Même Vitalik Buterin peut se faire pirater. Mais quand le “prince de la crypto” perd le contrôle de son compte X (ex-Twitter), les conséquences peuvent être très lourdes. Malgré les nombreux avertissements des internautes, l’attaque qu’il a subi ce week-end a en effet été très lucrative. Son butin est pour l’instant estimé à l’équivalent de 691 000 dollars par l’enquêteur crypto ZachXBT.
Car ce piratage a manifestement été rondement pensé. Tout est parti d’un tweet du compte officiel sur X de Vitalik Buterin, ce canadien d’origine russe qui a révolutionné la crypto en étant à l’origine du protocole Ethereum. Dans ce message envoyé dans la soirée du 9 septembre, l’idéaliste geek de la crypto explique que des NTF, gratuits durant le premier jour, vont célébrer l’une des dernières mises à jour d’Ethereum.
Pas son style
“Demandez votre part de l’histoire”, conclut-il en partageant un lien vers Consensys.io, la société spécialisée censée abriter les NFT. De nombreux internautes sonnent très vite l’alerte. Ce message, ce n’est vraiment pas le style du père de l’Ethereum. “Ignorez ce message, Vitalik a apparemment été piraté, écrit ainsi son père. Il travaille à rétablir son accès” à son compte X.”
Malheureusement il est déjà trop tard. Des internautes ont déjà cliqué sur le lien, qui renvoie en fait vers un site de phishing. Une page qui était conçue pour aspirer le contenu des portefeuilles des visiteurs, au nombre non déterminé. Les pirates ont ainsi amassé une somme rondelette en crypto. Mais également des NFT, dont un d’une valeur de 153 ethers (environ 250 000 dollars), aussitôt vendus sur des places de marché.
Du sim-swapping?
On ignore pour le moment comment le compte de Vitalik Buterin a été piraté. Ce dernier n’est pas revenu sur cette histoire, qui rappelle les spectaculaires piratages de comptes sur Twitter de célébrités de juillet 2020. Toutefois, plusieurs observateurs ont émis l’hypothèse d’une attaque par sim-swapping, cette technique d’ingénierie sociale où l’attaquant prend le contrôle d’un numéro de téléphone portable en prétextant par exemple un problème avec sa carte sim auprès de l’opérateur de téléphonie mobile.
Quoiqu’il en soit, la question de la sécurité des utilisateurs de X a été reposée par Changpeng Zhao, le fondateur de la plateforme d’échange de crypto Binance. La sécurité des comptes de X “a besoin de plus de fonctionnalités”, remarquait-il, avant de citer l’authentification à double facteur, la mise en place d’un identifiant de connexion différent de l’identifiant et de l’email.