Wydaje się, że twórca
Ethereum, Vitalik Buterin, padł ofiarą hakera na Twitterze, który ukradł 691 000 USD od użytkowników, którzy skorzystali z uszkodzonego linku opublikowanego w jego kanale.
Włamanie zostało po raz pierwszy zauważone w sobotę, kiedy w poście Buterina pojawił się post zapowiadający uruchomienie zestawu pamiątkowych niewymienialnych tokenów (NFT) od dostawcy oprogramowania Consensys. Ten złośliwy link – który mógł zostać pokazany wielu z jego 4,9 miliona obserwujących – zachęcał ofiary do połączenia swoich portfeli w celu wybicia NFT, ale w rzeczywistości po prostu stworzył próżnię dla hakera, aby uciec z ich funduszami.
Na Crypto Twitterze użytkownicy szybko podnieśli alarm o fałszywym linku, ale pierwsze pozorne potwierdzenie, że Buterin został zhakowany, pochodziło od jego ojca, Dmitrija „Dimy” Buterina.
Zignoruj ten post, najwyraźniej Vitalik został zhakowany. Pracuje nad przywróceniem dostępu. https://t.co/2fjM0GhvIa
– dima.eth (@BlockGeekDima) 9 września 2023
Post został usunięty, ale szkody zostały wyrządzone, ponieważ wiele ofiar zgłosiło utratę dostępu do środków ze swoich portfeli. W ciągu godziny haker zdołał wyłudzić ponad 147 000 USD, ale według badacza blockchain @ZachXBT kwota ta szybko wzrosła do 691 000 USD.
W ciągu dnia od pierwszego zgłoszenia włamania Buterin nie skomentował jeszcze publicznie tego incydentu, a jego najnowszy post ponownie był retweetem postu z 6 września. @ZachZPT poinformował, że haker następnie wysłał skradziony NFT do Buterin.
they hacker just sent Vitalik this NFT they drained
0x909c74236ded54ecea95ea1568e1abf67624ccae436d1b9d94cd0c163b11eec5 pic.twitter.com/Fx6ekDYyWR
– ZachXBT (@zachxbt) 10 września 2023
Nie wiadomo dokładnie, ilu użytkowników zostało dotkniętych, ale ten ostatni incydent dodaje do rosnącej listy hacków w mediach społecznościowych, które przyniosły miliony tokenów.
Po tak wielu stratach odbyła się debata na temat tego, w jaki sposób ofiary powinny otrzymać rekompensatę za swoje straty od samych deweloperów. Bezpieczeństwo Twittera również zostało zakwestionowane, w tym przez CEO Binance Changpeng Zhao, który napisał, że bezpieczeństwo konta platformy „nie jest dobrze zaprojektowane” w porównaniu z tradycyjnymi kontami finansowymi.
„Potrzebuje znacznie więcej funkcji: 2FA, identyfikator logowania powinien być inny niż uchwyt lub adres e-mail itp.”, napisał Zhao, odnosząc się do uwierzytelniania dwuskładnikowego. „W przeszłości kilka razy miałem zablokowane konto na Twitterze z powodu hakerów próbujących je złamać (wielokrotnie próbując różnych haseł). Było to jeszcze przed erą Elona”.
Uwierzytelnianie dwuskładnikowe to powszechnie zalecana metoda obrony dla użytkowników, która wymaga dwóch zestawów informacji w celu zweryfikowania ich tożsamości przed uzyskaniem dostępu do konta. Jest ona obsługiwana przez Twittera, ale tylko dla użytkowników, którzy płacą za Twitter Blue. Brute forcing to taktyka, w której hakerzy bombardują konto prośbami o dostęp, aż w końcu jedna z nich zostanie przełamana.