10 月5 日,社交網路加密貨幣平台Friend Tech 的一些用戶在X 上報告稱,由於私鑰被盜,他們成為234 ETH 駭客攻擊的受害者。
這次搶劫是由一個人實施的,他透過克隆去中心化應用程式的不幸用戶的SIM 卡,成功提取了Base 上數位貨幣包的存取密鑰,並成功拿走了總計385,000 美元。
故事可能還沒結束,因為本週早些時候有更多的錢包被盜。
鑑於用戶越來越擔心加密貨幣平台的整個TVL 可能被利用,Friend.Tech 團隊正嘗試透過安全更新進行應對。
讓我們一起來看看所有的細節。
加密貨幣:Friend.Tech 遭受234 ETH 駭客攻擊,並在頻繁出現SIM 克隆案例後面臨失去信譽的風險
Friend.Tech 是一款在Coinbase 第2 層上開發的去中心化加密貨幣應用程序,用戶可以在X 上對代表其帳戶的各種股票進行代幣化和交易。
該平台在營運的最初幾週內取得了非凡的成功,吸引了加密貨幣社群的廣泛關注,甚至由於商業模式的一些相似之處而獲得了「web3 的唯一粉絲」的綽號。
然而,如今,Friend.Tech 由於出現了一些安全問題而成為頭條新聞,這可能會徹底毀掉該項目出色的上市表現
事實上,昨天,社群網路加密貨幣平台Friend.Tech 的幾位用戶向X(以前稱為Twitter)社群報告稱,他們的Base 錢包已被盜,總計234 ETH(約38.5 萬美元)被盜。
在這起令人厭惡的事件中,駭客實施的攻擊類型是SIM 卡交易所:這是一種透過非法獲取受害者的電話號碼來克隆SIM 卡的騙局,並利用該號碼有效規避訪問安全措施來存取社交帳戶。
這並不是Friend.Tech 第一次遭受此類攻擊,甚至在本週早些時候就報告了一些用戶錢包的異常交易,造成109 ETH 損失。
顯然,惡意人員透過Apple Store 進行了SIM 交易所,並設法將受害者的資料轉移到Iphone SE 上。
已經換SIM卡了顯然,這傢伙能夠從蘋果商店做到這一點,並將其換成iPhone SE。不要買我的鑰匙,錢包已被盜用。 @friendtech
— 蘇姆法蒂圖納🪺
(@sumfattytuna)2023 年10 月4 日
對於Friend.Tech 來說,解決這個令人頭痛的問題至關重要,因為屬於28,000 多名用戶的5,000 萬美元面臨風險。
自9 月以來,該平台的交易數量和協議內的資金流入量出現了令人難以置信的成長。
根據Dune Analytics 的數據,由於總共9,870,682 筆交易,該協議產生的總費用達到11,764 ETH(價值超過1,900 萬美元)。
9 月14 日,費用達到616 ETH,創下新紀錄。
如果發生新的駭客攻擊和針對用戶的攻擊,社群日益增長的不信任很可能會導致整體活動下跌,並存在無法再次恢復的風險。
社群網路平台針對突顯安全問題的因應措施
Friend.Tech 最近的安全問題導致社群網路加密貨幣平台用戶損失近50 萬美元,這可能只是一系列不幸事件的開始。
據一家為產業開發軟體解決方案的公司Manifold Trading稱,目前平台上鎖定的5,000萬美元總資產中有2,000萬美元面臨風險。
以下是該公司的原話:
“為了論證,如果1/3 的FriendTech 帳戶關聯了電話號碼,那麼就有2000 萬美元面臨因SIM 卡克隆而被盜的風險。”
Manifold Trading 本身強調,Friend.Tech 目前的結構可能允許流氓開發人員透過Shamir-Secret-Sharing 重組平台上所有使用者的私鑰。
這可能會使該專案的整個TVL 供應容易受到網路攻擊。
為了解決此風險,軟體開發公司建議實施雙重認證(2FA) 作為緩解系統。
事實上,2FA 已應用於多種數位服務中,尤其是加密貨幣交易等服務,並且是防止身分驗證違規的最佳保護措施之一。
如果任何駭客透過simswap/電子郵件駭客取得FriendTech 帳戶的存取權限,他們就可以竊取整個帳戶
如果你假設1/3 的FriendTech 帳戶與電話號碼相關聯,則SIM 卡交易所將帶來2000 萬美元的風險
FriendTech 目前的設定從技術上來說也允許流氓開發… https://t.co/XgodMNSh2l
– Manifold (@ManifoldTrading) 2023 年10 月2 日
Friend.Tech 很快就做出了回應,事件發生後幾個小時內,它就推出了一項新功能,以防止用戶錢包受到損害。
這是一種消除特定存取選項(尤其是電話號碼)的機制,大大降低了SIM 交易所攻擊的可能性,而這正是駭客本週所使用的。
你現在可以新增和刪除https://t.co/YOHabcBL3H 帳戶的登入方法。要訪問這些設置,請點擊應用程式右上角的錢包餘額pic.twitter.com/d37VWVk2Eb
—friend.tech (@friendtech) 2023 年10 月4 日
然而不幸的是,問題似乎並沒有就此結束:許多用戶抱怨X,因為他們無法存取他們的Friend.Tech 帳戶。
一位用戶特別透露,更新後,雖然他透過更換身分驗證方式刪除了電話號碼,但他無法再登入自己的個人資料。
由於還在其他設備上打開了會話,他相信駭客仍然可能破壞他的帳戶並清空他的數位貨幣包
我的帳戶被鎖定一個多月了。既然你的服務台帳號被禁止,我可以在哪裡獲得協助?
– 交叉(@crossover_step) 2023 年10 月4 日
資訊來源:由0x資訊編譯自CRYPTONOMIST。版權歸作者Alessandro Adami所有,未經許可,不得轉載