Ethereum maker Vitalik Buterin lijkt het slachtoffer te zijn geworden van een hacker op Twitter, die $691.000 stal van gebruikers die een corrupte link op zijn feed volgden.
De hack werd zaterdag voor het eerst opgemerkt toen er een bericht verscheen op Buterin’s post waarin de lancering van een set herdenkingsmunten (NFT’s) van softwareleverancier Consensys werd aangekondigd. Deze kwaadaardige link – die aan veel van zijn 4,9 miljoen volgers had kunnen worden getoond – spoorde slachtoffers aan om hun portemonnee aan te sluiten om de NFT te slaan, maar in werkelijkheid creëerde het gewoon een vacuüm voor de hacker om er met hun geld vandoor te gaan.
Op Crypto Twitter sloegen gebruikers al snel alarm over de valse link, maar de eerste duidelijke erkenning dat Buterin gehackt was, kwam van zijn vader, Dmitriy “Dima” Buterin.
Negeer dit bericht, blijkbaar is Vitalik gehackt. Hij werkt aan het herstellen van de toegang. https://t.co/2fjM0GhvIa
– dima.eth (@BlockGeekDima) September 9, 2023
Het bericht is inmiddels verwijderd, maar de schade is al aangericht: een aantal slachtoffers meldde dat ze geen toegang meer hadden tot hun portemonnee. Binnen een uur leek de hacker er vandoor te gaan met meer dan $147.000, maar dat steeg al snel naar $691.000, volgens blockchain onderzoeker @ZachXBT.
In de dag sinds de hack voor het eerst werd gemeld, heeft Buterin nog niet publiekelijk gereageerd op het incident. Zijn meest recente bericht was opnieuw een retweet van een bericht van 6 september. @ZachZPT meldde dat de hacker vervolgens een gestolen NFT naar Buterin stuurde.
deze hacker heeft Vitalik net deze NFT gestuurd die ze hebben gestolen
0x909c74236ded54ecea95ea1568e1abf67624ccae436d1b9d94cd0c163b11eec5 pic.twitter.com/Fx6ekDYyWR
– ZachXBT (@zachxbt) September 10, 2023
Het is onbekend hoeveel gebruikers getroffen zijn, maar dit laatste incident voegt zich bij een groeiende lijst van hacks via sociale media die miljoenen aan tokens hebben opgeleverd.
Na zoveel verliezen is er een debat ontstaan over hoe slachtoffers gecompenseerd moeten worden voor hun verliezen door de ontwikkelaars zelf. De beveiliging van Twitter zelf kwam ook in het geding, onder andere door Changpeng Zhao, CEO van Binance, die schreef dat de accountbeveiliging van het platform “niet goed is ontworpen” in vergelijking met traditionele financiële accounts.
“Het heeft veel meer functies nodig: 2FA, login ID moet anders zijn dan handle of e-mail, etc.,” schreef Zhao, verwijzend naar twee-factor authenticatie. “In het verleden heb ik mijn Twitter-account een paar keer laten blokkeren omdat hackers het probeerden te brute-force (herhaaldelijk verschillende wachtwoorden proberen). Dit was voor het ‘Elon-tijdperk’.”
Twee-factor authenticatie is een algemeen aanbevolen verdedigingsmethode voor gebruikers om twee sets informatie nodig te hebben om hun identiteit te verifiëren voordat ze toegang krijgen tot een account. Het wordt ondersteund door Twitter, maar alleen voor gebruikers die betalen voor Twitter Blue. Brute forcing is een tactiek waarbij hackers een account bombarderen met toegangsverzoeken totdat er uiteindelijk eentje doorheen breekt.