Фішинговий шахрай, видаючи себе за репортера Forbes, на короткий час отримав доступ до облікового запису X (раніше Twitter) платформи безпеки блокчейну CertiK і використовував його для розміщення повідомлень, що рекламують шкідливу програму Web3, згідно з повідомленням X від CertiK від 5 січня.
A verified account, associated with a well-known media, contacted one of our employees. Unfortunately, it appears that this account was compromised, leading to a phishing attack on our employee.
We quickly detected the breach and deleted the related tweets within minutes. Our… pic.twitter.com/aO7GQjXEz2
— CertiK (@CertiK) January 5, 2024
У дописі зазначено, що «перевірений обліковий запис, пов’язаний із відомим ЗМІ, зв’язався з одним із наших співробітників». Виявилося, що обліковий запис було зламано, що призвело до того, що співробітник отримав фішинг і «пов’язані твіти» були опубліковані в обліковому записі, стверджувалося в дописі.
Зараз шкідливі повідомлення видалено. У дописі на X від 5 січня платформа безпеки блокчейну Cyvers стверджувала, що бачила повідомлення до того, як їх видалили. За їхніми словами, у повідомленнях говорилося, що маршрутизатор Uniswap був зламаний і що користувачам необхідно відкликати всі дозволи для Uniswap за допомогою Revoke.cash. Це призвело до підробленої версії Revoke.cash, яка намагалася вкрасти криптовалюту користувачів.
ALERTWe are seeing reports that @CertiK's X account has been compromised!
Do NOT click any links promoted! #CyversAlert pic.twitter.com/4M3JNNaJ53
— Cyvers Alerts (@CyversAlerts) January 5, 2024
За словами CertiK, шкідливі повідомлення було виявлено протягом семи хвилин після їх публікації, і команда негайно почала процес відновлення, щоб видалити доступ зловмисника до його облікового запису X. Протягом 14 хвилин команді вдалося видалити перший із шкідливих постів. Через 37 хвилин розслідування команди було завершено, і небезпеку нейтралізовано.
CertiK стверджував, що шахрайство було частиною «великомасштабної триваючої атаки», схожої на ту, яку описав користувач X NFT_Dreww.eth у дописі 21 грудня. NFT_Dreww.eth описав фішингову аферу, під час якої зловмисник видавав себе за репортера Forbes і просив жертв підключити свої облікові записи X до програми календаря Calendly, щоб запланувати зустріч. Посилання насправді не спрямовували на офіційний сайт Calendly. Натомість вони перейшли на підроблений сайт Calendly із неправильно написаною URL-адресою. Після того, як жертва «підключила» свій обліковий запис X до підробленого сайту, вона мимоволі дозволила зловмисникові розміщувати на X від її імені. У своїй публікації CertiK назвав цю аферу «широкомасштабною триваючою атакою», подібною до тієї, жертвою якої вони стали 5 січня.
У відповідь на публікацію CertiK детектив ZachXBT поділився нібито скріншотом повідомлення, яке використовувалося для фішингу CertiK. Схоже, це повідомлення надійшло від людини, яка видає себе за колишнього співавтора Forbes і Bloomberg Марка Біча, який помер у 2020 році.
У своїй публікації ZachXBT запитав CertiK, чи відшкодують вони жертвам, які, можливо, були піддані фішингу в результаті зловмисного повідомлення в обліковому записі CertiK. У відповідь CertiK заявив: «Ми заохочуємо тих, хто постраждав під час недавнього інциденту в Twitter, зв’язатися з нами».
За останні два тижні фішингові атаки скомпрометували кілька відомих облікових записів у криптовалюті X.29 грудня обліковий запис Compound Finance було зламано.4 січня постраждав і засновник Polychain Capital.
