Một liên kết giả mạo hứa hẹn một NFT độc quyền đã được đăng lên nguồn cấp dữ liệu của nhà phát minh Ethereum.
Nhà sáng tạo Ethereum Vitalik Buterin dường như đã trở thành nạn nhân của một hacker trên Twitter, người sau đó đã đánh cắp 691.000 USD từ người dùng đã theo một liên kết bị hỏng được đăng trên nguồn cấp dữ liệu của anh ta.
Vụ hack được phát hiện lần đầu vào thứ Bảy khi một bài đăng xuất hiện trên bài đăng của Buterin thông báo về việc ra mắt một bộ mã thông báo không thể thay thế (NFT) kỷ niệm từ nhà cung cấp phần mềm Consensys. Liên kết độc hại này — có thể đã được hiển thị cho nhiều người trong số 4,9 triệu người theo dõi của anh ấy — đã khiến nạn nhân kết nối ví của họ để tạo NFT, nhưng thực tế, nó chỉ tạo ra một khoảng trống cho hacker chiếm đoạt tiền của họ.
Trên Crypto Twitter, người dùng đã nhanh chóng báo động về liên kết giả mạo, nhưng sự thừa nhận đầu tiên về việc Buterin bị hack đến từ cha anh, Dmitriy “Dima” Buterin.
Bài đăng đã bị xóa, nhưng thiệt hại đã xảy ra, khi một số nạn nhân báo cáo mất quyền truy cập vào tiền từ ví của họ. Trong vòng một giờ, hacker dường như đã chiếm đoạt hơn 147.000 USD, nhưng con số đó nhanh chóng tăng lên 691.000 USD, theo nhà điều tra blockchain @ZachXBT.
Trong ngày kể từ khi vụ hack được báo cáo lần đầu tiên, Buterin vẫn chưa bình luận công khai về vụ việc, bài đăng gần nhất của anh ấy lại là một bài retweet của bài đăng ngày 6 tháng 9. @ZachZPT báo cáo rằng hacker sau đó đã gửi một NFT bị đánh cắp cho Buterin.
Không rõ có bao nhiêu người dùng bị ảnh hưởng, nhưng vụ việc mới nhất này thêm vào danh sách ngày càng tăng các vụ hack trên mạng xã hội đã thu về hàng triệu mã thông báo.
Sau nhiều tổn thất như vậy, đã có một cuộc tranh luận về cách các nạn nhân nên được bồi thường cho các khoản lỗ của họ bởi chính các nhà phát triển. An ninh của Twitter cũng bị đặt câu hỏi, bao gồm cả CEO của Binance Changpeng Zhao, người đã viết rằng bảo mật tài khoản của nền tảng “không được thiết kế” tốt so với tài khoản tài chính truyền thống.
“Nó cần khá nhiều tính năng hơn: 2FA, ID đăng nhập phải khác với tên miền hoặc email, v.v.,” Zhao viết, đề cập đến xác thực hai yếu tố. “Trong quá khứ, tôi đã bị khóa tài khoản Twitter của mình một vài lần do hacker cố gắng brute force (thử các mật khẩu khác nhau nhiều lần). Đó là trước thời kỳ ‘Elon’.”
Xác thực hai yếu tố là phương pháp phòng thủ được khuyến nghị rộng rãi để người dùng yêu cầu hai bộ thông tin để xác minh danh tính của họ trước khi truy cập vào tài khoản. Nó được hỗ trợ bởi Twitter, nhưng chỉ dành cho người dùng trả tiền cho Twitter Blue. Brute force là một chiến thuật mà hacker tấn công tài khoản bằng cách yêu cầu truy cập cho đến khi một yêu cầu cuối cùng cũng vượt qua.
