Další den, další phishingový útok v kryptoměnách.
Oficiální twitterový účet populární ethereové sbírky NFT Gutter Cat Gang – a účet jejího spoluzakladatele – byl hacknut, což vedlo ke ztrátě nejméně 750 000 dolarů.
Jiní naznačují, že exploitem bylo ztraceno až 900 000 dolarů. Nejméně jedna z peněženek útočníka od té doby prodala ukradená aktiva za 640 000 dolarů, jak ověřil AegisWeb3.
Někdo přišel o opici pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) 7. července 2023
Široké rozpětí odhadů je pravděpodobně způsobeno širokou škálou získaných NFT a jejich různými minimálními cenami.
Jinak řečeno, nejméně 87 NFT bylo odcizeno 16 uživatelům, přičemž na jedné adrese se ztratilo 36 NFT, včetně Bored Ape, který se v září 2021 prodal za 125 000 dolarů.
Hacker v pátek na Twitteru propagoval „veřejné vypuštění“ GutterMelo – legitimní kolekce Gutter Cat Gang vydané koncem minulého měsíce. Hacker zveřejnil phishingový odkaz na falešný airdrop, který vyprázdnil peněženky připojené k webu.
„Většinou [při takovém útoku] oběť komunikuje se škodlivou smlouvou, které dává souhlas, aby tato smlouva utratila tokeny jménem uživatele. Takto funguje funkce ‚transferFrom()‘,“ uvedl pro TCN Adrian Hetman, hlavní technologický triager společnosti Immunefi. „Odtud může hacker ovládající smlouvu v podstatě převádět NFT uživatele, jak chce.“
O dva dny později Gutter Cat Gang na Twitteru zveřejnil zprávu o situaci, ve které vyjádřil lítost, že spolupracuje s orgány činnými v trestním řízení a že podniká kroky, aby se útok neopakoval.
Fanoušci projektu byli zklamaní, že neviděli žádnou zmínku o případném odškodnění obětí.
Účty na Twitteru skupiny Gutter Cat Gang byly včera napadeny. Škodlivé tweety byly zveřejněny v pátek 7. července odpoledne východního času. Tým získal zpět kontrolu nad známými napadenými účty.
Okamžitě jsme kontaktovali naše kontakty na Twitteru, orgány činné v trestním řízení a mobilní…
– Gutter Cat Gang (@GutterCatGang) 8. července 2023
TCN kontaktovala tým Gutter Cat Gang, ale v době zveřejnění článku neodpověděli.
Bezpečnost Gutter Cat Gang?
Navzdory hackerskému útoku Gutter Cat Gang tvrdí, že používá „vícefaktorové ověřování a bezpečnostní opatření“.
Není jasné, jaké vícefaktorové ověřování a bezpečnostní opatření tým používal. Twitter nabízí tři možnosti vícefaktorového ověřování: ověřování pomocí aplikace, SMS nebo vyhrazeného klíče.
„Zdaleka nejbezpečnější možností je ověřování pomocí aplikace s využitím něčeho jako Authy, Microsoft Authenticator nebo Google Authenticator,“ řekl TCN odborník na kybernetickou bezpečnost James Bore. „Ověřovací kód se nikdy nepřenáší přes žádnou síť, takže neexistuje možnost, aby jej někdo zachytil.“
„Speciální bezpečnostní klíč USB je bezpečnější variantou než aplikace v telefonu, ale často je méně oblíbený kvůli dalším nákladům, nepohodlí a tomu, že je pravděpodobnější, že hardwarový klíč ztratíte nebo zapomenete než telefon,“ dodal Bore.
Kryptoznalec ZachXBT však tvrdí, že tým použil ověřování pomocí SMS, a dodává, že „po všech nedávných výměnách SIM karet je hrubá nedbalost používat na sociálních sítích SMS [dvoufaktorové ověřování]“.
„Útok výměnou SIM karty spočívá v tom, že podvodník převezme telefonní číslo oběti tím, že přesvědčí jejího operátora, že telefon byl ztracen a číslo je třeba přenést na novou SIM kartu,“ uvedl Andrew Whaley, senior technický ředitel společnosti Promon, která se zabývá zabezpečením sociálních sítí. „Nová SIM karta samozřejmě patří podvodníkovi a po přenesení má přístup k telefonním hovorům a SMS zprávám. V tomto případě Twitter umožňuje obnovení hesla zasláním jednorázového kódu na telefon uživatele. Podvodník ho tedy po výměně SIM karty použil k převzetí účtu Twitter.“
Útoky na výměnu SIM karet jsou v poslední době v kryptosvětě časté, ZachXBT tvrdí, že v posledních několika týdnech došlo k „více než 30 výměnám SIM karet souvisejícím s kryptoměnami“.
Tento projekt nebyl schopen zabezpečit ne jeden, ale dva účty svého týmu…
V posledních několika týdnech došlo k více než 30 výměnám SIM karet souvisejících s kryptoměnami. Když víte, že jsou projekty terčem útoku, proč byste měli nadále používat SMS 2FA místo aplikace Authenticator nebo bezpečnostního klíče…
– ZachXBT (@zachxbt) 7. července 2023
„To ilustruje, proč SMS není příliš bezpečnou formou dvoufaktorového ověřování (2FA),“ řekl Whaley. „Útoky na výměnu SIM karty se liší podle země a mobilního operátora v tom, jak snadno je lze provést. V některých zemích je to tak snadné, jako stisknout ‚1‘ na klávesnici telefonu. „
Jak se chránit?
To vyvolalo otázky, jak kryptografické projekty zabezpečují své účty na sociálních sítích.
Bore doporučuje používat „dlouhé, jedinečné heslo“ a zároveň používat hardwarový klíč pro ověření druhého faktoru.
Uživatelé by také měli zapnout ochranu proti obnovení hesla, která vyžaduje jak e-mail, tak telefonní číslo předtím, než se někdo pokusí obnovit heslo účtu.
Pro poslední vrstvu ochrany doporučuje Bore mít telefonní číslo, které používáte pouze pro zabezpečení, což znamená, že své číslo nikdy neposkytujete lidem ke kontaktování.
