Qualche tempo fa ero sul mio account bc.game nel bel mezzo di una partita, quando all'improvviso sono stato espulso. Ho effettuato nuovamente l'accesso e il mio portafoglio Ethereum era stato svuotato in 2 transazioni in 20 secondi.
Davvero impressionante, considerando che per accedere e avviare un prelievo è necessario il mio Google Authenticator e la verifica a due fattori (2FA) per telefono e email. Non ho ricevuto alcuna email o SMS che indicasse l'invio di un codice. Ho controllato il mio account bc.game e il mio numero 2FA e l'email non erano stati modificati né ne erano stati aggiunti di nuovi. Il mio account Google collegato a Google Authenticator non era stato compromesso e non sono sicuro che avrebbe avuto importanza, perché genera codici sul dispositivo non online. Quindi ovviamente sono molto confuso su come sia potuto succedere.
Contatto l'assistenza live entro un minuto, dopo aver controllato le transazioni di prelievo e le impostazioni 2FA. Mi dicono che il mio account verrà bloccato e di inviare un'e-mail. [email protected] Prima che potessi terminare la conversazione, l'account è stato bloccato. Ho inviato tutte le informazioni richieste e non ho ricevuto risposta per settimane, nemmeno alle email di follow-up. Di recente ho ricevuto un'email da [email protected] Senza oggetto. Mi chiede di cliccare su un link e di effettuare una verifica KYC. Guardo il link e si riferisce a SumSub, una grande piattaforma KYC presumibilmente affidabile; il link sembra essere reale. SumSub ha avuto problemi con i casinò che falsificavano il loro sito web per rubare informazioni, ed è stata anche criticata su chi controlla realmente l'azienda. Nella mia ricerca ho scoperto che la società che avvia la verifica KYC, bc.game nel mio caso, potrebbe possedere le informazioni caricate e non mi sento a mio agio con l'idea che bc.game abbia una copia del mio passaporto insieme a qualsiasi altra cosa che potrebbero chiedere. Troverai anche molti post online di persone che entrano in un ciclo di verifica infinito con BC.game, che lo attraversano più volte, e alcuni semplicemente si arrendono.
Mentre sto esaminando tutto questo, mando un'e-mail al supporto e [email protected] Mi chiedono cosa verrà fatto dei miei fondi rubati una volta completato il KYC e se conserveranno i miei documenti personali. Devo ancora ricevere risposta.
Quindi il mio account è stato hackerato? Sicuramente. È stato fatto con l'aiuto di qualcuno in possesso di informazioni riservate o semplicemente tramite il sito web? Forse. Non riesco a capire come, con tutte le misure di sicurezza che avevo implementato, qualcuno sia riuscito a entrare nel mio account senza inviarmi una notifica 2FA o avere accesso al mio Google Authenticator. Sono piuttosto bravo con la tecnologia e da quello che ho esaminato, a meno che il mio account Google non sia stato hackerato (cosa che non è accaduta), nessuna attività insolita, dispositivi sconosciuti, modifiche alla password e nessuna attività anomala da allora, allora questo non sarebbe dovuto accadere.
Voglio solo delle risposte.
