Le créateur d’Ethereum, Vitalik Buterin, semble avoir été victime d’un pirate informatique sur Twitter, qui a volé 691 000 dollars aux utilisateurs qui ont suivi un lien corrompu posté sur son fil d’actualité.
Le piratage a été remarqué pour la première fois samedi, lorsqu’un message est apparu sur la page de Buterin annonçant le lancement d’un ensemble de jetons commémoratifs non fongibles (NFT) de l’éditeur de logiciels Consensys. Ce lien malveillant – qui aurait pu être montré à un grand nombre de ses 4,9 millions d’abonnés – incitait les victimes à connecter leurs portefeuilles pour monnayer les NFT, mais en réalité, il ne faisait que créer un vide permettant au pirate de s’emparer de leurs fonds.
Sur Crypto Twitter, les utilisateurs ont rapidement tiré la sonnette d’alarme à propos du faux lien, mais la première reconnaissance apparente du piratage de Buterin est venue de son père, Dmitriy « Dima » Buterin.
Ne pas tenir compte de ce message, apparemment Vitalik a été piraté. Il travaille à rétablir l’accès. https://t.co/2fjM0GhvIa
– dima.eth (@BlockGeekDima) September 9, 2023
Le message a depuis été supprimé, mais le mal était fait, car un certain nombre de victimes ont déclaré avoir perdu l’accès aux fonds de leurs portefeuilles. En l’espace d’une heure, le pirate semblait s’être emparé de plus de 147 000 dollars, mais ce chiffre est rapidement passé à 691 000 dollars, selon l’enquêteur de la blockchain @ZachXBT.
Depuis que le piratage a été signalé, Buterin n’a pas encore commenté publiquement l’incident, son message le plus récent étant un retweet d’un message datant du 6 septembre. @ZachZPT rapporte que le pirate a ensuite envoyé un NFT volé à Buterin.
le hacker vient d’envoyer à Vitalik ce NFT qu’il a drainé
0x909c74236ded54ecea95ea1568e1abf67624ccae436d1b9d94cd0c163b11eec5 pic.twitter.com/Fx6ekDYyWR
– ZachXBT (@zachxbt) Le 10 septembre 2023
On ne sait pas combien d’utilisateurs ont été touchés, mais ce dernier incident vient s’ajouter à une liste de plus en plus longue de piratages sur les médias sociaux qui ont rapporté des millions de jetons.
Après tant de pertes, un débat s’est engagé sur la manière dont les victimes devraient être indemnisées par les développeurs eux-mêmes. La sécurité de Twitter a également été remise en question, notamment par le PDG de Binance, Changpeng Zhao, qui a écrit que la sécurité des comptes de la plateforme « n’est pas bien conçue » par rapport aux comptes financiers traditionnels.
« Il faut beaucoup plus de fonctionnalités : 2FA, l’identifiant de connexion doit être différent de l’identifiant ou de l’email, etc. », a écrit M. Zhao, faisant référence à l’authentification à deux facteurs. « Dans le passé, mon compte Twitter a été verrouillé plusieurs fois parce que des pirates informatiques essayaient de le forcer brutalement (en essayant différents mots de passe à plusieurs reprises). C’était avant l’ère Elon ».
L’authentification à deux facteurs est une méthode de défense largement recommandée pour les utilisateurs qui exigent deux séries d’informations pour vérifier leur identité avant d’accéder à un compte. Elle est prise en charge par Twitter, mais uniquement pour les utilisateurs qui paient pour le service Twitter Blue. Le forçage brutal est une tactique par laquelle les pirates bombardent un compte de demandes d’accès jusqu’à ce que l’une d’entre elles finisse par être acceptée.