Siła autorytetu, podobnie jak i chciwości jest niebywała. Po tym jak konto współtwórcy Ethereum na portalu X zostało zhackowane i gdy pojawił się na nim fałszywy link, wystarczyło zaledwie kilka godzin, aby niczego nieświadome ofiary hakerów straciły prawie… 700 tys. dolarów.
Darmowe coiny i pusty portfel
Vitalik Buterin, współtwórca kodu źródłowego sieci Ethereum, jest nie tylko jedną z najpopularniejszych, ale również cieszących się największym autorytetem, osób w kryptowalutowej społeczności. Jego konto na portalu X (Twitterze (NYSE:TWTR)), śledzone przez prawie 5 mln osób, w sobotę zostało zhackowane.Oszuści, którzy uzyskali dostęp do konta Buterina opublikowali - usunięty już przez administrację portalu - post, w którym współtwórca Ethereum zachęcał do odebrania pamiątkowych, darmowych tokenów NFT. Miały one zostać wyemitowane przez firmę Consensys (która również cieszy się sporym autorytetem) z powodu nadchodzącej aktualizacji sieci wprowadzającej tzw. proto-danksharding, który pozwoli na znaczące zmniejszenie rozmiaru transakcji i tym samym obniżenie kosztów jej wykonania.
Aby odebrać „darmowe NFT” należało kliknąć w link i podpiąć swój portfel. Jak nietrudno się domyślić udostępniony przez oszustów link był fałszywy, a Consensys nie wyemitował żadnych pamiątkowych NFT. Celem hakerów było uzyskanie dostępu do portfeli ETH niczego nieświadomych ofiar.
WARNING! I JUST LOST A FEW PUNKS!Wg użytkownika portalu X o pseudonimie ZachXBT hakerom, którzy przejęli konto Vitalika Buterina, w ciągu zaledwie kilkunastu godzin udało się ukraść środki o wartości ponad… 691 tys. dolarów z portfeli osób, które chciały otrzymać „darmowe coiny”. Największą stratę poniósł właściciel portfela, na którym znajdowały się tokeny NFT CryptoPunk o wartości ponad ćwierć miliona dolarów.DON'T INTERACT! pic.twitter.com/lS4VvlHdVa
— luckytimes.eth beautifuldaytobealive.eth (@BokkyPooBah) September 9, 2023
Update: $691k drained (another 33% in drainer fee address) pic.twitter.com/AVIShqDlMUO tym, że konto Vitalika Buterina zostało zhackowane poinformował w niedzielę przed południem na portalu X jego ojciec Dima Buterin. Niedługo później administracja portalu usunęła post, w którym znajdował się link do odbioru fałszywych pamiątkowych tokenów NFT.— ZachXBT (@zachxbt) September 9, 2023
Współtwórca Ethereum jak na razie nie skomentował ataku na jego konto i najprawdopodobniej wciąż nie odzyskał do niego dostępu. Na portalu X pojawiło się wiele hipotez na temat tego w jaki sposób hakerom udało się przejąć konto Buterina. Jedną z nich jest ta mówiąca o ataku SIM-swap, w którym oszustom udaje się dokonać duplikatu karty SIM ofiary. Jeżeli do przejęcia konta doszło właśnie w taki sposób, to nie świadczyłoby to dobrze o samym Buterinie. Od dawna bowiem wiadomo, że wykorzystywanie numeru telefonu do dwuskładnikowego uwierzytelniania oraz do resetowania hasła dostępu nie jest bezpieczne właśnie ze względu na wysokie ryzyko ataku SIM-swap. W przypadku osoby o tak dużych kompetencjach w zakresie cyberbezpieczeństwa i tak dużym autorytecie wykorzystywanie numeru telefonu do odzyskiwania hasła byłoby ogromnym niedopatrzeniem.
Pojawiły się również głosy mówiące o tym, że jeżeli Buterin rzeczywiście padł ofiarą ataku SIM-swap, to powinien zrekompensować przynajmniej część strat, które poniosły osoby klikające w fałszywy link i podpinające swój portfel.
O tym jak doszło do ataku powinniśmy dowiedzieć się w najbliższych dniach.