Користувачі Friend.tech попереджають про можливі атаки обміну SIM-картами після нещодавньої серії передбачуваних зломів, у результаті чого майже 109 ефірів (ETH) вартістю близько 178 000 доларів США було вичерпано з чотирьох користувачів менш ніж за тиждень.
30 вересня користувач X (Twitter), відомий як «froggie.eth», попередив, що їхній обліковий запис friend.tech замінено на SIM-карту, де експлуататори отримують контроль над номером мобільного телефону користувача для перехоплення кодів двофакторної автентифікації, які потім використовуються для доступу до облікових записів.— і згодом злив понад 20 ETH.
Кілька днів потому, 3 жовтня, ряд користувачів friend.tech повідомили про подібні інциденти з музикантом Дареном Броксмейєром, який сказав, що його замінили SIM-картою та злили 22 ETH.
Раніше його телефон був «засипаний телефонними дзвінками», які, як він вважав, повинні були змусити його пропустити повідомлення від свого постачальника послуг із попередженням про те, що хтось намагається отримати доступ до його облікового запису.
I was just SIM swapped and robbed of 22 ETH via @friendtech
The 34 of my own keys that I owned were sold, rugging anyone who held my key, all the other keys I owned were sold, and the rest of the ETH in my wallet was drained.
If your Twitter account is doxxed to your real… pic.twitter.com/5wA86mjYEG
— daren (friend, friend) (@darengb) October 3, 2023
Того ж дня інший користувач, «dipper», також заявив, що їхній обліковий запис було зламано, додавши, що вони «поняття не мають», як експлуататори можуть зламати їхній обліковий запис, оскільки вони використовують надійні паролі.
Четвертий користувач «digging4doge» отримав близько 60 ETH після того, як потрапив на фішингову аферу, яка обманом змусила їх поділитися кодом входу.
Friendtech user @digging4doge just got drained to the tune of ~60 eth worth of keys.
About an hour ago, he received a text informing him that a number change had been requested for his account.
He had two hours to respond or the request would be auto approved. This was, of… pic.twitter.com/L21Hr041kP
— quit (,) (@0xQuit) October 4, 2023
Криптовалютна інвестиційна компанія Manifold Trading пояснила, що будь-який хакер, отримавши доступ до облікового запису friend.tech, зможе «розкрити весь обліковий запис».
Якщо припустити, що третина облікових записів friend.tech пов’язана з телефонними номерами, близько 20 мільйонів доларів ризикують бути використаними через експлойти, орієнтовані на користувачів, за їх словами.
За темою: у мережі Bitcoin з’являється схожий на Friend.tech «Альфа».
Manifold також припустив, що технічно весь friend.tech знаходиться під загрозою через те, як налаштовано безпеку платформи, і вирішення проблем «чесно має бути пріоритетом номер 1».
If any hacker gains access to a FriendTech account via simswap/email hack, they can rug the whole account
If you assume 1/3 of FriendTech accounts are connected to phone numbers, that's $20M at risk from sim-swaps
FriendTech's current setup also technically allows a rogue dev… https://t.co/XgodMNSh2l
— Manifold (@ManifoldTrading) October 2, 2023
Friend.tech, запропонований Manifold, дозволяє користувачам додавати 2FA до входу, розшифровки ключів і транзакцій.
Користувачам також слід надати можливість змінити метод входу з номера на електронну пошту та дозволити використання сторонніх гаманців.
Раніше відомих криптовалютних діячів успішно замінювали SIM-картами, а їхні облікові записи використовували для здійснення фішингових атак, як-от обліковий запис X співзасновника Ethereum Віталіка Бутеріна у вересні.
Cointelegraph звернувся до friend.tech, щоб отримати коментар, але не отримав відповіді.
