Този уикенд акаунтът на Виталик Бутерин беше хакнат, което доведе до публикуването на фишинг връзка, причинила загуби на инвеститорите в размер на поне 700 000 долара. Оттогава Бутерин говори за атаката, като потвърди, че тя е била резултат от подмяна на SIM карти.
Виталик Бутерин потвърждава, че причина за хакерската атака срещу неговия акаунт в X е „размяна на SIM карти „
Само преди няколко дни Виталик Бутерин, основателят на Ethereum (ETH), пострада от хакерска атака срещу неговия акаунт в X. Припомняме, че това олицетворение беше използвано за публикуване на фишинг линк, което доведе до кражба на криптовалути и нефунгиращи токени (НФТ) на стойност поне 700 000 долара от различни инвеститори, които се хванаха в капана.
В децентрализираната социална мрежа Warpcast засегнатото лице потвърди снощи, че това проникване е било възможно чрез така наречената атака „SIM swap“:
Обяснения от Виталик Бутерин на Warpcast
Накратко, подмяната на SIM карти ви позволява да „клонирате“ SIM картата на жертвата си, така че да получавате комуникациите ѝ и съответно нейните двойни кодове за удостоверяване. Съществуват различни начини за постигане на това – или като се представяте за целта пред нейния оператор, когато знаете личните ѝ данни, или като използвате съучастник, който да се свърже с оператора.
Телефонният номер: недостатъчна сигурност
В X можете да създадете акаунт, като използвате телефонния си номер, което в този случай показва, че има пропуски в сигурността. Виталик Бутерин обаче обяснява, че не си спомня да е предоставял номера си при създаването на акаунта си, освен при абониране за премиум услугата, което наистина е необходимо.
За да се предотвратят подобни рискове, е препоръчително да се гарантира, че различните идентификатори за акаунти, считани за чувствителни, не могат да бъдат нулирани просто чрез използване на телефонния номер.
За двойна автентификация могат да се предпочетат специално предназначени приложения, въпреки че най-сигурното решение е да се използват физически ключове за валидиране. Например ключовете с марка Yubico позволяват това, както и хардуерните портфейли Ledger чрез приложението FIDO U2F.
В заключение той казва, че е щастлив да бъде на Farcaster, който захранва Warpcast, защото поне сметката му може да бъде възстановена само с валиден адрес в Ethereum. Това е интересно наблюдение, защото този метод на удостоверяване наистина може да бъде по-сигурна алтернатива на имейлите и телефонните номера за различни уеб акаунти.
