L’escroquerie qui a été perpétrée sur le compte X (anciennement Twitter) de Vitalik Buterin, le cofondateur d’Ethereum, a rapporté près de 700.000$.
Bien que le compte ait été bloqué dans les heures qui ont suivi le piratage, un seul message posté par les escrocs a suffi pour encaisser plusieurs centaines de milliers de dollars grâce à un cadeau NFT.
Summary
Le compte de Vitalik Buterin et l’arnaque du presque millionnaire
Buterin n’est en réalité pas un grand habitué des réseaux sociaux.
Par exemple, avant le piratage de dimanche, son dernier tweet remontait au 16 août, suivi d’un retweet le 6 septembre.
Il suffit de dire qu’après avoir récupéré l’accès à son compte, Buterin n’a toujours rien tweeté et n’a pas changé la bio qui avait été modifiée par les escrocs.
Même sur son blog personnel, Vitalik.ca, Buterin n’est pas très actif, avec à peine plus d’un message par mois.
Le compte X du célèbre cofondateur d’Ethereum compte près de cinq millions de followers, ce qui en fait l’un des comptes crypto personnels les plus suivis. Par exemple, Michael Saylor, qui est actif presque tous les jours, s’arrête à un peu plus de trois millions, et feu John McAfee à 1,1 million.
Le fait est que Buterin communique souvent avec un autre outil, Warpcast, choisi pas hasard hier pour annoncer qu’il avait récupéré son compte sur X.
Warpcast est un client pour Farcaster, un protocole décentralisé qui supporte plusieurs dApps. Plus précisément, Warpcast est une dApp de Farcaster utilisée pour créer un social network décentralisé similaire à Twitter.
Le piratage
Selon la déclaration de Buterin sur Warpcast, les fraudeurs ont réussi à accéder à son compte X au moyen d’une attaque par échange de cartes SIM.
En d’autres termes, ils ont réussi à s’emparer d’un clone SIM de son téléphone portable et ont ainsi pu utiliser le processus de récupération du mot de passe du téléphone portable pour obtenir l’accès.
En fait, Vitalik s’est plaint d’avoir dû fournir un numéro de téléphone à X et de l’avoir laissé actif.
On ignore cependant comment les pirates connaissaient son numéro de téléphone et comment ils ont réussi à récupérer un clone de sa carte SIM.
Il convient toutefois de noter que ce type d’attaque est de plus en plus fréquent et que la seule solution consiste apparemment à désactiver la récupération par SMS du mot de passe du compte, ou à désactiver complètement le numéro de téléphone du compte.
L’escroquerie via le compte de Vitalik Buterin
Une fois l’accès au profil X de Buterin récupéré, les escrocs n’ont eu qu’à poster un seul tweet.
Ce tweet semblait avoir été posté par Buterin lui-même, et c’est pourquoi de nombreuses personnes sont tombées dans le panneau.
Dans ce tweet, Buterin recommandait presque explicitement de demander un NFT spécifique en guise de cadeau.
Le fait qu’il s’agissait d’un tweet illégitime pouvait être deviné, à la fois parce que Buterin ne fait pratiquement jamais la promotion des NFT (il ne l’a probablement jamais fait), et parce qu’une inscription anormale est apparue dans la bio du compte, faisant référence à un token nouvellement créé.
En d’autres termes, il était évident qu’il s’agissait d’une tentative d’escroquerie, mais de nombreuses personnes sont tout de même tombées dans le panneau.
Le butin
Le tweet malveillant contenait un lien décrit comme étant celui du site à partir duquel les NFT gratuits pouvaient être retirés.
Une fois ce lien cliqué, une procédure était lancée qui conduisait les escrocs à s’emparer également des portefeuilles des victimes.
Selon certaines estimations, un total de 691.000$ aurait ainsi été dérobé.
Des NFT de la collection CryptoPunk ont notamment été dérobés.
