W ten weekend Vitalik Buterin został zhakowany, co doprowadziło do opublikowania linku phishingowego, który spowodował straty inwestorów w wysokości co najmniej 700 000 USD. Od tego czasu Buterin wypowiedział się na temat ataku, potwierdzając, że był on wynikiem wymiany karty SIM.
Vitalik Buterin potwierdza, że „SIM swap” był przyczyną włamania na jego konto X
Just a few days ago, Vitalik Buterin, the founder of Ethereum (ETH), suffered a hack of his X account. Dla przypomnienia, podszywanie się pod niego zostało wykorzystane do opublikowania linku phishingowego, powodując kradzież co najmniej 700 000 USD kryptowalut i niewymienialnych tokenów (NFT) od różnych inwestorów, którzy wpadli w pułapkę.
W zdecentralizowanej sieci społecznościowej Warpcast osoba zainteresowana potwierdziła wczoraj wieczorem, że włamanie to było możliwe dzięki tak zwanemu atakowi „SIM swap”:
Explanations from Vitalik Buterin on Warpcast
W skrócie, SIM swapping pozwala na „sklonowanie” karty SIM ofiary, aby otrzymywać jej komunikację, a co za tym idzie, jej podwójne kody uwierzytelniające. Istnieją różne sposoby osiągnięcia tego celu, albo poprzez udawanie, że jest się celem dla swojego operatora, gdy zna się jego dane osobowe, albo poprzez wykorzystanie wspólnika do skontaktowania się z operatorem.
Numer telefonu: niewystarczające zabezpieczenia
Na X można utworzyć konto za pomocą numeru telefonu, co w tym przypadku pokazuje, że istnieją luki w zabezpieczeniach. Vitalik Buterin wyjaśnia jednak, że nie pamięta, by podawał swój numer podczas tworzenia konta, z wyjątkiem subskrypcji usługi premium, co rzeczywiście jest konieczne.
Aby zapobiec takim zagrożeniom, zaleca się upewnienie się, że różne identyfikatory kont uznanych za wrażliwe nie mogą zostać zresetowane po prostu przy użyciu numeru telefonu.
W celu podwójnego uwierzytelnienia preferowane mogą być specjalnie dedykowane aplikacje, choć najbezpieczniejszym rozwiązaniem jest użycie fizycznych kluczy walidacyjnych. Umożliwiają to na przykład klucze marki Yubico, podobnie jak portfele sprzętowe Ledger za pośrednictwem aplikacji FIDO U2F.
Na zakończenie mówi, że cieszy się, że jest w Farcaster, który zasila Warpcast, ponieważ przynajmniej jego konto można odzyskać tylko za pomocą ważnego adresu Ethereum. To ciekawe spostrzeżenie, ponieważ ta metoda uwierzytelniania może być rzeczywiście bezpieczniejszą alternatywą dla e-maili i numerów telefonów dla różnych kont internetowych.
