Le géant du jeu blockchain Animoca Brands a révélé que le compte X du cofondateur et président Yat Siu avait été piraté, faisant la promotion d'un jeton frauduleux sur la plateforme Pump.fun de Solana.

Les attaquants se sont fait passer pour Animoca et ont faussement annoncé le lancement d'un token. L'enquêteur de la blockchain ZachXBT a attribué le piratage à une escroquerie par phishing qui a récemment ciblé plus de 15 comptes X axés sur la cryptographie, volant au final près de 500 000 $.

Jeton « MOCA » frauduleux

Le compte piraté de Siu partageait un lien vers un faux token appelé Animoca Brands (MOCA) sur la plateforme Pump.fun, qui portait le même nom que la société et sa collection NFT Mocaverse. Ce token MOCA frauduleux a ensuite été retracé jusqu'à la même adresse que d'autres tokens frauduleux, a confirmé ZachXBT.

Après avoir été promu sur le compte de Siu, le token a brièvement atteint une valeur maximale de près de 37 000 $, pour s'effondrer quelques instants plus tard à une capitalisation boursière de seulement 5 735 $, selon les données compilées par Birdeye. Actuellement, il n'y a que 33 détenteurs du token.

ZachXBT avait déjà découvert ce système de phishing sophistiqué dans lequel les e-mails de phishing déguisés en messages urgents de l'équipe X citaient souvent des problèmes de droits d'auteur fabriqués et incitaient les victimes à réinitialiser leurs informations d'identification de compte.

Le stratagème a exploité la crédibilité de comptes liés aux cryptomonnaies et bénéficiant d’un large public. La majorité d’entre eux comptaient plus de 200 000 abonnés. Parmi les comptes concernés figuraient Kick, Cursor, The Arena, Brett et Alex Blania. La première attaque a eu lieu le 26 novembre, impliquant RuneMine, et la plus récente a eu lieu le 24 décembre, touchant Kick, juste avant celle de Siu.

L’authentification à deux facteurs « ne suffit pas » pour sécuriser les comptes

Siu a expliqué que le pirate avait réussi à obtenir son mot de passe et avait utilisé la page de récupération de compte pour contourner la 2FA en soumettant une demande avec une adresse e-mail non enregistrée. Il a testé ce processus et a constaté une faille de sécurité importante : alors que le système déclenchait une notification de connexion à la mauvaise adresse e-mail, l'adresse e-mail enregistrée ne recevait aucune alerte concernant des actions critiques comme une demande de modification de la 2FA.

Selon lui, cette absence de notification aurait pu empêcher le piratage. Siu a également ajouté que le pirate avait soumis une pièce d'identité émise par le gouvernement pour contourner d'autres contrôles de sécurité, une tactique qu'il soupçonne d'avoir été facilitée par le phishing. Il a exhorté X à mettre en œuvre des notifications plus strictes, en particulier pour les changements sensibles comme les modifications de l'authentification à deux facteurs, et a recommandé de meilleures mesures de vérification pour protéger les comptes.

Siu a également averti que la 2FA seule ne suffit pas à sécuriser un compte et a conseillé de maintenir une hygiène de mot de passe solide, car les attaquants peuvent contourner la 2FA une fois qu'ils ont accès au mot de passe.

L’article Le dirigeant d’Animoca Brands explique comment son compte X a été piraté malgré la 2FA est apparu en premier sur CryptoPotato.