Questo fine settimana Vitalik Buterin ha subito un attacco al suo account, con la conseguente pubblicazione di un link di phishing che ha causato perdite per almeno 700.000 dollari agli investitori. Buterin ha poi parlato dell’attacco, confermando che è stato il risultato di uno scambio di SIM.
Vitalik Buterin conferma che uno “scambio di SIM” è stato la causa dell’hack del suo account X
Solo pochi giorni fa, Vitalik Buterin, il fondatore di Ethereum (ETH), ha subito un hack del suo account X. Come promemoria, questa impersonificazione è stata utilizzata per pubblicare un link di phishing, causando un furto di almeno 700.000 dollari di criptovalute e token non fungibili (NFT) a diversi investitori che sono caduti nella trappola.
Sul social network decentralizzato Warpcast, la persona interessata ha confermato ieri sera che l’intrusione è stata consentita da un attacco cosiddetto “SIM swap”:
Spiegazioni di Vitalik Buterin su Warpcast
In poche parole, lo scambio di SIM consente di “clonare” la scheda SIM della vittima, in modo da ricevere le sue comunicazioni e, di conseguenza, i suoi codici di doppia autenticazione. Esistono vari modi per raggiungere questo obiettivo: fingendo di essere l’obiettivo presso il suo operatore quando si conoscono i suoi dati personali, oppure utilizzando un complice per contattare l’operatore.
Il numero di telefono: sicurezza insufficiente
Su X è possibile creare un account utilizzando il proprio numero di telefono, il che dimostra che in questo caso ci sono delle lacune nella sicurezza. Tuttavia, Vitalik Buterin spiega di non ricordare di aver fornito il proprio numero al momento della creazione dell’account, se non al momento della sottoscrizione del servizio premium, che è effettivamente necessaria.
Per evitare tali rischi, è consigliabile assicurarsi che i vari identificatori degli account considerati sensibili non possano essere resettati semplicemente utilizzando il proprio numero di telefono.
Per la doppia autenticazione si possono preferire applicazioni appositamente dedicate, anche se la soluzione più sicura è l’utilizzo di chiavi di convalida fisiche. Le chiavi del marchio Yubico, ad esempio, permettono di farlo, così come i portafogli hardware Ledger attraverso l’applicazione FIDO U2F.
Conclude dicendo che è felice di essere su Farcaster, che alimenta Warpcast, perché almeno il suo account può essere recuperato solo con un indirizzo Ethereum valido. È un’osservazione interessante, perché questo metodo di autenticazione potrebbe effettivamente essere un’alternativa più sicura rispetto a e-mail e numeri di telefono per vari account web.
