Ethereum-Mitgründer Vitalik Buterin erklärte, jemand habe T-Mobile „sozial engineered“, um seine Telefonnummer zu übernehmen, was ausreichte, um sein X (Twitter) Konto zu hacken.
Buterin teilte mit, er habe „endlich“ seinen T-Mobile-Telefonaccount zurückbekommen, nachdem er verwendet wurde, um in seine X-Seite einzudringen und einen Phishing-Betrug zu teilen, der die Opfer um Kryptowährung im Wert von 690.000 $ beraubte.Der Erfinder und Repräsentant der Kryptowährung Ethereum bestätigte, was viele vermuteten, nachdem am 9. September ein Krypto-Betrug an seine fünf Millionen Follower auf X gesendet wurde.
„Ja, es war ein SIM-Swap, was bedeutet, dass jemand T-Mobile mit Social Engineering manipuliert wurde, um meine Telefonnummer zu übernehmen“, sagte Buterin in einer Nachricht auf Warpcast, einem Client des dezentralen sozialen Netzwerks Farcaster.
Ein SIM-Swap ist ein Betrug, bei dem die Telefonnummer eines Opfers ohne dessen Erlaubnis auf eine SIM-Karte eines Angreifers übertragen wird. Dies nutzt eine Schwäche der Zwei-Faktor-Authentifizierung (2FA) aus, wenn der zweite Verifizierungsschritt auf einer Telefonnummer basiert.
Allerdings sagte Buterin, dass „eine Telefonnummer ausreicht, um ein Twitter-Konto zurückzusetzen, selbst wenn sie nicht als 2FA verwendet wird.“ Er fügte hinzu: „Ich hatte schon gehört, dass Telefonnummern unsicher sind und man sich nicht mit ihnen authentifizieren sollte, aber ich hatte das nicht realisiert.“ Buterin sagte auch, er könne sich nicht erinnern, wann er seine Telefonnummer zu seinem Twitter-Konto hinzugefügt hat, aber es war wahrscheinlich erforderlich, um sich für Twitter Blue anzumelden.
Twitter Blue, jetzt X Premium, ist ein Abonnementservice, den Elon Musk, der Milliardär und Eigentümer des sozialen Netzwerks, ins Leben gerufen hat, um seine Vision von X als Finanzplattform und „Alles-in-Einem-App“ zu finanzieren.
Sicherheitsbedenken bei X
Der Hack von Buterins Konto wirft Sicherheitsfragen auf, die Musks Vision ins Wanken bringen könnten.
„Die Kontosicherheit von Twitter ist nicht wie bei Finanzplattformen gestaltet. Es bedarf weit mehr Features: 2FA, Anmelde-ID sollte anders sein als Handle oder E-Mail usw.“, twitterte Binance-CEO Changpeng Zhao als Antwort auf den Hack von Buterins Konto.
„Früher wurde mein Twitter-Konto aufgrund von Hackern, die versuchten, es durch Brute-Force (wiederholtes Ausprobieren verschiedener Passwörter) zu knacken, mehrmals gesperrt“, sagte er und fügte hinzu, dass dies vor der „Elon-Ära“ geschah.
Binance, die weltgrößte Kryptobörse, und auch Zhao selbst, stehen wegen Vorwürfen der „Täuschung“ vor Anklagen der US-Börsenaufsichtsbehörde SEC.
Betrug über 690.000 $
Der Tweet auf Buterins Konto bewarb ein falsches Krypto-Programm und enthielt einen kompromittierten Link, der den Leser aufforderte, ihm zu folgen und „Ihr Stück Geschichte zu beanspruchen.“
Statt eines kostenlosen NFT riskierten Nutzer, die ihre Wallets mit dem kompromittierten Konto verknüpften, den Verlust ihrer Krypto-Assets.
Der Tweet blieb nur 20 Minuten online, laut „Web3“, aber der Schaden war angerichtet. Blockchain-Beobachter ZachXBT berichtete, dass Cyberkriminelle Kryptotoken im Wert von über 690.000 $, einschließlich zwei hochwertiger CryptoPunks, gestohlen haben.
ZachXBT hat seit Wochen vor den Risiken durch SIM-Swap gewarnt. Ihr Tweet im August besagte, dass in den letzten vier Monaten aufgrund von 54 SIM-Swaps, die sich gegen Personen im Krypto-Bereich richteten, 13,3 Millionen $ gestohlen wurden.
„Verwenden Sie niemals SMS 2FA, sondern nutzen Sie eine Authenticator-App oder einen Sicherheitsschlüssel, um Konten zu sichern“, sagten sie.
In der Zwischenzeit sagte Buterin, er sei „froh“, bei Farcaster zu sein, wo die Kontowiederherstellung mit Ethereum-Adressen verknüpft ist. Er postet selten auf X.