Een andere dag, een andere phishing-aanval in crypto.
Het officiële Twitter-account van de populaire Ethereum NFT-verzameling Gutter Cat Gang en het account van de medeoprichter zijn gehackt, waardoor minstens $750.000 verloren is gegaan.
Anderen hebben gesuggereerd dat er wel $900.000 verloren is gegaan door de exploit. Minstens één van de portemonnees van de aanvaller heeft sindsdien de gestolen activa verkocht voor $640.000, zoals geverifieerd door AegisWeb3.
Iemand is zijn aap kwijt pic.twitter.com/idcePIfyZa
– ZachXBT (@zachxbt) 7 juli 2023
Het brede scala aan schattingen is waarschijnlijk te wijten aan de grote verscheidenheid aan NFT’s die zijn opgepakt en hun verschillende bodemprijzen.
Anders gezegd, ten minste 87 NFT’s werden gestolen van 16 gebruikers waarbij één adres 36 NFT’s verloor, waaronder een Bored Ape die in september 2021 voor $125.000 werd verkocht.
De hacker tweette vrijdag en promootte een “publieke dropping” van GutterMelo-een legitieme Gutter Cat Gang collectie die eind vorige maand werd uitgebracht. De hacker plaatste een phishing link naar een valse airdrop die portemonnees leeghaalde die verbinding maakten met de site.
“Meestal [met een aanval als deze] heeft een slachtoffer interactie met een kwaadaardig contract waarbij het slachtoffer toestemming geeft aan dat contract om de tokens uit te geven namens de gebruiker. Dat is hoe ’transferFrom()’ werkt,” vertelde Adrian Hetman, tech lead triager bij Immunefi, aan TCN. “Vanaf dat punt kan de hacker die het contract controleert in principe de NFT’s van de gebruiker naar believen overdragen.”
Twee dagen later plaatste de Gutter Cat Gang Twitter een debrief over de situatie, waarin ze hun spijt betuigden, dat ze samenwerkten met de wetshandhaving en dat ze stappen ondernamen om te voorkomen dat een aanval opnieuw zou gebeuren.
Fans van het project waren teleurgesteld dat er geen melding werd gemaakt van een mogelijke schadevergoeding voor de slachtoffers.
Gisteren zijn de Twitteraccounts van de Gootkattenbende gecompromitteerd. Kwaadaardige tweets werden vrijdagmiddag 7 juli (Eastern Time) geplaatst. Het team heeft weer controle over de gecompromitteerde accounts.
We hebben onmiddellijk contact opgenomen met onze contacten bij Twitter, wetshandhaving en mobiele…
– Gutter Cat Gang (@GutterCatGang) July 8, 2023
TCN heeft contact opgenomen met het team van de Gutter Cat Gang, maar zij hebben op het moment van publicatie nog niet gereageerd.
Gootkattenbende beveiliging?
Ondanks de hack beweert Gutter Cat Gang gebruik te maken van “multi-factor authenticatie en beveiligingsmaatregelen”.
Het is onduidelijk welke multi-factor authenticatie en beveiligingsmaatregelen het team gebruikte. Twitter biedt drie multi-factor opties: app-gebaseerde authenticatie, SMS of een speciale sleutel.
“De veiligste optie is veruit app-gebaseerde authenticatie met iets als Authy, Microsoft Authenticator of Google Authenticator,” vertelde cyberbeveiligingsdeskundige James Bore aan TCN. “De authenticatiecode wordt nooit over een netwerk verzonden, dus er is geen mogelijkheid voor iemand om deze te onderscheppen.”
“Een speciale USB-veiligheidssleutel is een veiligere optie dan een telefoon-app, maar vaak minder populair vanwege de extra kosten, het ongemak en het feit dat de kans groter is dat je een hardwaresleutel verliest of vergeet dan je telefoon,” voegde Bore toe.
Echter, crypto speurneus ZachXBT beweert dat het team SMS authenticatie gebruikte en voegde eraan toe dat “het grove nalatigheid is om SMS [twee-factor authenticatie] te gebruiken op je socials na alle recente SIM swaps”.
“Bij een SIM-swap aanval neemt een fraudeur het telefoonnummer van een slachtoffer over door hun telefoonprovider ervan te overtuigen dat de telefoon verloren is gegaan en dat het nummer moet worden overgezet naar een nieuwe SIM”, aldus Andrew Whaley, senior technisch directeur bij beveiligingsbedrijf Promon voor sociale media. “De nieuwe SIM is natuurlijk van de fraudeur en eenmaal geporteerd hebben ze toegang tot telefoongesprekken en SMS-berichten. In dit geval staat Twitter het resetten van wachtwoorden toe door een eenmalige code naar de telefoon van de gebruiker te sms’en. Dus de fraudeur gebruikte dit, na de SIM-swap, om het Twitter-account over te nemen.”
SIM-swap aanvallen komen de laatste tijd veel voor in de cryptowereld. ZachXBT beweert dat er “30+ crypto-gerelateerde SIM-swaps zijn geweest in de afgelopen paar weken.”
Dit is een project dat niet één, maar twee van hun teamaccounts niet veilig kon stellen…
Er zijn meer dan 30 cryptogerelateerde SIM-swaps geweest in de afgelopen weken. Als je weet dat projecten het doelwit zijn, waarom zou je dan sms 2FA blijven gebruiken in plaats van een Authenticator app of beveiligingssleutel…
– ZachXBT (@zachxbt) July 7, 2023
Dit illustreert waarom sms geen bijzonder veilige vorm van twee-factor authenticatie (2FA) is,” aldus Whaley. “SIM swap aanvallen verschillen per land en mobiele provider in hoe makkelijk ze uit te voeren zijn. In sommige landen zijn ze net zo eenvoudig als het indrukken van ‘1’ op het toetsenbord van de telefoon.”
Dit heeft vragen opgeroepen over hoe cryptoprojecten hun sociale media-accounts beveiligen.
Bore raadt aan om een “lang, uniek wachtwoord” te gebruiken en een hardwaresleutel voor tweede-factor-authenticatie.
Gebruikers moeten ook wachtwoord reset beveiliging aanzetten die zowel je e-mail als je telefoonnummer vereist voordat iemand kan proberen het wachtwoord van een account te resetten.
Voor een laatste beschermingslaag raadt Bore aan om een telefoonnummer te hebben dat je alleen voor beveiliging gebruikt, wat betekent dat je je nummer nooit aan mensen geeft om contact mee op te nemen.
