L’arnaque perpétrée sur le compte X (anciennement Twitter) de Vitalik Buterin, le co-fondateur d’Ethereum, a rapporté près de 700 000 $.
Alors que le compte ait été effectivement bloqué quelques heures après le piratage, un seul message des escrocs leur a suffi pour en récolter plusieurs centaines de milliers avec un cadeau NFT.
Le compte de Vitalik Buterin et l’arnaque quasiment millionnaire
A vrai dire, Buterin n’est pas un grand utilisateur des réseaux sociaux.
Par exemple, avant le piratage de dimanche, son dernier tweet remontait au 16 août, suivi d’un retweet le 6 septembre.
Il suffit de dire qu’après avoir retrouvé l’accès à son compte, Buterin n’a toujours rien tweeté et n’a même pas modifié la biographie éditée par les escrocs.
Même sur son blog personnel, Vitalik.ca, Buterin n’est pas très actif, avec un peu plus d’un article par mois.
Le compte X du célèbre cofondateur d’Ethereum compte près de cinq millions de followers, ce qui en fait l’un des comptes crypto personnels comptant le plus de followers. Par exemple, Michael Saylor, qui est actif quasiment tous les jours, s’arrête à un peu plus de trois millions, et le regretté John McAfee s’arrête à 1,1 million.
Le fait est que Buterin communique souvent avec un autre outil, Warpcast, choisi pas par hasard hier pour communiquer qu’il avait récupéré son compte sur X.
Warpcast est un client pour Farcaster, un protocole décentralisé qui prend en charge plusieurs dApps. Plus précisément, Warpcast est une dApp Farcaster avec laquelle un réseau social décentralisé similaire à Twitter est née.
Le hack
D’après ce que Buterin a annoncé sur Warpcast, les escrocs ont réussi à accéder à son compte X grâce à une attaque par échange de carte SIM.
En d’autres termes, ils ont réussi à mettre la main sur un clone de la carte SIM de son téléphone portable et ont ainsi réussi à employer le processus de récupération du mot de passe via le téléphone mobile pour y accéder.
En fait, Vitalik se plaignait à la fois de devoir fournir à X un numéro de téléphone et de le laisser ensuite actif.
On ne sait cela dit pas comment les pirates ont connu son numéro de téléphone, ni comment ils ont réussi à récupérer un clone de sa SIM.
Cela dit, il convient de souligner que ce type d’attaque est de plus en plus courant et qu’apparemment la seule solution est de désactiver la récupération du mot de passe du compte par SMS, ou de désactiver complètement le numéro de téléphone du compte.
L’arnaque via le compte de Vitalik Buterin
Une fois l’accès au profil de Buterin
Le tweet semble évidemment avoir été publié par Buterin lui-même, c’est pourquoi beaucoup sont tombés dans le piège.
Dans ce tweet, Buterin recommandait pratiquement explicitement de demander un NFT précis en cadeau.
Le fait qu’il s’agisse d’un tweet illégitime peut être compris à la fois car Buterin fait très rarement la promotion des NFT (il ne l’a certainement jamais fait) et parce qu’une écriture anormale est apparue dans la biographie du compte liée à un jeton nouvellement créé.
En d’autres termes, il était clair qu’il s’agissait d’une tentative d’arnaque, mais de nombreuses personnes se sont quand même laissé prendre au piège.
Le butin
Le tweet malveillant contenait un lien décrit comme celui vers le site où les NFT gratuits pouvaient être récupérés.
Une fois que vous avez cliqué sur ce lien, une procédure a été lancée qui a conduit les escrocs à accéder aussi aux portefeuilles des malheureux.
D’après certaines estimations, environ 691 000 dollars auraient ainsi été volés.
Des NFT de la collection CryptoPunk ont notamment été volés.
PDJ Plus de l’auteur
