Siła autorytetu, podobnie jak i chciwości jest niebywała. Po tym jak konto współtwórcy Ethereum na portalu X zostało zhackowane i gdy pojawił się na nim fałszywy link, wystarczyło zaledwie kilka godzin, aby niczego nieświadome ofiary hakerów straciły prawie… 700 tys. dolarów.
Dalsza część artykułu znajduje się pod materiałem wideo
Darmowe coiny i pusty portfel
Vitalik Buterin, współtwórca kodu źródłowego sieci Ethereum, jest nie tylko jedną z najpopularniejszych, ale również cieszących się największym autorytetem, osób w kryptowalutowej społeczności. Jego konto na portalu X (Twitterze), śledzone przez prawie 5 mln osób, w sobotę zostało zhackowane.
Oszuści, którzy uzyskali dostęp do konta Buterina opublikowali - usunięty już przez administrację portalu - post, w którym współtwórca Ethereum zachęcał do odebrania pamiątkowych, darmowych tokenów NFT. Miały one zostać wyemitowane przez firmę Consensys (która również cieszy się sporym autorytetem) z powodu nadchodzącej aktualizacji sieci wprowadzającej tzw. proto-danksharding, który pozwoli na znaczące zmniejszenie rozmiaru transakcji i tym samym obniżenie kosztów jej wykonania.
Aby odebrać „darmowe NFT” należało kliknąć w link i podpiąć swój portfel. Jak nietrudno się domyślić udostępniony przez oszustów link był fałszywy, a Consensys nie wyemitował żadnych pamiątkowych NFT. Celem hakerów było uzyskanie dostępu do portfeli ETH niczego nieświadomych ofiar.
Zobacz także: Recesja w USA, a nie “miękkie lądowanie” - ostrzega wielki bank z Wall Street
WARNING! I JUST LOST A FEW PUNKS!
— luckytimes.eth beautifuldaytobealive.eth (@BokkyPooBah) September 9, 2023
DON'T INTERACT! pic.twitter.com/lS4VvlHdVa
Wg użytkownika portalu X o pseudonimie ZachXBT hakerom, którzy przejęli konto Vitalika Buterina, w ciągu zaledwie kilkunastu godzin udało się ukraść środki o wartości ponad… 691 tys. dolarów z portfeli osób, które chciały otrzymać „darmowe coiny”. Największą stratę poniósł właściciel portfela, na którym znajdowały się tokeny NFT CryptoPunk o wartości ponad ćwierć miliona dolarów.
Update: $691k drained (another 33% in drainer fee address) pic.twitter.com/AVIShqDlMU
— ZachXBT (@zachxbt) September 9, 2023
O tym, że konto Vitalika Buterina zostało zhackowane poinformował w niedzielę przed południem na portalu X jego ojciec Dima Buterin. Niedługo później administracja portalu usunęła post, w którym znajdował się link do odbioru fałszywych pamiątkowych tokenów NFT.
Zobacz także: Kurs polskiego złotego jest w tarapatach! “Ja nie rokuję naszej walucie dobrze”, ostrzega Piotr Kuczyński
Współtwórca Ethereum jak na razie nie skomentował ataku na jego konto i najprawdopodobniej wciąż nie odzyskał do niego dostępu. Na portalu X pojawiło się wiele hipotez na temat tego w jaki sposób hakerom udało się przejąć konto Buterina. Jedną z nich jest ta mówiąca o ataku SIM-swap, w którym oszustom udaje się dokonać duplikatu karty SIM ofiary. Jeżeli do przejęcia konta doszło właśnie w taki sposób, to nie świadczyłoby to dobrze o samym Buterinie. Od dawna bowiem wiadomo, że wykorzystywanie numeru telefonu do dwuskładnikowego uwierzytelniania oraz do resetowania hasła dostępu nie jest bezpieczne właśnie ze względu na wysokie ryzyko ataku SIM-swap. W przypadku osoby o tak dużych kompetencjach w zakresie cyberbezpieczeństwa i tak dużym autorytecie wykorzystywanie numeru telefonu do odzyskiwania hasła byłoby ogromnym niedopatrzeniem.
Pojawiły się również głosy mówiące o tym, że jeżeli Buterin rzeczywiście padł ofiarą ataku SIM-swap, to powinien zrekompensować przynajmniej część strat, które poniosły osoby klikające w fałszywy link i podpinające swój portfel.
O tym jak doszło do ataku powinniśmy dowiedzieć się w najbliższych dniach.
