Создатель криптовалюты Ethereum Виталик Бутерин, похоже, стал жертвой хакера в Twitter, который похитил 691 тыс. долл. у пользователей, перешедших по поврежденной ссылке, размещенной в его ленте.
Впервые взлом был замечен в субботу, когда на странице Бутерина появилось сообщение о запуске набора памятных неплатежеспособных токенов (NFT) от поставщика программного обеспечения Consensys. Вредоносная ссылка, которая могла быть показана многим из 4,9 млн. его подписчиков, предлагала жертвам подключить свои кошельки для майнинга NFT, но на самом деле она просто создавала вакуум, чтобы хакер мог избавиться от их средств.
В криптовалютном Twitter пользователи быстро забили тревогу по поводу фальшивой ссылки, но первое очевидное признание того, что Бутерин был взломан, поступило от его отца, Дмитрия «Димы» Бутерина.
Не обращайте внимания на это сообщение, очевидно, Виталик был взломан. Он работает над восстановлением доступа. https://t.co/2fjM0GhvIa
— dima.eth (@BlockGeekDima) September 9, 2023
Сообщение было удалено, но ущерб был нанесен: многие пострадавшие сообщили о потере доступа к средствам со своих кошельков. По данным блокчейн-исследователя @ZachXBT, в течение часа хакеру удалось вывести более 147 тыс. долл., однако эта сумма быстро выросла до 691 тыс. долл.
За сутки, прошедшие с момента первого сообщения о взломе, Бутерин пока никак не прокомментировал инцидент, его последнее сообщение вновь стало ретвитом сообщения от 6 сентября. @ZachZPT сообщил, что впоследствии хакер отправил украденный NFT Бутерину.
хакер только что отправил Виталику этот NFT, который они слили.
0x909c74236ded54ecea95ea1568e1abf67624ccae436d1b9d94cd0c163b11eec5 pic.twitter.com/Fx6ekDYyWR
— ZachXBT (@zachxbt) September 10, 2023
Неизвестно, сколько пользователей пострадало, но этот последний инцидент пополнил растущий список взломов социальных сетей, в результате которых были похищены миллионы токенов.
После такого количества потерь возникла дискуссия о том, как должны компенсировать потери сами разработчики. Безопасность самого Twitter также оказалась под вопросом, в том числе и со стороны генерального директора Binance Чангпенга Чжао, который написал, что безопасность аккаунтов на платформе «не продумана» в сравнении с традиционными финансовыми счетами.
«Она нуждается в гораздо большем количестве функций: 2FA, идентификатор входа должен отличаться от имени пользователя или электронной почты и т.д.», — написал Чжао, имея в виду двухфакторную аутентификацию. «В прошлом я несколько раз блокировал свой аккаунт в Twitter из-за того, что хакеры пытались взломать его (многократно перебирая разные пароли). Это было еще до «эры Элона»».
Двухфакторная аутентификация — это широко рекомендуемый метод защиты, при котором для получения доступа к учетной записи пользователям требуется два набора информации для подтверждения их личности. Она поддерживается компанией Twitter, но только для пользователей, оплачивающих услугу Twitter Blue. Грубый форсинг — тактика, при которой хакеры бомбардируют учетную запись запросами на доступ, пока один из них не будет взломан.