Ein weiterer Tag, ein weiterer Phishing-Angriff in der Kryptowelt.
Der offizielle Twitter-Account der beliebten Ethereum-NFT-Sammlung Gutter Cat Gang – und der Account ihres Mitbegründers – wurde gehackt, was zu einem Verlust von mindestens 750.000 US-Dollar führte.
Andere haben behauptet, dass sogar 900.000 Dollar durch die Sicherheitslücke verloren gingen. Mindestens eine der Geldbörsen des Angreifers hat die gestohlenen Werte inzwischen für 640.000 Dollar verkauft, wie AegisWeb3 bestätigt.
Jemand hat seinen Affen verloren pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) July 7, 2023
Die große Spanne der Schätzungen ist wahrscheinlich auf die große Bandbreite der erbeuteten NFTs und ihre unterschiedlichen Mindestpreise zurückzuführen.
Anders ausgedrückt, wurden mindestens 87 NFTs von 16 Nutzern gestohlen, wobei eine Adresse 36 NFTs verlor, darunter eine Bored Ape, die im September 2021 für 125.000 Dollar verkauft wurde.
Der Hacker twitterte am Freitag, dass GutterMelo – eine legitime Gutter Cat Gang-Kollektion, die Ende letzten Monats veröffentlicht wurde – „öffentlich verteilt“ wird. Der Hacker postete einen Phishing-Link zu einem gefälschten Airdrop, der Geldbörsen leerte, die mit der Website verbunden waren.
„In den meisten Fällen interagiert ein Opfer [bei einem solchen Angriff] mit einem bösartigen Vertrag, dem das Opfer seine Zustimmung gibt, die Token im Namen des Benutzers auszugeben. So funktioniert ‚transferFrom()'“, erklärte Adrian Hetman, Tech Lead Triager bei Immunefi, gegenüber TCN. „Von dort aus kann der Hacker, der den Vertrag kontrolliert, die NFTs des Nutzers im Grunde nach Belieben übertragen.“
Zwei Tage später postete die Gutter Cat Gang auf Twitter einen Bericht über die Situation, in dem sie ihr Bedauern ausdrückte, mit den Strafverfolgungsbehörden zusammenarbeitet und Schritte unternimmt, um einen erneuten Angriff zu verhindern.
Die Fans des Projekts waren enttäuscht, dass eine mögliche Entschädigung der Opfer nicht erwähnt wurde:
Die Twitter-Konten der
Gutter Cat Gang wurden gestern angegriffen. Die bösartigen Tweets wurden am Freitagnachmittag, 7. Juli (Eastern Time), gepostet. Das Team hat die Kontrolle über die bekannten kompromittierten Konten wiedererlangt.
Wir haben uns sofort an unsere Kontakte bei Twitter, den Strafverfolgungsbehörden und den Mobilfunkanbietern gewandt…
– Gutter Cat Gang (@GutterCatGang) July 8, 2023
TCN hat sich mit dem Team der Gutter Cat Gang in Verbindung gesetzt, aber sie haben zum Zeitpunkt der Veröffentlichung noch nicht geantwortet.
Gutter Cat Gang Sicherheit?
Trotz des Hacks behauptet Gutter Cat Gang, „Multi-Faktor-Authentifizierung und Sicherheitsmaßnahmen“ verwendet zu haben.
Es ist unklar, welche Multi-Faktor-Authentifizierungs- und Sicherheitsmaßnahmen das Team verwendet hat. Twitter bietet drei Multi-Faktor-Optionen an: App-basierte Authentifizierung, SMS oder einen speziellen Schlüssel.
„Die bei weitem sicherste Option ist die App-basierte Authentifizierung mit etwas wie Authy, Microsoft Authenticator oder Google Authenticator“, sagte James Bore, Experte für Cybersicherheit, gegenüber TCN. „Der Authentifizierungscode wird niemals über ein Netzwerk übertragen, so dass es keine Möglichkeit gibt, ihn abzufangen.“
„Ein dedizierter USB-Sicherheitsschlüssel ist eine sicherere Option als eine Telefon-App, wird aber aufgrund der zusätzlichen Kosten, der Unannehmlichkeiten und der Tatsache, dass man einen Hardwareschlüssel eher verliert oder vergisst als sein Telefon, oft weniger genutzt“, fügte Bore hinzu.
Der Kryptoforscher ZachXBT behauptet jedoch, dass das Team die SMS-Authentifizierung verwendet hat, und fügt hinzu: „Es ist grob fahrlässig, SMS [Zwei-Faktor-Authentifizierung] bei Ihren sozialen Netzwerken zu verwenden, nach all den jüngsten SIM-Swaps“.
„Bei einem SIM-Swap-Angriff übernimmt ein Betrüger die Telefonnummer eines Opfers, indem er den Telefonanbieter davon überzeugt, dass das Telefon verloren gegangen ist und die Nummer auf eine neue SIM-Karte portiert werden muss“, erklärt Andrew Whaley, Senior Technical Director beim Social Media Security-Unternehmen Promon. „Die neue SIM-Karte gehört natürlich den Betrügern, und sobald sie portiert ist, haben sie Zugang zu Anrufen und SMS-Nachrichten. In diesem Fall erlaubt Twitter das Zurücksetzen von Passwörtern, indem ein einmaliger Code per SMS an das Telefon des Nutzers gesendet wird. Der Betrüger nutzte dies nach dem SIM-Tausch, um das Twitter-Konto zu übernehmen.
SIM-Swap-Angriffe sind in letzter Zeit in der Kryptowelt weit verbreitet. ZachXBT behauptet, dass es in den letzten Wochen mehr als 30 kryptobezogene SIM-Swaps gegeben hat.
Das ist ein Projekt, das nicht in der Lage war, nicht nur eines, sondern zwei seiner Teamkonten zu sichern…
In den letzten Wochen gab es mehr als 30 kryptobezogene SIM-Swaps. Wenn man weiß, dass Projekte ins Visier genommen werden, warum sollte man weiterhin SMS 2FA anstelle einer Authenticator-App oder eines Sicherheitsschlüssels verwenden…
– ZachXBT (@zachxbt) July 7, 2023
„Dies zeigt, warum SMS keine besonders sichere Form der Zwei-Faktor-Authentifizierung (2FA) ist“, sagte Whaley. „SIM-Swap-Angriffe sind je nach Land und Mobilfunkanbieter unterschiedlich einfach durchzuführen. In einigen Ländern ist es so einfach wie das Drücken der ‚1‘ auf der Telefontastatur“.
Wie kann man sich schützen?
Dies hat Fragen darüber aufgeworfen, wie Krypto-Projekte ihre Social-Media-Konten sichern.
Bore empfiehlt die Verwendung eines „langen, eindeutigen Passworts“ und die Verwendung eines Hardwareschlüssels für die Second-Factor-Authentifizierung.
Nutzer sollten außerdem den Schutz für das Zurücksetzen von Passwörtern aktivieren, der sowohl die E-Mail-Adresse als auch die Telefonnummer erfordert, bevor jemand versuchen kann, das Passwort eines Kontos zurückzusetzen.
Als letzte Schutzmaßnahme empfiehlt Bore, eine Telefonnummer zu haben, die nur zu Sicherheitszwecken verwendet wird, d. h., dass man seine Nummer niemals an andere Personen weitergibt.
