Neste fim de semana, Vitalik Buterin teve a sua conta pirateada, o que resultou na publicação de um link de phishing que causou pelo menos 700.000 dólares em perdas aos investidores. Buterin já se pronunciou sobre o ataque, confirmando que foi o resultado de uma troca de SIM.
Vitalik Buterin confirma que uma “troca de SIM” foi a causa da invasão da sua conta X
Há alguns dias, Vitalik Buterin, o fundador da Ethereum (ETH), foi vítima de um hack na sua conta X. Como lembrete, essa personificação foi usada para publicar um link de phishing, causando pelo menos US $ 700.000 em roubo de criptomoedas e tokens não fungíveis (NFT) de vários investidores que caíram na armadilha.
Na rede social descentralizada Warpcast, a pessoa em causa confirmou ontem à noite que esta intrusão tinha sido possibilitada por um ataque denominado “SIM swap”:
Em poucas palavras, a troca de SIM permite-lhe “clonar” o cartão SIM da sua vítima, de modo a receber as suas comunicações e, por extensão, os seus códigos de autenticação dupla. Existem várias formas de o conseguir, quer fingindo ser o alvo junto do seu operador quando conhece os seus dados pessoais, quer utilizando um cúmplice para contactar o operador.
O número de telefone: segurança insuficiente
No X, é possível criar uma conta utilizando o seu número de telefone, o que, neste caso, mostra que existem falhas de segurança. No entanto, Vitalik Buterin explica que não se lembra de ter fornecido o seu número quando criou a sua conta, exceto quando subscreveu o serviço premium, o que é efetivamente necessário.
Para evitar tais riscos, é aconselhável garantir que os vários identificadores das contas consideradas sensíveis não possam ser redefinidos através da simples utilização do número de telefone.
Para a dupla autenticação, podem ser preferidas aplicações especialmente dedicadas, embora a solução mais segura seja a utilização de chaves de validação físicas. As chaves da marca Yubico, por exemplo, permitem-no, tal como as carteiras de hardware Ledger através da aplicação FIDO U2F.
Ele conclui dizendo que está feliz por estar no Farcaster, que alimenta o Warpcast, porque pelo menos sua conta só pode ser recuperada com um endereço Ethereum válido. É uma observação interessante, porque este método de autenticação pode, de facto, ser uma alternativa mais segura aos e-mails e números de telefone para várias contas na Web.