Jak dałem się oszukać

Wydawało mi się, że jestem wystarczająco czujny. Kilka razy udawało mi się uniknąć scamu. Np. gdy dostałem SMS-a od Binance, że był jakiś dziwny ruch na koncie i powinienem zadzwonić na infolinię. Zawsze jednak były to sytuacje, w których ktoś chciał coś ode mnie. Tym razem było inaczej.

Sekwencja wydarzeń była następująca. Najpierw zrobiłem transfer za pomocą aplikacji @v4vapp. Środki zostały pobrane, ale nie poszły dalej. Utknęły gdzieś, więc wszedłem na Discorda @magi.network. 2 dni wcześniej miałem taką samą sytuację. Brian of London, którego oznaczyłem odpisał szybko i zwrócił środki. Tym razem było podobnie, ale nie tak samo...

Dr Brian of London stworzył osobny wątek o nazwie Support i poprosił o szczegóły...

Potem przesłał mi link do strony, która miała rozwiązać problem. Miałem wprowadzić klucz prywatny. To mnie trochę zdziwiło i wywołało zastrzeżenia. Napisałem nawet:

really I need to put my private key from Hive account
Gandalf always warned me not to do such things
Can I add a substitute account?

Niestety chęć odzyskania zablokowanego HBD była silniejsza i zamiast słuchać rad @gtg zaufałem Brianowi of London... a tak na prawdę to osobie, która się pod niego podszyła. Skopiowałem active key. Wkleiłem na stronę, która udawała jakieś narzędzie Magi, aby niby podpiąć wallet. W efekcie straciłem 298 HBD. Zauważyłem to niedługo później. Na koncie miałem 0 HBD, uruchomiony power down i zrobioną delegację do konta @wobe11 (które jak się później okazało założone zostało dzięki moim tokenom kreacyjnym).

Oczywiście podskoczyło mi ciśnienie. Dość szybko jednak udało mi się ogarnąć reset hasła master i zmianę wszystkich kluczy. Power down zastopowałem, delegację cofnąłem i napisałem wpis o całej sytuacji, żeby ostrzec innych. Podejrzewałem, że konto Brian of London zostało shackowane. Szybko jednak okazało się, że ktoś się pod niego podszył.

Tak to wyglądało. A teraz pora na wnioski.

• Przede wszystkim skrajną głupotą było wklejanie gdziekolwiek klucza aktywnego. Logowanie powinno się odbywać przez Hive Keychaina. Powinienem o tym pomyśleć. Niestety nigdy z Magi nie korzystałem. Zamiast skupić się na bezawaryjnym działaniu wolą robić rebrandingi, założyłem więc, że mogli wpaść na taki pomysł jak logowanie bez pośrednictwa Keychaina. Tym bardziej, że samo V4V w ostatnim czasie ciągle sprawiało problemy. Nic więc mnie nie dziwiło.
• To co mi się przydarzyło obnażyło wady systemu komunikacji. Już dawno temu zauważyłem, że na V4V nie ma żadnej zakładki SUPPORT. Komunikacja przez Discorda, gdzie łatwo się podszyć jest bardzo ryzykowna.
• Moją czujność uśpił fakt, że 2 dni wcześniej miałem podobną sytuację. Nikt do mnie się sam z siebie nie odezwał, tylko zareagował na moją wiadomość...
• I to moim zdaniem jest najciekawsze w tym wszystkim. Po pierwsze scamer musiał założyć, że Brian of London nie zablokuje na swojej stronie opcji wysyłania BTC na czas robienia upgrade'u strony. Jasne: na stronie był komunikat o pracach, ale opcja przesłania czegokolwiek powinna być zablokowana. Nie była. I scamer o tym wiedział. Co więcej - śledził uważnie kanał discordowy @magi.network, bo odezwał się do mnie w ciągu zaledwie kilku minut od mojego komentarza. Wątpliwości budzi fakt, że w ogóle mógł tworzyć jakieś subwątki. Dlaczego administratorzy dali mu taką możliwość? Dlaczego dopuścili do sytuacji do, w której ktoś na jednym kanale było kilku użytkowników pod nazwą Dr Brian of London?

Oczywiście mogło być dużo gorzej. Po pierwsze dużą część trzymam w HP, którego nie da się szybko przetransferować. Po drugie, na koncie @hallmann miałem tylko część środków. Liczę, że przypadek ten sprawi, że Discord przestanie być podstawowym narzędziem komunikacji na Hive, co zawsze było dla mnie bardzo dziwne i przynajmniej kwestie związane z supportem zostaną przeniesione w jakieś bardziej bezpieczne miejsce.