Uživatelé kryptoměnové decentralizované sociální sítě Friend.tech mají obavy o bezpečnost jejich jejich Etherů (ETH). Přispěly k tomu informace, podle nichž během posledního týdne minimálně čtyři uživatelé této sítě přišli v důsledku hackerských útoků o celkem 109 ETH v hodnotě přibližně 178 tisíc dolarů. Později bylo toto číslo aktualizováno na 385 tisíc USD, což znamená, že obětí se pravděpodobně staly i další účty.
Hackeři se dostali do napadených účtů skrze útok známý jako „Sim-swap“. V rámci něj získali kontrolu nad telefonním číslem uživatele a následně tak obešli přes SMS zprávu zabezpečení jeho účtu.
Jednou z obětí útoku se měl stát uživatel froggie.eth, který tvrdí, že hackeři mu tímto způsobem ukradli více než 20 ETH.
I was just SIM swapped and robbed of 22 ETH via @friendtech
The 34 of my own keys that I owned were sold, rugging anyone who held my key, all the other keys I owned were sold, and the rest of the ETH in my wallet was drained.
If your Twitter account is doxxed to your real… pic.twitter.com/5wA86mjYEG
— daren (@darengb) October 3, 2023
Další dva případy měly být spojeny s phishing útoky, v jejichž rámci hackeři získali ještě předtím i přístupová hesla k účtům jejich obětí.
Friendtech user @digging4doge just got drained to the tune of ~60 eth worth of keys.
About an hour ago, he received a text informing him that a number change had been requested for his account.
He had two hours to respond or the request would be auto approved. This was, of… pic.twitter.com/L21Hr041kP
— Quit (@0xQuit) October 4, 2023
Analytická firma Manifold upozornila, že přibližně 30 % účtů na této sociální síti má zabezpečení účtu skrze telefonní číslo, což může vést ke krádeží kryptoměn v současné hodnotě kolem 20 milionů dolarů. Zároveň dodala, že když hacker získá přístup k účtu na Friend.tech, je schopen jej celý zabavit.
If any hacker gains access to a FriendTech account via simswap/email hack, they can rug the whole account
If you assume 1/3 of FriendTech accounts are connected to phone numbers, that's $20M at risk from sim-swaps
FriendTech's current setup also technically allows a rogue dev… https://t.co/XgodMNSh2l
— Manifold (@ManifoldTrading) October 2, 2023
Manifold vydal i několik doporučení – například to, aby uživatelé této sítě změnili způsob přístupu na její na mailovou adresu namísto telefonního čísla a také používali peněženky třetích stran.
Samotné sociální síti doporučuje, aby co nejdříve zpřístupnila možnost 2FA autentifikace například přes Google Authentificator. Ta však tvrdí, že v současném stavu by to pravděpodobně vedlo k tomu, že uživatelé by si sami zablokovali přístupy ke svým účtům. Proto musí nejprve vyřešit problémy s UX.
Mezitím již byly hlášeny problémy s tím, že uživatelé, kteří se odhlásili, se neumí zpět nalogovat na platformu. Nebo to, že odhlášení přes jedno zařízení nevedlo k odhlášení ze sítě na jiné, což znamená, že dveře pro hackery zůstaly otevřené.
Zdroje: Twitter, cointelegraph.com
