Konto RoboHero na X przejęte przez hakerów! Jakie słabości platformy X wykorzystują hakerzy? [Aktualizacja]

Konto RoboHero na X zostało przejęte przez hakerów 2 kwietnia i odzyskać je udało się dopiero 10 kwietnia. Co ciekawe, konto było zabezpieczone uwierzytelnianiem dwuskładnikowym 2FA. Sytuacja RoboHero jest kolejnym przykładem na to, że kryptwoalutowa społeczność ma coraz większy problem wynikający ze słabości platformy X. Jakie są realne szanse na zmianę tej sytuacji? 

Konto RoboHero na X zhakowane – platforma X piętą achillesową społeczności Web3? 

Włam na konto na platformie X stał się niestety przykrą codziennością, której doświadcza coraz większa liczba użytkowników. Ofiarami hakerów są nie tylko kryptowalutowi influencerzy czy projekty, ale nawet sama amerykańska Komisja Papierów Wartościowych i Giełd (SEC). Jedną z ofiar działań hakerów jest także projekt polskiej gry Web3 RoboHero. 

Konto RoboHero na X zostało zhakowane 2 kwietnia. Warto dodać, że dla projektu jest to najbardziej gorący okres, ponieważ zaledwie kilka dni wcześniej odbyło się IDO tokena ROBO. 

Haker prawdopodobnie wykorzystał metodę SIM-swap, którą zastosowano także podczas ataków na SEC, jak i innych kryptowalutowych influencerów. Atak ten polega na duplikacji karty SIM (a co za tym idzie numeru telefonu), dzięki czemu możliwe jest szybkie i sprawne ominięcie weryfikacji dwuetapowej, która w zdecydowanej większości przypadków oparta jest na wysłaniu smsa z kodem. Haker, który przejął konto RoboHero, skasował jego nazwę, tło oraz logo. Wiadomo też, że próbował zmienić dane do weryfikacji konta, jednakże portal X wykrył nieprawidłowości i dezaktywował konto. 

🎉 WE ARE SO BACK! 🤖

After 8 days of hard work by our entire team and your great help, we have successfully got back access to the account.

It was 8 hard days, but we finally did it! 🦾

During these days you have shown us that we are one big family and we have the best… pic.twitter.com/MP0UreD81k

— RoboHero (@RoboHero_io) April 10, 2024

Zespół RoboHero walczył o odzyskanie konta na X. No i wywalczył!

Choć takie przypadki zdarzają się ostatnio niezwykle często, tak konto najczęściej udaje się odzyskać w przeciągu mniej niż 24 godzin. Pamiętny atak na SEC 10 stycznia i wrzutka fałszywego tweeta o zatwierdzeniu wniosków BTC ETF-ów trwał zaledwie 15 minut. Po ośmiu dniach kontaktów z suportem, przesłaniu screenshotów oraz emaili, wniosek o przywrócenie konta w końcu został pozytywnie rozpatrzony.

Choć informacje dotyczące projektu RoboHero przeniesiono na kanały twórców (@xCryptoLoco oraz @KempinskiPatryk), tak zespół konsekwentnie walczył o odzyskanie skradzionego i zablokowanego konta. Powstała nawet w tym celu akcja na X z hasztagiem #elonhelprobo. Jak widać viralowa akcja przyniosła zamierzony skutek i konto RoboHero powróciło w ręce zespołu.

Czy branża Web3 skazana jest na słabości portalu X? 

Krypto-Twitter to jeden z istotnych filarów kryptowalutowej społeczności. To właśnie na portalu X najczęściej publikowane są tweety dotyczące nowych projektów czy aktualizacji. To z Twittera (dziś X) społeczność dowiadywała się o tak epickich wydarzeniach dla Web3, jak choćby powstanie sieci Ethereum wraz z jej natywnym tokenem, który jest obecnie drugi na rynku kryptowalut pod kątem kapitalizacji. Społeczność Web3 jest zatem mocno związana z portalem X. Niemniej jednak portal ten przez ostatnie lata mocno podupadł, jeśli chodzi o bezpieczeństwo użytkowników. 

Gigantycznym problemem jest także armia botów. Jest ona coraz bardziej niebezpieczna, szczególnie jeśli chodzi o scamy i dezinformację. Przejęcie przez Elona Muska portalu w 2022 roku nie spowodowało, że problemy te znikły. Niektórzy twierdzą nawet, że od czasu przejęcia portalu przez nowego włodarza, ilość botów i ataków na konta użytkowników znacznie się zwiększyła. Teza ta ma potwierdzenie w faktach, gdyż w ciągu ostatnich kilkunastu miesięcy ofiarami ataków hakerskich omijających sprytnie zabezpieczenia 2FA znalazły się takie osoby jak Vitalik Buterin, czyli współtwórca Ethereum. Podobnego przejęcia konta na X doświadczyły także takie projekty, jak Pixels.

Co możemy zrobić, aby zwiększyć bezpieczeństwo na portalu X? 

Problem jest spory, gdyż ataki typu SIM-swap są niezwykle skuteczne przeciwko weryfikacji dwuetapowej, którą uznaje się za ostateczne zabezpieczenie konta na X. Co zatem może zrobić kryptowalutowa społeczność na X, aby branża nadal mogła korzystać z portalu zrzeszającego miliony osób zainteresowanych Web3? Przede wszystkim należy nagłaśniać wszystkie przypadki ataków na konta, takie jak właśnie atak na konto RoboHero.

Komentowanie takich tweetów odpowiednim hashtagiem (w tym przypadku #elonhelprobo) ma znaczenie, gdyż wypozycjonuje hasztag, który dotrze do deweloperów. Platforma X musi w szybkim tempie wprowadzić odpowiednie zabezpieczenia, szczególnie, jeżeli Elon Musk chce przekształcić X w multi-portal pokroju azjatyckiego WeChatu.