LaneAxis descubre un sofisticado intento de fraude dirigido al fundador de ConsenSys, Joseph Lubin
Cuando se produjo la violación de datos de Equifax en septiembre de 2017, el Cripto Gurú y el cofundador de Ethereum, Joseph Lubin, criticó rápidamente el mal manejo corporativo y la monetización de los datos de los usuarios, lo que redujo su demanda de mayor seguridad digital a través de redes descentralizadas. Lubin destacó la importancia de proteger nuestras identidades en línea:
“Truco tras truco tras truco y el tiempo resultante y los recursos dedicados por agencias gubernamentales que intentan salvaguardar la identidad, ¿cómo pueden los reguladores no estar entusiasmados con la cadena de bloques Ethereum? Un protocolo inmutable y transparente con productos donde cada individuo posee todos los aspectos de su identidad. No más hacks generalizados”.
Pero solo un año después, la propia identidad y marca de Lubin fue secuestrada en Internet.
El 13 de septiembre, Rick Burnett, CEO y fundador de LaneAxis, recibió un mensaje de Lubin a través de Telegram, “LaneAxis: desea saber más …”
Burnett, quien actualmente está lanzando el ecosistema de gestión de la cadena de suministro basado en Ethereum de LaneAxis Virtual Freight Management, no sabía quién era exactamente Lubin, pero se ofreció a hablar con él y compartir más información sobre la compañía y su cadena de bloques y el proyecto de venta de fichas. Después de una breve llamada, Lubin dijo que reflexionaría sobre la información y se tomaría unos días para examinar la plataforma de LaneAxis.
Burnett, curioso sobre el misterioso potencial inversionista, buscó en Google Lubin.
Cofundador de Ethereum. Fundador ConsenSys. Multimillonario Empresario…
La fuente de noticias de Google sobre Lubin muestra un flujo casi constante de historias en las que, Lubin invierte en startups basadas en Blockchain u ofrece sabios consejos sobre el futuro de crypto. Burnett estaba aturdido. Esto podría cambiar el juego para LaneAxis. Las empresas asociadas con ConsenSys a menudo venden sus fichas a los pocos minutos de recibir el respaldo de Lubin.
El equipo de LaneAxis inmediatamente se puso a trabajar para investigar a Lubin y ConsenSys. El primer paso fue verificar que los mensajes de Telegram eran en realidad de Lubin.
Telegram es la plataforma de comunicación preferida de la comunidad criptográfica debido a su capacidad para cifrar mensajes, así como a sus robustas funciones de chat grupal.
La aplicación permite la creación de nombres de usuario públicos, ayudando a los usuarios de la plataforma a contactar a cualquier otra persona en la red que también haya creado un nombre de usuario. Como cualquier otra red, los nombres de usuario deben ser únicos, y los nombres personales rara vez están disponibles.
Sin embargo, Telegram ofrece a los usuarios una “identidad en línea” para asegurar un nombre de usuario si se utiliza el mismo nombre para al menos otras dos cuentas sociales diferentes (Facebook, Twitter, Instagram).
El nombre de Telegram de Lubin es @ethereumJoseph. Su cuenta verificada de Twitter también es @ethereumJoseph. Basándose en su Twitter, Burnett y el equipo concluyeron que ConsenSys y Lubin también debieron haber asegurado su cuenta verificada de Twitter para Telegram, y este era el verdadero Lubin.
Durante la próxima semana, Burnett envió un mensaje a Lubin, recibiendo respuestas contundentes casi estereotipadas de un multimillonario de jet set que gestiona una gran cantidad de negocios. Finalmente, Lubin envió un mensaje a Burnett el 15 de septiembre con una oferta.
- Lubin: “¿Cómo puedo ser de ayuda?”
- Burnett: “Me encantaría que estuvieras involucrado en cualquier nivel en el que quieras participar. ¿Inversor? ConsenSys? Miembro del equipo y déjenos hacer un comunicado de prensa en el que esté involucrado. Me lo dices y ya estoy dentro”.
- Lubin: “¿Qué tal una asociación con ConsenSys?”
- Burnett: “sí. ¿Como procedemos?
- Lubin: “Te enviaré más información el lunes”.
El equipo de LaneAxis pasó el resto de la semana preparándose para el acuerdo y coordinando con Lubin.
Lubin envió un contrato de ConsenSys a Burnett desde su correo electrónico personal (una dirección de correo electrónico que no es de ConsenSys), que Burnett pensó un poco extraño y cuestionó sobre Lubin.
Lubin afirmó que era su correo electrónico personal. Inicialmente, a Burnett le pareció extraño, pero razonó que una persona de la talla de Lubin podría usar correos electrónicos independientes de la compañía para la correspondencia y, potencialmente, acuerdos comerciales. Burnett no quería cerrar un trato con un multimillonario de tecnología aparentemente excéntrico y siguió adelante.
El contrato se centró en un intercambio de fichas. Si ConsenSys superó la diligencia debida y cumplió con los términos y condiciones de la venta de fichas de LaneAxis, recibiría el respaldo de ConsenSys y $ 2.2 millones en Ether por $ 2 millones de fichas AXIS de LaneAxis.
A ambas compañías se les exigiría mantener el sesenta por ciento de las fichas recibidas como reservas de la compañía y el cuarenta por ciento para su utilización. Burnett recibió el contrato firmado con el membrete de ConsenSys con la firma de Lubin. El equipo de LaneAxis celebró lo que pensaron que era una asociación con ConsenSys.
Lubin puso a Burnett en contacto con James Slazas, Director de Capital Markets en ConsenSys, a través de Telegram para llevar a cabo el contrato. Después de recibir un contrato firmado de Lubin con marcas de agua, direcciones e información de ConsenSys, Slazas proporcionó los detalles de la transferencia y envió a Burnett dos direcciones de billetera criptográfica para el intercambio.
Ahí es cuando se levantaron las banderas rojas.
“Todavía no habíamos recibido ningún mensaje directamente de las cuentas de ConsenSys. Slazas era el hombre adecuado en ConsenSys para manejar este tipo de intercambio, pero todo era directo a través de Telegram y correo electrónico personal. Las empresas de Lubin fueron pioneras en contratos inteligentes. “Comprenderían la necesidad de una confirmación oficial antes de enviar tokens a direcciones de billetera desconocidas”, recordó Burnett.
El equipo de LaneAxis se dispuso a establecer contacto con Lubin a través de canales verificados. No hubo respuesta del correo electrónico de la compañía de Lubin, que habían estado copiando en el correo electrónico desde que lo adquirieron a mediados de la semana. No hay respuesta de Twitter DM.
Finalmente, Burnett envió un mensaje a Lubin a través de LinkedIn. Unas horas después, los representantes de ConsenSys respondieron a Burnett.
No había trato. LaneAxis no había estado en correspondencia con el verdadero Joseph Lubin.
El equipo de LaneAxis estaba sorprendido y frustrado; Se desperdiciaron dos semanas tratando de asegurar lo que resultó ser un trato fraudulento. Este fue un esquema multimillonario, que llegó muy lejos en la identidad de Lubin para hacerse pasar por él y su compañía, y forjar de manera experta la ejecución de documentos en su nombre. Burnett había identificado la estafa justo a tiempo y quería evitar que otros cayeran víctimas de estratagemas similares.
LaneAxis realizó una llamada con el verdadero Joseph Lubin y ConsenSys al día siguiente para llamar la atención sobre la estafa y animarlos a tomar el control de su identidad en línea.
ConsenSys emitió una breve declaración, pero una semana más tarde, @ethereumJoseph aún estaba enviando un mensaje a Burnett sobre el trato falso y @ethereumJoseph seguía apareciendo junto al verdadero Twitter de Joseph Lubin en la primera página de una búsqueda de Google.
Los estafadores tenían casi todo lo que necesitaban para disfrazarse de Lubin: nombre de usuario, direcciones, logotipos, imágenes, horarios, telegramas, firmas y documentos legales de Telegram. El único obsequio fue un correo electrónico “personal”.
“Dar nuestra información de identificación personal una y otra vez a las organizaciones (que usualmente se benefician de esa información) con centros de datos centralizados es la definición de locura. El modelo actual es roto y hackeable. Es hora de recuperar nuestras identidades”. – Joseph Lubin, después de la violación de Equifax 2017.
Semanas más tarde, Lubin aún tiene que reclamar su mando de Telegram. Su identidad.
ConsenSys no ha tomado ninguna medida para responder a los intentos reales, sofisticados y exitosos de hacerse pasar por su fundador y la empresa. Si uno de los nombres más importantes en seguridad digital, a la vanguardia de la tecnología de descentralización emergente, puede tener su identidad robada, ¿quién está realmente a salvo?
La descentralización y el cifrado no valen mucho si la información se maneja descuidadamente en primer lugar.
Si bien está decepcionado con la respuesta de ConsenSys, Burnett principalmente culpa a Telegram. “Al final del día, esto es realmente un problema de Telegram. Se trata de exponer una gran estafa y evitar que otros como ella ocurran en el futuro. Debe haber un mejor proceso de verificación si desean mantener su reputación como el estándar en seguridad de mensajería … si desean mantener la confianza de la comunidad de criptografía”.
Telegram no respondió a las preguntas de LaneAxis sobre la cuenta falsa y la actividad fraudulenta en su plataforma.
No han sido unos buenos meses para la reputación de los protocolos de seguridad de Telegram.
A fines de agosto, se descubrió que su plataforma de mensajería de encriptación “de extremo a extremo” tenía un error que filtraba las direcciones IP “privadas” de sus usuarios durante las llamadas de voz de escritorio, lo que los sometía a posibles piruetas.
A fines de julio, otro error de Telegram también resultó en el lanzamiento de las direcciones IP privadas de los usuarios. En abril, se informó que se podrían haber filtrado hasta 70 millones de cuentas de Telegram.
La actual revolución de Blockchain tiene grandes promesas que cumplir: interrumpir las estructuras de poder en todo el mundo, democratizar Internet rompiendo las grandes empresas en los datos de los usuarios y proporcionar una nueva era en la seguridad en línea.
Los defensores de Blockchain, como Lubin, anuncian el fin del robo de identidad y los ataques a gran escala, prometiendo una eficiencia nunca antes vista en el comercio global y la colaboración.
A raíz de la estafa, Burnett está pidiendo a toda la industria que refuerce la seguridad: Espero que todos los involucrados tomen medidas serias para mejorar su seguridad en línea.
Joseph y ConsenSys están iniciando nuevas oleadas de innovación y es alarmante ver a alguien acceder a gran parte de su información y asumir su identidad. Es aún más alarmante cuando, después de haber sido informado de la situación, no hay una respuesta rápida para reclamar su identidad. Como comunidad, debemos tomar el control de nuestra presencia en línea y exigir que las plataformas como Telegram lo hagan mejor”.
Con el inicio de la “confianza” en nosotros, no podemos confiar únicamente en la tecnología para proteger nuestra información, como lo demuestran los imitadores de ConsenSys y los sistemas de verificación defectuosos de Telegram.
A medida que las redes se vuelven cada vez más seguras debido a la descentralización, la verificación adecuada y diligente, el monitoreo atento de las cuentas y el manejo concienzudo de la información por parte de los seres humanos es más importante que nunca.
LaneAxis descubrió la actividad fraudulenta al tomar el proceso de verificación en sus propias manos e identificar vulnerabilidades clave en sistemas confiables. Después de examinar cuidadosamente todas las interacciones con los estafadores, el equipo de LaneAxis descubrió el nombre de un sospechoso enterrado en los metadatos de uno de los contratos.
Burnett entregó la información a la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés), de la que se ha informado al verdadero Joseph Lubin. Burnett espera que sus esfuerzos eviten que otras nuevas empresas se conviertan en víctimas de estafas similares y animen a compañías como ConsenSys y Telegram a mejorar sus protocolos de seguridad.
Este contenido nos llega por gentileza de LaneAxis.io.
