Un autre jour, une autre attaque de phishing dans la cryptographie.
Le compte Twitter officiel de la populaire collection de NFT Ethereum Gutter Cat Gang – et le compte de son cofondateur – ont été piratés, ce qui a entraîné la perte d’au moins 750 000 dollars.
Selon d’autres sources, l’exploit aurait fait perdre jusqu’à 900 000 dollars. Au moins l’un des portefeuilles de l’attaquant a depuis vendu les actifs volés pour 640 000 dollars, comme l’a vérifié AegisWeb3.
Quelqu’un a perdu son singe pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) Le 7 juillet 2023
La large fourchette d’estimations est probablement due au large éventail de NFT saisis et à leurs différents prix planchers.
Autrement dit, au moins 87 NFT ont été volés à 16 utilisateurs, une adresse ayant perdu 36 NFT, dont un Bored Ape vendu 125 000 dollars en septembre 2021.
Le pirate a tweeté vendredi, promouvant un « largage public » de GutterMelo, une collection légitime de Gutter Cat Gang publiée à la fin du mois dernier. Le pirate a posté un lien d’hameçonnage vers un faux airdrop qui a drainé les portefeuilles connectés au site.
« La plupart du temps, la victime interagit avec un contrat malveillant auquel elle donne son accord pour dépenser les jetons au nom de l’utilisateur. C’est ainsi que fonctionne ‘transferFrom()' », a expliqué à TCN Adrian Hetman, tech lead triager chez Immunefi. « À partir de là, le pirate qui contrôle le contrat peut transférer les NFT de l’utilisateur comme il le souhaite.
Deux jours plus tard, le Gutter Cat Gang a publié sur Twitter un compte rendu de la situation, exprimant ses remords, indiquant qu’il travaillait avec les forces de l’ordre et qu’il prenait des mesures pour éviter qu’une telle attaque ne se reproduise.
Les fans du projet ont été déçus de ne voir aucune mention d’une éventuelle indemnisation des victimes.
Les comptes Twitter du Gutter Cat Gang ont été compromis hier. Des tweets malveillants ont été postés vendredi 7 juillet après-midi (heure de l’Est). L’équipe a repris le contrôle des comptes compromis connus.
Nous avons rapidement contacté nos interlocuteurs chez Twitter, les forces de l’ordre et les services mobiles…
– Gutter Cat Gang (@GutterCatGang) July 8, 2023
TCN a contacté l’équipe du Gutter Cat Gang mais ils n’ont pas répondu au moment de la publication.
La sécurité du Gutter Cat Gang?
Malgré le piratage, Gutter Cat Gang affirme avoir utilisé « une authentification à facteurs multiples et des mesures de sécurité ».
On ne sait pas exactement quelles mesures d’authentification et de sécurité multi-facteurs l’équipe utilisait. Twitter propose trois options d’authentification multifactorielle : l’authentification basée sur l’application, les SMS ou une clé dédiée.
« L’option la plus sûre, et de loin, est l’authentification basée sur une application utilisant quelque chose comme Authy, Microsoft Authenticator ou Google Authenticator », a déclaré James Bore, expert en cybersécurité, à TCN. « Le code d’authentification n’est jamais transmis sur un réseau, il n’y a donc aucune possibilité pour quelqu’un de l’intercepter.
« Une clé de sécurité USB dédiée est une option plus sûre qu’une application téléphonique, mais elle est souvent moins populaire en raison des dépenses supplémentaires, des inconvénients et du fait que vous êtes plus susceptible de perdre ou d’oublier une clé matérielle que votre téléphone », a ajouté M. Bore.
Cependant, ZachXBT, un fin limier de la cryptographie, affirme que l’équipe a utilisé l’authentification par SMS, ajoutant que « c’est une négligence grave que d’avoir utilisé l’authentification à deux facteurs par SMS sur vos réseaux sociaux après tous les récents échanges de cartes SIM ».
« Dans le cadre d’une attaque par échange de cartes SIM, un fraudeur s’empare du numéro de téléphone d’une victime en convainquant son opérateur téléphonique que le téléphone a été perdu et que le numéro doit être transféré sur une nouvelle carte SIM », explique Andrew Whaley, directeur technique principal chez Promon, une société spécialisée dans la sécurité des médias sociaux. « La nouvelle carte SIM appartient bien sûr au fraudeur et, une fois le numéro porté, il a accès aux appels téléphoniques et aux messages SMS. Dans ce cas, Twitter permet de réinitialiser les mots de passe en envoyant un code unique par SMS sur le téléphone de l’utilisateur. Le fraudeur a donc utilisé ce code, après l’échange de cartes SIM, pour prendre le contrôle du compte Twitter ».
Les attaques par échange de cartes SIM ont été fréquentes dans le monde de la cryptographie ces derniers temps, ZachXBT affirmant qu’il y a eu « plus de 30 échanges de cartes SIM liés à la cryptographie au cours des dernières semaines. «
Il s’agit d’un projet qui n’a pas été en mesure de sécuriser non pas un mais deux comptes de son équipe…
Il y a eu plus de 30 échanges de SIM liés à la cryptographie au cours des dernières semaines. Lorsque vous savez que des projets sont ciblés, pourquoi continuer à utiliser le SMS 2FA au lieu d’une application Authenticator ou d’une clé de sécurité…
– ZachXBT (@zachxbt) July 7, 2023
« Cela montre pourquoi le SMS n’est pas une forme particulièrement sûre d’authentification à deux facteurs (2FA) », a déclaré M. Whaley. « Les attaques par échange de cartes SIM varient selon les pays et les fournisseurs de téléphonie mobile en termes de facilité d’exécution. Dans certains pays, il suffit d’appuyer sur la touche ‘1’ du clavier du téléphone. «
Comment rester protégé ?
Cela a soulevé des questions sur la manière dont les projets cryptographiques sécurisent leurs comptes de médias sociaux.
Bore recommande d’utiliser un « mot de passe long et unique » ainsi qu’une clé matérielle pour l’authentification à deuxième facteur.
Les utilisateurs devraient également activer la protection contre la réinitialisation du mot de passe, qui exige votre adresse électronique et votre numéro de téléphone avant que quelqu’un puisse tenter de réinitialiser le mot de passe d’un compte.
Pour une dernière couche de protection, Bore recommande d’avoir un numéro de téléphone que vous n’utilisez que pour la sécurité, c’est-à-dire que vous ne donnez jamais votre numéro à des personnes à contacter.
