Uma violação de segurança em X resultou no roubo de mais de US$ 2,2 milhões em moedas meme de Solana.
O pesquisador Blockchain ZachXBT revelou que o ataque explorou uma vulnerabilidade na plataforma móvel do X, resultando na perda de muitos tokens no que parece ser um ataque de phishing contra Wallstreetbets.
O ataque resultou no roubo de muitos tokens, com grandes perdas, incluindo US$ 1,43 milhão em PNUT, US$ 400.000 em ZEREBRO e US$ 130.000 em tokens ALCH.
De acordo com o anúncio do Telegram da ZachXBT, os invasores exploraram um bug identificado anteriormente na plataforma móvel X. Isso permitiu que adicionassem chaves de acesso às contas comprometidas – uma vulnerabilidade que permaneceu invisível para os titulares da conta original e não foi abordada adequadamente pelo suporte da plataforma.
A vulnerabilidade afeta a interface do usuário da plataforma, permitindo que invasores mantenham acesso contínuo mesmo após tentativas óbvias de recuperação da conta.
Wallstreetbets recupera acesso à conta
Wallstreetbets recuperou o controle de sua conta. Ele também confirmou que tweets não autorizados contendo links maliciosos foram enviados durante o acordo.
O proprietário da conta relatou que vinha enfrentando tentativas de acesso não autorizado há cerca de um mês. O usuário também trabalha em colaboração com a equipe de segurança do X para resolver problemas de segurança contínuos.
Numa mensagem direta aos atacantes, Wallstreetbets emitiu um forte aviso, exigindo informações sobre a sua identidade, apesar do uso de serviços VPN para ocultar as suas atividades.
“Ocultar seu login na minha conta com uma VPN é uma forma ridiculamente fraca de encobrir seus rastros”, dizia a conta. Wallstreetbets levantou as possíveis consequências legais da atividade criminosa.
O titular da conta também entrou em contato com usuários que possam ter sido afetados, pedindo-lhes que compartilhassem detalhes de quaisquer perdas por meio de mensagens diretas. Estas informações destinam-se a ser repassadas às autoridades como parte de uma investigação em andamento sobre uma violação de segurança.
Wallstreetbets não foi a única grande violação no domingo. A conta X de Cardano também foi hackeada, e detalhes de um caso de fraude na Comissão de Valores Mobiliários dos EUA foram enviados antes de ser retirado.
