Уязвимость сервиса автопостинга IFTTT привела к взлому криптоинфлюенсеров в X
21 марта учетные записи нескольких влиятельных лиц криптоиндустрии в X скомпрометировали для продвижения скам-токена PACKY. Вероятно, хакер получил доступ через сервис автоматической публикации постов IFTTT (If This then That).
Одной из жертв стал советник Andreessen Horowitz (a16z) Паки Маккормик. В мошенническом посте злоумышленник призывал инвестировать в новый мем-токен «с большими маркетинговыми планами и листингами на CEX», прикрепив адрес Solana-кошелька.
«Это не я. Аккаунт взломан. Работаем над тем, чтобы это исправить. Не переходите по моим ссылкам и (очевидно) не отправляйте деньги на случайный адрес», — заявил Маккормик после восстановления доступа.
Позднее советник a16z предположил, что хакер получил контроль над аккаунтом через IFTTT, которому он «предоставил доступ к Twitter примерно десять лет назад».
Маккормик напомнил о необходимости периодически отзывать разрешения у сторонних приложений.
IFTTT — запущенный в 2011 году веб-сервис, позволяющий пользователям настраивать автоматизированные процессы на различных онлайн-платформах и соцсетях.
С аналогичной проблемой столкнулся соучредитель стриминговой платформы Twitch Джастин Кан.