Dit weekend werd Vitalik Buterin’s account gehackt, wat resulteerde in de publicatie van een phishing-link die investeerders een verlies van minstens $700.000 opleverde. Buterin heeft zich sindsdien uitgesproken over de aanval en bevestigd dat het het resultaat was van een SIM-swap.
Vitalik Buterin bevestigt dat een “SIM-swap” de oorzaak was van de hack op zijn X-account
Enkele dagen geleden werd Vitalik Buterin, de oprichter van Ethereum (ETH), getroffen door een hack van zijn X-account. Ter herinnering: deze imitatie werd gebruikt om een phishing-link te publiceren, waardoor minstens $700.000 aan cryptocurrencies en niet-fungibele tokens (NFT) werd gestolen van verschillende investeerders die in de val trapten.
Op het gedecentraliseerde sociale netwerk Warpcast bevestigde de betrokkene gisteravond dat deze inbraak mogelijk was gemaakt door een zogenaamde “SIM swap” aanval:
Uitleg van Vitalik Buterin op Warpcast
In een notendop kun je met SIM-swapping de SIM-kaart van je slachtoffer “klonen” en zo hun communicatie ontvangen en dus ook hun dubbele verificatiecodes. Er zijn verschillende manieren om dit te bereiken, ofwel door je bij de operator voor te doen als het doelwit terwijl ze hun persoonlijke gegevens kennen, ofwel door een medeplichtige te gebruiken om contact op te nemen met de operator.
Het telefoonnummer: onvoldoende beveiligd
Op X kun je een account aanmaken met je telefoonnummer, wat in dit geval laat zien dat er gaten in de beveiliging zitten. Vitalik Buterin legt echter uit dat hij zich niet kan herinneren dat hij zijn nummer heeft opgegeven toen hij zijn account aanmaakte, behalve toen hij zich abonneerde op de premium service, wat inderdaad noodzakelijk is.
Om dergelijke risico’s te voorkomen, is het raadzaam om ervoor te zorgen dat de verschillende identificaties voor accounts die als gevoelig worden beschouwd, niet kunnen worden gereset door simpelweg iemands telefoonnummer te gebruiken.
Voor dubbele authenticatie kan de voorkeur worden gegeven aan speciale toepassingen, hoewel de veiligste oplossing het gebruik van fysieke validatiesleutels is. Sleutels van het merk Yubico maken dit bijvoorbeeld mogelijk, net als Ledger hardware wallets via de FIDO U2F-toepassing.
Hij sluit af met te zeggen dat hij blij is dat hij op Farcaster zit, dat Warpcast van stroom voorziet, omdat zijn account tenminste alleen kan worden hersteld met een geldig Ethereum-adres. Het is een interessante observatie, omdat deze authenticatiemethode inderdaad een veiliger alternatief kan zijn voor e-mails en telefoonnummers voor verschillende webaccounts.
