Suivi de hack. Chaque semaine, l’écosystème crypto est victime de hacker et autres arnaqueurs. Le weekend dernier, Vitalik Buterin lui-même, l’a appris à ses dépens. En effet, le cofondateur d’Ethereum s’est fait hacker son compte X (Twitter).
Le compte X de Vitalik Buterin victime de hack
Samedi 9 septembre, le compte X (anciennement Twitter) de Vitalik Buterin a publié une annonce pour le moins surprenante. À l’occasion du lancement de Proto-Danksharding pour le prochain hard fork, Consensys aurait lancé une collection de NFT. Évidemment, la publication est accompagnée d’un lien qui semble diriger sur le site de Consensys.
En réalité, il s’agissait là d’une attaque de type phishing. Une fois sur le site celui-ci demande de signer une transaction pour le fameux NFT. En pratique, la transaction aura un tout autre effet, celui de dérober l’ensemble de vos cryptomonnaies. Hé oui, même Vitalik Buterin peut être la cible d’un hack.
Ainsi, un hacker a réussi à accéder au compte et a publié ce message pour tenter d’extorquer les abonnés de Buterin. Au total, près de 700 000 dollars ont été dérobés en crypto et en NFT.
Les dessous de l’attaque
Rapidement après la publication du message, celui-ci a été supprimé et une multitude d’utilisateurs ont averti de la dangerosité du lien. Néanmoins, toujours pas de nouvelles de Vitalik Buterin.
Finalement, le 12 septembre, Vitalik Buterin a adressé la situation sur le réseau social décentralisé Warpcast.
Nous apprenons notamment que le piratage de son compte était le résultat d’une attaque de type « SIM-swap ».
« J’ai finalement récupéré mon compte T-mobile (oui, il s’agissait d’un échange de cartes SIM, ce qui signifie que quelqu’un a modifié socialement T-mobile pour qu’il prenne mon numéro de téléphone). »
Comme expliqué brièvement par Buterin, une attaque SIM-swap aussi appelée simjacking, vise à prendre le contrôle du numéro de téléphone mobile de leur victime. Une fois le numéro en leur possession, il peut ainsi utiliser les 2FA pour se connecter à l’ensemble des comptes de la victime.
Ce n’est pas la première fois que le SIM-swap est utilisé pour dérober des cryptomonnaies. Comme souligné par Vitalik Buterin, les numéros de téléphone ne sont pas une solution des plus sécurisées pour s’authentifier.
Une remarque reprise par Tim Beiko, qui a invité les utilisateurs à retirer leur numéro de téléphone de X :
« Si vous avez un numéro de téléphone lié à votre compte, même avec un autre 2FA, il peut être utilisé pour réinitialiser votre mot de passe. Il faut le désactiver spécifiquement + supprimer le numéro de téléphone. »
Dès 2019, des cas de simjacking ont été enregistrés dans l’écosystème crypto. En effet, 50 millions de dollars avaient été dérobés par un jeune montréalais de 18 ans.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
