Tento víkend byl Vitaliku Buterinovi hacknut účet, což vedlo ke zveřejnění phishingového odkazu, který investorům způsobil ztráty ve výši nejméně 700 000 dolarů. Buterin se mezitím k útoku vyjádřil a potvrdil, že byl výsledkem výměny SIM karet.
Vitalik Buterin potvrdil, že příčinou hackerského útoku na jeho účet X byla „výměna SIM karty „
Jen před několika dny se Vitalik Buterin, zakladatel Etherea (ETH), stal obětí hackerského útoku na svůj účet X. V souvislosti s tímto útokem se mu podařilo vyměnit SIM kartu. Připomeňme, že toto vydávání se za něj bylo využito ke zveřejnění phishingového odkazu, který způsobil krádež kryptoměn a nefungujících tokenů (NFT) v hodnotě nejméně 700 000 dolarů od různých investorů, kteří se na tuto past nachytali.
Na decentralizované sociální síti Warpcast dotyčná osoba včera večer potvrdila, že tento průnik byl umožněn takzvaným útokem „SIM swap“:
Vysvětlení od Vitalika Buterina na Warpcastu
Stručně řečeno, výměna SIM karet umožňuje „naklonovat“ SIM kartu oběti, a získat tak její komunikaci a následně i její duální autentizační kódy. Toho lze dosáhnout různými způsoby, a to buď tak, že se cíl vydává za svého operátora, když zná jeho osobní údaje, nebo tak, že ke kontaktu s operátorem využije komplice.
Telefonní číslo: nedostatečné zabezpečení
Na X lze vytvořit účet pomocí telefonního čísla, což v tomto případě ukazuje na nedostatky v zabezpečení. Vitalik Buterin však vysvětluje, že si nepamatuje, že by při vytváření účtu poskytl své číslo, s výjimkou předplatného prémiové služby, které je skutečně nutné.
Aby se takovým rizikům předešlo, je vhodné zajistit, aby různé identifikátory účtů, které jsou považovány za citlivé, nebylo možné resetovat pouhým použitím vlastního telefonního čísla.
Pro dvojí ověření lze upřednostnit speciálně určené aplikace, i když nejbezpečnějším řešením je použití fyzických ověřovacích klíčů. To umožňují například klíče značky Yubico nebo hardwarové peněženky Ledger prostřednictvím aplikace FIDO U2F.
Na závěr říká, že je rád, že je na Farcasteru, který pohání Warpcast, protože alespoň jeho účet lze obnovit pouze s platnou adresou Etherea. Je to zajímavý postřeh, protože tento způsob ověřování může být skutečně bezpečnější alternativou k e-mailům a telefonním číslům pro různé webové účty.
