Vitalik Buterin, co-fundador da Ethereum, revelou recentemente que o hack de sua conta X (anteriormente conhecida como Twitter) foi resultado de um ataque de SIM swap. O hacker conseguiu assumir o controle do número de telefone de Buterin ao enganar a T-Mobile, a operadora de telefonia móvel do empresário. O ataque resultou em um prejuízo coletivo de mais de US$ 691,000 para os seguidores de Buterin, que foram induzidos a clicar em um link malicioso.
Buterin explicou que o ataque foi facilitado pelo fato de que a rede social X permite a recuperação de conta usando apenas um número de telefone, mesmo que este não seja usado como autenticação de dois fatores (2FA). ‘Um número de telefone é suficiente para redefinir a senha de uma conta no Twitter, mesmo que não seja usado como 2FA’, disse ele.
O co-fundador da Ethereum também compartilhou que não se lembrava especificamente de ter adicionado seu número de telefone à conta, especulando que isso poderia ter sido uma exigência para participar do programa de verificação Twitter Blue da X.
As lições aprendidas e a segurança em plataformas sociais
Após o incidente, Buterin fez algumas recomendações para melhorar a segurança em plataformas sociais. Ele sugeriu que os usuários podem ‘remover completamente [o] telefone do Twitter’ para evitar serem vítimas de ataques semelhantes. Além disso, ele destacou a importância de não usar números de telefone como método de autenticação, uma prática que ele mesmo admitiu não ter levado a sério o suficiente.
O desenvolvedor da Ethereum, Tim Beiko, também fez recomendações semelhantes, aconselhando os usuários a removerem seus números de telefone das contas da X e a habilitarem a autenticação de dois fatores. ‘Parece óbvio ter isso ativado por padrão, ou ativá-lo quando uma conta atinge, digamos, mais de 10k seguidores’, disse ele.
Twitter opsec PSA:
If you have a phone number linked on your account, even with other 2FA, it can be used to reset your PW. Need to specifically disable it + remove phone #.
If your Twitter account pre-dates crypto, strongly recommend double-checking, and adding strong 2FA! pic.twitter.com/uXrvHYhQvJ
— timbeiko.eth (@TimBeiko) September 9, 2023
O ataque também levantou questões sobre a segurança das operadoras de telefonia móvel, já que não é a primeira vez que a T-Mobile se envolve em um vetor de ataque desse tipo. Em 2020, a empresa foi processada por supostamente permitir o roubo de US$ 8,7 milhões em cripto em uma série de ataques de SIM swap.
O futuro da segurança em cripto e redes sociais
O ataque a Buterin serve como um alerta para a comunidade de criptomoedas e usuários de redes sociais sobre os riscos associados à segurança cibernética. O incidente também destaca a necessidade de medidas de segurança mais rigorosas por parte das plataformas sociais e operadoras de telefonia móvel.
Buterin, por sua vez, elogiou a segurança aprimorada da rede social descentralizada Farcaster, que utiliza endereços Ethereum como um método mais seguro para prevenir que contas sejam comprometidas. ‘Feliz por estar na farcaster, onde a recuperação da minha conta pode ser controlada por um bom e saudável endereço Ethereum’, disse ele.
O ataque também serve como um lembrete para a comunidade de cripto sobre a importância de manter práticas de segurança rigorosas, especialmente em um ambiente onde grandes somas de dinheiro estão frequentemente em jogo.
