Les utilisateurs de Friend.tech mettent en garde contre d’éventuelles attaques par échange de carte SIM après une récente vague de prétendus piratages – ce qui a entraîné la perte de près de 109 Ether (ETH) d’une valeur d’environ 178 000 $ de quatre utilisateurs en moins d’une semaine.
Le 30 septembre, l’utilisateur de X (Twitter) connu sous le nom de « froggie.eth » averti leur compte ami.tech a été échangé par carte SIM – où les exploiteurs prennent le contrôle du numéro de mobile d’un utilisateur pour intercepter les codes d’authentification à deux facteurs, puis utilisés pour accéder aux comptes – et ont ensuite été vidé de plus de 20 ETH.
Quelques jours plus tard, le 3 octobre, une série d’utilisateurs de friends.tech ont signalé des incidents similaires, le musicien Daren Broxmeyer affirmant qu’il avait été échangé avec une carte SIM et vidé de 22 ETH.
Son téléphone avait déjà été « spammé avec des appels téléphoniques », ce qui, selon lui, l’obligeait à manquer un SMS de son fournisseur de services l’avertissant que quelqu’un essayait d’accéder à son compte.
On m’a juste échangé ma carte SIM et on m’a volé 22 ETH via @friendtech
Les 34 de mes propres clés que je possédais ont été vendues, brutalisant tous ceux qui détenaient ma clé, toutes les autres clés que je possédais ont été vendues et le reste de l’ETH dans mon portefeuille a été vidé.
Si votre compte Twitter est doxxé sur votre compte réel… pic.twitter.com/5wA86mjYEG
– Daren (ami, ami) (@darengb) 3 octobre 2023
Le même jour, un autre utilisateur, « dipper », dit leur compte a été compromis, ajoutant qu’ils n’ont « aucune idée » de la façon dont les exploiteurs pourraient pirater leur compte car ils utilisent des mots de passe forts.
Le quatrième utilisateur, « digging4doge », a perdu environ 60 ETH après avoir été victime d’une escroquerie par phishing qui l’a incité à partager un code de connexion.
Utilisateur de Friendtech @digging4doge vient d’être vidé à hauteur d’environ 60 eth de clés.
Il y a environ une heure, il a reçu un SMS l’informant qu’un changement de numéro avait été demandé pour son compte.
Il avait deux heures pour répondre, sinon la demande serait automatiquement approuvée. C’était, de… pic.twitter.com/L21Hr041kP
— quitter (,) (@0xQuit) 4 octobre 2023
La société d’investissement en cryptographie Manifold Trading a expliqué que tout pirate informatique accédant à un compte ami.tech est alors en mesure de « pirater l’ensemble du compte ».
En supposant qu’un tiers des comptes Friends.Tech soient connectés à des numéros de téléphone, environ 20 millions de dollars risquent d’être exploités via des exploits axés sur les utilisateurs de Friends.Tech, ont-ils déclaré.
En rapport: Le sosie de Friend.tech « Alpha » émerge sur le réseau Bitcoin
Manifold a également suggéré que, techniquement, l’ensemble de friend.tech est en danger en raison de la façon dont la sécurité de la plate-forme est configurée et que la résolution des problèmes « devrait honnêtement être la priorité numéro 1 ».
Si un pirate informatique accède à un compte FriendTech via un hack simswap/e-mail, il peut pirater l’intégralité du compte.
Si vous supposez qu’un tiers des comptes FriendTech sont connectés à des numéros de téléphone, cela représente un risque de 20 millions de dollars dû aux échanges de cartes SIM.
La configuration actuelle de FriendTech permet également techniquement à un développeur malveillant… https://t.co/XgodMNSh2l
– Collecteur (@ManifoldTrading) 2 octobre 2023
Friends.tech a suggéré à plusieurs reprises de permettre aux utilisateurs d’ajouter 2FA aux connexions, aux décryptages de clés et aux transactions.
Les utilisateurs devraient également avoir la possibilité de modifier la méthode de connexion d’un numéro à un courrier électronique et d’autoriser l’utilisation de portefeuilles tiers.
Des personnalités cryptographiques de haut niveau ont déjà été échangées avec succès avec leurs comptes utilisés pour mener des attaques de phishing, comme le compte X du co-fondateur d’Ethereum, Vitalik Buterin, en septembre.
Cointelegraph a contactéfriend.tech pour commentaires mais n’a pas immédiatement reçu de réponse.
Revue: Détectives Blockchain – L’effondrement du mont Gox a vu la naissance de Chainalysis