В эти выходные аккаунт Виталика Бутерина был взломан, в результате чего была опубликована фишинговая ссылка, принесшая инвесторам убытки в размере не менее 700 000 долл. После этого Бутерин рассказал об атаке, подтвердив, что она была совершена в результате подмены SIM-карты.
Виталик Бутерин подтвердил, что причиной взлома его X-аккаунта стал «обмен SIM-карт «
Несколько дней назад Виталик Бутерин, основатель Ethereum (ETH), пострадал от взлома своего аккаунта X. Напомним, что под этой личиной была опубликована фишинговая ссылка, в результате чего у различных инвесторов, попавших в ловушку, было похищено не менее 700 тыс. долл. криптовалют и нефункционирующих токенов (NFT).
Вчера вечером в децентрализованной социальной сети Warpcast заинтересованное лицо подтвердило, что это вторжение было осуществлено с помощью так называемой атаки «подмены SIM»:
Объяснения Виталика Бутерина на Warpcast
В двух словах, подмена SIM-карт позволяет «клонировать» SIM-карту жертвы и получать ее сообщения и, соответственно, двойные коды аутентификации. Добиться этого можно различными способами: либо выдав себя за жертву перед оператором, узнав его персональные данные, либо используя сообщника для связи с оператором.
Номер телефона: недостаточная защита
В X можно создать учетную запись, используя свой номер телефона, что в данном случае свидетельствует о наличии пробелов в системе безопасности. Однако Виталик Бутерин поясняет, что не помнит, чтобы он указывал свой номер при создании учетной записи, за исключением случаев, когда он подписывался на премиум-сервис, что действительно необходимо.
Для предотвращения подобных рисков целесообразно обеспечить невозможность сброса различных идентификаторов учетных записей, считающихся конфиденциальными, простым использованием номера телефона.
Для двойной аутентификации можно предпочесть специально разработанные приложения, хотя наиболее надежным решением является использование физических ключей проверки. Например, это позволяют сделать ключи марки Yubico, а также аппаратные кошельки Ledger через приложение FIDO U2F.
В заключение он говорит, что счастлив быть на Farcaster, на котором работает Warpcast, потому что, по крайней мере, его аккаунт можно восстановить только с помощью действительного адреса Ethereum. Это интересное наблюдение, поскольку такой способ аутентификации действительно может стать более безопасной альтернативой электронной почте и телефонным номерам для различных веб-аккаунтов.
