2023-9-13 19:30 |
На выходных была взломана учётная запись Виталика Бутерина в Твиттере. После этого хакер разместил на странице создателя Эфириума вредоносную ссылку, после перехода по которой жертвы скама теряли средства с криптокошельков. В итоге их общий убыток достиг эквивалента 691 тысячи долларов. Теперь Бутерин не только восстановил доступ к аккаунту, но и поведал о деталях происшествия. Рассказываем о них подробнее.
Замысел хакера заключался в использовании вредоносного смарт-контракта после перехода жертвы на сайт из публикации в учётной записи Бутерина. В нём содержалось разрешение на вывод криптоактивов с кошелька пользователя. Соответственно, когда человек предоставлял разрешение на взаимодействие с контрактом, он по сути также позволял скамерам вывести монеты и NFT с его кошелька.
Как стало известно благодаря представителям криптосообщества, скам закончился «доходом» мошенников на уровне почти 700 тысяч долларов. Самым дорогим украденным криптоактивом оказался представитель легендарной коллекции Криптопанки под номером 3983. Он оценивался в 153.62 ETH или приблизительно 250 тысяч долларов.
С учётом происходящего некоторые пользователи заговорили о том, что Бутерин якобы должен возместить убытки жертвам скама из-за взлома его учётной записи. По их словам, разработчик не позаботился о безопасности своего аккаунта в должной мере, из-за чего пострадали люди. Хотя как стало понятно сейчас, здесь главную роль сыграли несовершенное подтверждение личности представителями мобильного оператора, а также сомнительная система безопасности платформы X, обойти которую позволяет один лишь номер телефона.
Как взломали Виталика БутеринаСогласно данным источников Cointelegraph, злоумышленник завладел аккаунтом за счёт так называемой атаки SIM-своп. Вот что об этом написал сам Виталик на социальной платформе Farcaster.
Наконец-то я получил доступ к своему номеру оператора T-mobile. Да, это была SIM-своп атака, то есть кто-то убедил T-mobile отдать ему номер моего мобильного телефона.
Данная разновидность атаки заключается в убеждении технической поддержки оператора в том, что SIM-карта якобы была утеряна. Иначе говоря, злоумышленник представляется якобы потерпевшим и просит восстановить мобильный номер на новой симке. Ну а доступ к номеру позволяет обходить уровни защиты аккаунта в социальной сети.
Бутерин признаётся, что произошедшее стало для него неожиданностью. Он продолжает.
Номера телефона достаточно, чтобы сбросить пароль для аккаунта, даже если он не используется в двухфакторной аутентификации. Я и раньше видел предупреждения по этому поводу, но не знал, что всё может быть настолько серьёзно.
Двухфакторная аутентификация (2FA) – это метод защиты учётной записи, при котором кроме пароля для входа требуется ещё один идентификатор в лице комбинации, отправленной по номеру телефона или сгенерированной в специальном приложении по типу Google Authenticator. Виталик не помнит, когда именно указал свой номер в настройках аккаунта, но допускает, что это случилось после подписки на Twitter Blue.
В этом заключается главная уязвимость данной платформы. Судя по репликам Бутерина, он не использовал номер телефона в качестве инструмента двухфакторной аутентификации. При этом доступа к номеру телефона Виталика со стороны хакера оказалось достаточным для того, чтобы сбросить всю защиту и распоряжаться учётной записью разработчика.
😈 БОЛЬШЕ ИНТЕРЕСНОГО МОЖНО НАЙТИ У НАС В ЯНДЕКС.ДЗЕНЕ!
T-Mobile уже не в первый раз оказывается вовлечённым в подобный скандал. В 2020 году на телекоммуникационного гиганта был подан иск за то, что он якобы обеспечил кражу криптовалюты на сумму 8.7 миллиона долларов в результате серии атак сим-своппинга. В феврале 2021 года на T-Mobile был подан дополнительный иск, когда клиент потерял 450 тысяч долларов в Биткоине в результате ещё одной SIM-своп атаки.
При этом сама техника так называемого сим-своппинга известна довольно давно. В частности, о её популярности со стороны мошенников ещё в августе 2023 года предупреждали представители ФБР. Как тогда отметили представители органа, скамеры целенаправленно пытаются получить доступ к аккаунтам известных представителей криптосообщества, после чего публикуют сообщения, которые вынуждают жертву быстрее совершить ошибку.
Примечательно, что Бутерин не упомянул вопрос потенциальных компенсаций для тех, кто перешёл по вредоносной ссылке. И это логично, ведь ответственность за сохранение собственных цифровых активов так или иначе лежит на их владельце. Соответственно, рассчитывать на возмещение потерь от Виталика, который является миллионером и даже стал миллиардером во время предыдущего буллрана в 2021 году, не стоит.
Данная ситуация в очередной раз напомнила об опасности данного вектора атаки мошенников. Причём в этом случае она также подчеркнула несовершенство системы безопасности Твиттера, где для обхода всех данных для авторизации хватило наличия номера телефона. Так что владельцам криптовалют явно стоит хранить основную часть криптосбережений на аппаратных кошельках, для проведения транзакций с которыми требуется физическое наличие устройства, а также перестать переходить по ссылкам на социальных платформах, кто бы их ни публиковал.
А что вы думаете по этому поводу? Поделитесь своим мнением в нашем крипточате бывших богачей. Там поговорим и на другие важные темы, которые сказываются на настроениях внутри индустрии цифровых активов.
ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.
Аналог Notcoin - Blum - Играй и зарабатывай Монеты