Cuando el usuario activa la función de copia de seguridad automática de iCloud, la contraseña en la billetera MetaMask se almacenará en línea, lo que se convierte en una vulnerabilidad para los ataques de piratas informáticos.
El 17 de abril, un inversionista de NFT denominado “recovery_dom” robó 132,86 ETH y más de 252 400 USDT, por un total de alrededor de $655 000, de la billetera MetaMask debido a problemas de seguridad de iCloud. El destacado inversor de NFT, Serpent, advirtió a los usuarios sobre la estafa.
Según Serpent, debido a una actividad sospechosa, la persona recibió una serie de mensajes solicitando restablecer la contraseña de ID de Apple. Mientras tanto, @revive_dom recibió numerosas llamadas haciéndose pasar por empleados de Apple. Como precaución, @revive_dom envió a imitadores de empleados de Apple un código de verificación de restablecimiento de contraseña personal de iCloud.
Poco después, los atacantes robaron todos los activos de la billetera MetaMask de la víctima.
El canal oficial de Twitter de MetaMask advirtió a los usuarios sobre el ataque a iCloud después del lanzamiento de Serpent. Específicamente, este problema de seguridad ocurre cuando los usuarios habilitan las copias de seguridad automáticas en los dispositivos Apple. Después de eso, la clave de seguridad (contraseña) de la billetera digital se almacenará en la plataforma.
MetaMask advierte que si la contraseña de la cuenta de iCloud de un usuario es débil e insegura, la contraseña podría ser robada. Los atacantes pueden engañar a los usuarios para que obtengan credenciales de inicio de sesión y robar caracteres de seguridad de las billeteras de criptomonedas.
Según MetaMask, para deshabilitar las copias de seguridad automáticas en dispositivos Apple, los usuarios deben ir a Configuración> ID de Apple/iCloud> Copia de seguridad de iCloud y optar por deshabilitar la función.
El inversor NFT Serpent también contó su experiencia personal tras ser atacado. Según Serpent, los usuarios deben usar billeteras frías para almacenar criptomonedas y nunca revelar información personal a nadie.
“Es importante tener en cuenta que la información de la persona que llama se puede falsificar fácilmente. Una gran empresa como Apple nunca llamaría a un usuario”, agregó Serpent.