U roku od nekoliko sekundi sve se preokrenulo. Vlasnik NFT-ova i kriptovaluta poslao je Apple ID šifru nekome za koga je mislio da je predstavnik kompanije Apple, da bi nekoliko trenutaka kasnije svi računi bili počišćeni.
Domenic Lacovone je kripto entuzijasta koji je imao pozamašnu sumu novca u kriptovalutama, kao i u popularnim NFT-ovima. On je 15. aprila, u petak uveče primetio da ima nekoliko propuštenih poziva od kompanije Apple i nekoliko poruka da resetuje svoj Apple ID.
Ovakve stvari uvek deluju kao prevara, pa je proverio broj koji ga je zvao i utvrdio da je povezan sa Apple online prodavnicom. Nazvao ih je, a osoba sa druge strane se predstavila kao zaposleni u kompaniji Apple i obavestili su ga da mu je nalog kompromitovan. Da bi sprečili da se bilo šta desi sa njegovim podacima, bio im je potreban verifikacioni kod koji mu je poslat u obliku SMS poruke.
Lacovone im je izdiktirao broj, da bi posle nekoliko sekundi video da mu je kripto-novčanik potpuno prazan. Oko 650.000 dolara u kriptovalutama i NFT-ovima je momentalno promenilo vlasnika.
Sredstva koja je Lacovone posedovao su se nalazila na MetaMask, jednom od najpopularnijih kripto-novčanika: 160.000 dolara u ETH, 100.000 u Ape Coin, 250.000 dolara u Tether kriptovaluti i oko 80.000 dolara vredan Mutant Ape Yacht Club NFT.
Kada kreirate kripto novčanik, dobijate 12 reči koje morate da upišete kada hoćete da pristupite novčaniku preko drugog uređaja. Prvo pravilo kriptovaluta je da se tih 12 reči zapamte ili čuvaju odvojeno od novčanika, po svaku cenu. Osim ako neko nije zapisao ove reči ili čuvao dokument na iCloud nalogu, što Lacovone nije, nema mnogo smisla da se tako lako pristupi novčaniku.
This is how it happened, Got a phone call from apple, literally from apple (on my caller Id) Called it back because I suspected fraud and it was an apple number. So I believed them
— Domenic Iacovone (@revive_dom)April 14, 2022
They asked for a code that was sent to my phone and 2 seconds later my entire MetaMask was wiped
Nažalost, napadači su iskoristili bezbednosnu rupu koja postoji kada koristite MetaMask aplikaciju na iPhone. Naime, telefon automatski čuva ovih 12 reči na iCloud, bez pitanja. MetaMask se ubrzo oglasio na Twitter mreži, ukazujući na ovaj problem i dajući uputstvo kako da isključite bekap na iCloud nalogu.
Bezbednost pre svega
Ključne stvari na koje su ukazali stručnjaci koji se bave bezbednošću:
- Uvek koristite hladni (offline) novčanik da čuvate svoje kriptovalute i druge vredne stvari
- Nikada nikome nemojte da dajete nikome verifikacione šifre
- Zaštitite svoje informacije po svaku cenu – ne delite svoj broj telefona i email
- Informacije o broju koji vas poziva se lako lažiraju
- Kompanije kao što je Apple vas nikada neće zvati
Ovakvi incidenti najbolje prikazuju sve mane decentralizovanih finansija. Koliko god one bile dobre zbog nekih drugih stvari, nedostatak centralizovanih vlasti koje bi mogle da pomognu su ozbiljna mana. Blokčejn transakcije nemaju undo dugme, što znači da MetaMask ili bilo koja druga kompanija nema način da refundira izgubljena sredstva.
OpenSea, najveće mesto za kupovinu i prodaju NFT-ova može da označi nalog Dominika Lacovonea kao sumnjiv, kako bi odvratili nekoga drugog da kupi ukradena sredstva, ali se njegov NFT vrlo brzo prodao za 26,5 ETH, odnosno oko 80.000 dolara nedugo nakon što je njegov novčanik hakovan.