IFTTT autoposting服务的漏洞导致x中加密影响者的黑客攻击
Onchain sleuth ZachXBT同意IFTTT的脆弱性假设。
3月21,x中加密行业中几位有影响力的个人的账户被泄露,以推广PACKY scam令牌。 黑客可能通过IFTTT自动发布服务获得了访问权限(如果是这样的话)。
This is not me. Account hacked. Working to get it fixed. Don't click any links from me or (obviously) send money to a random address. pic.twitter.com/yKWnf2Dofd
— Packy McCormick (@packyM) March 21, 2024
其中一名受害者是议员Andreessen Horowitz(a16z)Packy McCormick。 在一个欺诈性的帖子中,攻击者呼吁通过附加Solana钱包的地址来投资一个新的meme令牌"在CEX上有大的营销计划和列表"。
"不是我。 该帐户已被黑客入侵。 我们正在努力解决这个问题。 不要关注我的链接,并且(显然)不要将钱发送到随机地址,"McCormick在恢复访问后说。
后来,a16z顾问建议黑客通过IFTTT获得了对该帐户的控制权,他"在大约十年前授予了对Twitter的访问权限。"
味好美公司回忆说,需要定期撤销第三方应用程序的权限。
IFTTT是2011年推出的web服务,允许用户在各种在线平台和社交网络上设置自动化流程。
Twitch流媒体平台的联合创始人Justin Kahn也面临着类似的问题。
Coinbase产品总监Scott Shapiro也被黑客入侵。 黑客代表他推广了相同的PACKY令牌,据称该令牌是与交易所首席执行官Brian Armstrong合作推出的。
