Un altro giorno, un altro attacco di phishing in criptovalute.
L’account Twitter ufficiale della popolare raccolta di NFT di Ethereum, Gutter Cat Gang, e l’account del suo co-fondatore, sono stati violati con la conseguente perdita di almeno 750.000 dollari.
Altri hanno ipotizzato una perdita di 900.000 dollari a causa dell’exploit. Almeno uno dei portafogli dell’aggressore ha poi venduto i beni rubati per 640.000 dollari, come verificato da AegisWeb3.
Qualcuno ha perso la propria scimmia pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) July 7, 2023
L’ampia gamma di stime è probabilmente dovuta all’ampia gamma di NFT catturati e ai loro diversi prezzi base.
In altre parole, sono stati rubati almeno 87 NFT a 16 utenti, con un indirizzo che ha perso 36 NFT, tra cui un Bored Ape venduto per 125.000 dollari nel settembre 2021.
L’hacker ha twittato venerdì, promuovendo un “airdrop pubblico” di GutterMelo, una collezione legittima di Gutter Cat Gang rilasciata alla fine del mese scorso. L’hacker ha pubblicato un link di phishing a un falso airdrop che ha prosciugato i portafogli collegati al sito.
“La maggior parte delle volte [con un attacco di questo tipo] la vittima interagisce con un contratto malevolo al quale dà l’approvazione per spendere i token per conto dell’utente. È così che funziona ‘transferFrom()'”, ha dichiarato a TCN Adrian Hetman, tech lead triager di Immunefi. “Da lì, l’hacker che controlla il contratto può sostanzialmente trasferire gli NFT dell’utente come vuole”.
Due giorni dopo, la Gutter Cat Gang ha pubblicato su Twitter un resoconto della situazione, esprimendo il proprio rimorso, affermando che sta collaborando con le forze dell’ordine e che sta prendendo provvedimenti per evitare che un attacco si ripeta.
I fan del progetto sono rimasti delusi nel non vedere alcuna menzione di un possibile risarcimento per le vittime.
Gli account Twitter di
Gutter Cat Gang sono stati compromessi ieri. I tweet malevoli sono stati pubblicati venerdì pomeriggio, 7 luglio (ora orientale). Il team ha ripreso il controllo degli account compromessi noti.
Abbiamo prontamente contattato i nostri contatti presso Twitter, le forze dell’ordine e i cellulari…
– Gutter Cat Gang (@GutterCatGang) July 8, 2023
TCN ha contattato il team della Gutter Cat Gang, che però non ha risposto al momento della pubblicazione.
Sicurezza della Gutter Cat Gang?
Nonostante l’hack, Gutter Cat Gang sostiene di aver utilizzato “misure di sicurezza e autenticazione a più fattori”.
Non è chiaro quali siano le misure di sicurezza e di autenticazione a più fattori utilizzate dal team. Twitter offre tre opzioni di autenticazione a più fattori: autenticazione basata su app, SMS o una chiave dedicata.
“L’opzione di gran lunga più sicura è l’autenticazione tramite app, utilizzando qualcosa come Authy, Microsoft Authenticator o Google Authenticator”, ha dichiarato James Bore, esperto di sicurezza informatica, a TCN. “Il codice di autenticazione non viene mai trasmesso in rete, quindi non c’è la possibilità di intercettarlo”.
“Una chiave di sicurezza USB dedicata è un’opzione più sicura di un’applicazione telefonica, ma spesso meno popolare a causa delle spese aggiuntive, della scomodità e del fatto che è più probabile perdere o dimenticare una chiave hardware rispetto al telefono”, ha aggiunto Bore.
Tuttavia, l’esperto di crittografia ZachXBT sostiene che il team ha usato l’autenticazione via SMS, aggiungendo che “è una grave negligenza aver usato gli SMS [l’autenticazione a due fattori] sui vostri social dopo tutti i recenti scambi di SIM”.
“Un attacco di SIM swap consiste nel fatto che un truffatore si impossessa del numero di telefono di una vittima convincendo il suo provider che il telefono è stato smarrito e che il numero deve essere trasferito su una nuova SIM”, spiega Andrew Whaley, direttore tecnico senior della società di sicurezza dei social media Promon. La nuova SIM, ovviamente, è quella del truffatore che, una volta trasferita, ha accesso alle chiamate e agli SMS”. In questo caso, Twitter consente di ripristinare la password inviando un codice unico al telefono dell’utente. Il truffatore ha quindi utilizzato questo codice, dopo lo scambio di SIM, per impossessarsi dell’account Twitter”.
Gli attacchi di SIM swap sono stati molto frequenti nel mondo delle criptovalute e ZachXBT ha affermato che nelle ultime settimane ci sono stati “più di 30 SIM swap legati alle criptovalute”.
Questo è un progetto che non è stato in grado di mettere al sicuro non uno ma due account del proprio team…
Nelle ultime settimane ci sono stati più di 30 scambi di SIM legati alle criptovalute. Quando si sa che i progetti sono presi di mira, perché continuare a usare SMS 2FA invece di un’app Authenticator o di una chiave di sicurezza…
– ZachXBT (@zachxbt) July 7, 2023
“Questo dimostra perché gli SMS non sono una forma particolarmente sicura di autenticazione a due fattori (2FA)”, ha dichiarato Whaley. “Gli attacchi di SIM swap variano a seconda del Paese e del provider di telefonia mobile per quanto riguarda la facilità di esecuzione. In alcuni Paesi è facile come premere ‘1’ sulla tastiera del telefono. “
Come rimanere protetti?
Questo ha sollevato domande su come i progetti di criptovaluta stiano proteggendo i loro account sui social media.
Bore consiglia di utilizzare una “password lunga e unica” e di utilizzare una chiave hardware per l’autenticazione a secondo fattore.
Gli utenti dovrebbero anche attivare la protezione per la reimpostazione della password, che richiede sia l’e-mail che il numero di telefono prima che qualcuno possa tentare di reimpostare la password di un account.
Per un ultimo livello di protezione, Bore consiglia di avere un numero di telefono che si usa solo per la sicurezza, cioè di non dare mai il proprio numero a persone da contattare.
