzieży kryptowaluty o wartości 8,7 miliona dolarów poprzez serię ataków SIM-swap. W lutym 2021 r. T-Mobile został dodatkowo pozwany, gdy klient stracił 450 000 USD w Bitcoinach w wyniku kolejnego takiego ataku.
Jednocześnie sama technika tzw. SIM-swappingu znana jest już od dłuższego czasu. Przedstawiciele FBI ostrzegali o jej popularności ze strony oszustów już w sierpniu 2023 roku. Jak zauważyli wówczas przedstawiciele organu, oszuści celowo próbują uzyskać dostęp do kont znanych przedstawicieli społeczności kryptowalutowej, po czym publikują wiadomości, które wymuszają na ofierze szybsze popełnienie błędu.
Warto zauważyć, że Buterin nie wspomniał o kwestii potencjalnego odszkodowania dla tych, którzy kliknęli złośliwy link. Jest to logiczne, ponieważ odpowiedzialność za ochronę własnych zasobów cyfrowych spoczywa na ich właścicielu w taki czy inny sposób. W związku z tym nie należy liczyć na to, że Vitalik zrekompensuje straty.
Sytuacja ta po raz kolejny przypomniała o niebezpieczeństwie tego wektora ataku oszustów. W tym przypadku uwypukliła również niedoskonałość systemu bezpieczeństwa Twittera. Obecność numeru telefonu wystarczyła do ominięcia wszystkich danych do autoryzacji. Posiadacze kryptowalut powinni więc oczywiście trzymać większość swoich oszczędności w portfelach sprzętowych. Wymagają one bowiem fizycznej obecności urządzenia do transakcji. Powinni też przestać klikać w linki na platformach społecznościowych, bez względu na to, kto je publikuje.
Zbudowane przez Ari10. Możliwość płatności BLIKZbudowane przez Ari10. Możliwość płatności BLIK