В последние несколько дней пользователи блокчейн-платформы friend.tech сообщили о серьезных проблемах с безопасностью. Несколько аккаунтов были взломаны, а средства пользователей похищены. Основатель компании SlowMist, эксперт в сфере блокчейн-безопасности, подчеркнул, что централизованная природа платформы friend.tech представляет серьезный риск утечки конфиденциальной информации.
Особое внимание привлекают методы регистрации на платформе: по номеру телефона, электронной почте или аккаунту Apple. Удивительно, но при этом отсутствует двухфакторная аутентификация (2FA), что считается более безопасным подходом к защите аккаунтов. Этот недостаток привлек внимание злоумышленников, предупредил эксперт.
Интересное наблюдение сделал пользователь соцсети X, известный под никнеймом daren. Его аккаунт был атакован с использованием подмены SIM-карты. В результате daren потерял 22 ETH (~$36 644) на платформе friend.tech. Злоумышленник успел продать все монеты и 34 ключа, принадлежавших daren, что привело к серьезному ущербу их эмитентам.
daren предупредил, что связь аккаунта в X с реальным именем позволяет узнать номер телефона пользователя, что делает его уязвимым для подобных атак. Он также отметил, что постоянные телефонные звонки вынудили его перевести телефон в беззвучный режим, из-за чего daren пропустил уведомление от Verizon о попытке доступа к его аккаунту третьим лицом.
С увеличением случаев подмены SIM-карт и взломов на платформе friend.tech некоторые пользователи советуют использовать отдельные телефоны для работы с этой платформой.
Стало известно, что 21 августа произошла утечка данных более 100 000 пользователей friend.tech. Это позволило злоумышленникам получить доступ к информации о кошельках и их владельцах. Компания сообщила, что кто-то просто скачал общедоступный API, который демонстрирует связь между публичными адресами кошельков и никнеймами пользователей Twitter.
Разработчик DeFiLlama подчеркнул в сентябре, что friend.tech хранит ключи пользователей во внешнем интерфейсе. Он отметил, что аналогичным образом поступают и проекты, копирующие friend.tech, что может привести к краже ключей или средств при обновлении пользовательского интерфейса. Этот вопрос требует внимания разработчиков для повышения безопасности пользователей.