Am Wochenende wurde Vitalik Buterins Konto gehackt, woraufhin ein Phishing-Link veröffentlicht wurde, der Investoren einen Verlust von mindestens 700.000 US-Dollar verursachte. Inzwischen hat sich Buterin zu dem Angriff geäußert und bestätigt, dass es sich um einen „SIM-Swap“ handelte.
Vitalik Buterin bestätigt, dass der Hack seines X-Kontos auf einen „SIM-Swap“ zurückzuführen ist
Es ist erst ein paar Tage her, dass Vitalik Buterin, der Gründer von Ethereum (ETH), einen Hack seines X-Kontos erlitten hat. Zur Erinnerung: Durch diesen Identitätsdiebstahl wurde ein Phishing-Link veröffentlicht, der bei verschiedenen Anlegern, die in die Falle gegangen waren, einen Diebstahl von mindestens 700.000 US-Dollar in Form von Kryptowährungen und nicht fungiblen Token (NFT) verursacht hatte.
Im dezentralen sozialen Netzwerk Warpcast bestätigte der Betroffene in der Nacht, dass der Einbruch durch einen sogenannten SIM-Swap-Angriff ermöglicht worden war:
Erklärungen von Vitalik Buterin auf Warpcast
Zusammenfassend lässt sich sagen, dass SIM-Swap die SIM-Karte eines Opfers „klont“, sodass es seine Kommunikation und im weiteren Sinne auch seine Codes für die doppelte Authentifizierung erhält. Es gibt verschiedene Methoden, um dies zu erreichen, sei es, dass man sich bei seinem Netzbetreiber als sein Ziel ausgibt, wenn man dessen persönliche Daten kennt, oder dass man einen Komplizen bei diesem Netzbetreiber hat.
Die Telefonnummer: unzureichende Sicherheit
Auf X ist es möglich, ein Konto mithilfe der Telefonnummer zu erstellen, was in diesem Fall Sicherheitslücken aufzeigt. Vitalik Buterin erklärt jedoch, dass er sich nicht daran erinnern kann, seine Nummer für die Erstellung seines Kontos angegeben zu haben, außer bei der Anmeldung für den Premiumdienst, was in der Tat notwendig ist.
Um solchen Risiken vorzubeugen, sollten Sie sicherstellen, dass Ihre verschiedenen als sensibel eingestuften Kontokennungen nicht allein mithilfe Ihrer Telefonnummer zurückgesetzt werden können.
Für die doppelte Authentifizierung können speziell dafür vorgesehene Anwendungen bevorzugt werden, obwohl die Verwendung von physischen Validierungsschlüsseln am sichersten ist. Die Schlüssel der Marke Yubico ermöglichen dies zum Beispiel, ebenso wie die Hardware-Wallets von Ledger über die Anwendung FIDO U2F.
Er schloss mit der Bemerkung, dass er froh sei, auf Farcaster zu sein, das Warpcast antreibt, da zumindest die Wiederherstellung seines Kontos nur mit einer gesunden Ethereum-Adresse möglich sei. Das ist eine interessante Beobachtung, denn diese Art der Authentifizierung kann tatsächlich eine sicherere Alternative zu E-Mails und Telefonnummern für die verschiedenen Konten im Web darstellen.
