Opróżnili portfel kryptowalutowy warty 650 tysięcy dolarów podając się za pracowników Apple

Obserwując rynek NFT, nie sposób dojść do wniosku, że zamiast handlować tokenami lub je tworzyć łatwiej jest je kraść. Liczne wyłudzenia i scamy – opiewające nierzadko na miliardy dolarów – wyglądają jak bułka z masłem. Pomysłów zaś jest mnóstwo. A to wzbudzenie zaufania społeczności i szybkie zwinięcie interesu, a to wykorzystywanie luk w systemach zabezpieczeń. Do tego oczywiście niezbędna jest specjalistyczna wiedza. A co jeśli powiem wam, że do zainkasowania setek tysięcy dolarów potrzebna jest zaledwie odrobina brawury z nutą naiwności ofiary?

Dzień dobry, z tej strony Apple

Historia Domenica Iacovone brzmi jak tania sensacja rodem z filmów kategorii B. Niestety dla ofiary kryptowalutowego scamu utrata 650 tysięcy dolarów nie jest kinowym scenariuszem, a smutną rzeczywistością. W ubiegły piątek Domenic otrzymał nietypowy telefon. Zadzwoniło do niego Apple we własnej osobie. Chwile wcześniej odebrał kilka komunikatów z prośbą o zresetowanie hasła, jednak obawiając się oszustwa, zignorował wezwania. Połączenie nadeszło jednak z numeru powiązanego ze sklepem internetowym Apple, a sam dzwoniący wyświetlał się jako „Apple”.

Wiem, już w tym momencie bohaterowi tej historii powinna zapalić się czerwona lampka. Tak się jednak nie stało. Domenic zdecydował, że wypadałoby oddzwonić. Głos w słuchawce poinformował go, że zabezpieczenia jego konta zostały naruszone. Aby upewnić się, że nie doszło do włamania, konsultant poprosił o podanie jednorazowego kodu, który otrzyma w wiadomości w celu weryfikacji użytkownika. Jak już się pewnie domyślacie, Lacovone bez zastanowienia podał oszustom kod. Kilka sekund później jego portfel kryptowalutowy został wyczyszczony do cna.

Kradzież była możliwa dzięki luce w iCloud

W jednej chwili oszuści wykradli kryptowaluty i tokeny NFT o łącznej wartości 650 tysięcy dolarów. Środki, które zniknęły z portfela MetaMask to Ethereum warte co najmniej 160 tysięcy oraz NFT z serii Mutant Ape Yacht wycenione na 80 tysięcy. Ponadto złodzieje wykradli 100 tysięcy dolarów w kryptowalucie Ape Coin i 250 tysięcy w stablecoinie Tether, który jest powiązany z dolarem amerykańskim. Nasuwa się pytanie, jakim cudem scamerzy dokonali kradzieży przy pomocy iClouda? Zakładając portfel kryptowalutowy, otrzymujesz dwunastocyfrowy ciąg fraz, niezbędny do zalogowania na nowym urządzeniu. Frazy te, to absolutnie najważniejsza kwestia, której użytkownik powinien chronić za wszelką cenę. Wykluczone jestem zatem zachowywanie hasła w pęku kluczu. Jednak nawet jeśli użytkownik tego nie zrobi, dane te mogą zostać zapisane w iCloud

Czytaj dalej poniżej

Tazosy i karty odchodzą do lamusa. Star Trek chce, żeby fani zbierali teraz NFT Kacper Cembrowski

Kradną Ci ponad 600 milionów dolarów z gry NFT, więc tworzysz kolejną. Blockchain to stan umysłu Kacper Cembrowski

Ekspert do spraw kryptowalutowego bezpieczeństwa rozwiązał tę zagadkę i podzielił się informacjami na Twitterze. Okazuje się, że iCloud automatycznie przechowuje w chmurze plik z frazą w momencie korzystania z aplikacji MetaMask na iPhonie. Oficjalny profil MetaMask opublikował na Twitterze krótką instrukcję, która zapobiega wykorzystywaniu luki.

Przypadek ten jest oczywiście przykładem wyrafinowanego phishingu, jednak nie byłby on możliwy gdyby nie naiwność Domenica Iacovone. Apple często podaje w komunikatach, że pracownicy firmy nigdy nie będą wymagali od klienta podawania wrażliwych danych takich jak hasła czy kody weryfikacyjne. To także zobrazowanie tego, że decentralizacja – przedstawiana jako największa zaleta kryptowalutowych finansów – może okazać się także istotną wadą tego systemu. Transakcji tej nie można cofnąć, a platforma nie jest zobligowana do zwrócenia wykradzionych aktywów. Ofiara wyłudzenia prawdopodobnie nigdy nie odzyska już swoich pieniędzy, choć zapewne sytuacja ta będzie równie cenną lekcją na przyszłość.

Stock image from Depositphotos