人気の暗号ソーシャルプラットフォームFriend.techは週末に一連のSIMスワップ攻撃を受け、ハッカーはユーザーのアカウントから数千ドル相当のトークンを盗み出すことができた。

10月3日のTwitterスレッドで、実名が公開されているFriend.techユーザーのダレン（Twitterハンドルネームは@darengb）は、SIMスワップ攻撃の被害者であり、ハッカーがプラットフォーム上で所有していた34個のキーを売却し、キー保有者を騙し取ったと書いている。攻撃者はダレンが所有していた他のキーもすべて売却し、彼が所有していた22イーサリアム（ETH）を流出させた。記事執筆時点でその価値は3万6250ドル。

10月4日のアップデートで、ダレン氏はさらに、携帯電話番号の制御を取り戻したにもかかわらず、「ハッカーは依然としてFriend.Techアカウントにアクセスできる」と強調した。同氏は、ハッカーが「[ダレン氏の]秘密鍵をエクスポートしたか、または携帯電話でまだログインしている」と説明した。

ダレンは、頻繁にスパム電話がかかってくるようになったため、携帯電話をサイレントにしたと説明した。これにより、誰かが自分のアカウントにアクセスしようとしていることを通知する、キャリアのベライゾンからのテキストメッセージを見ることができなくなった。1時間以内に、ハッカーは彼のSIMカードのスワップに成功し、彼のFriend.Techアカウントと暗号通貨ウォレットを乗っ取った。

9月30日の投稿によると、Froggie.ethもSIMスワッピングの被害に遭い、記事執筆時点で20ETH以上、3万3000ドル相当の損失を被った。TwitterユーザーのDipperは、自分のアカウントが侵害され、ハッカーがすべてのキーを売却し、資産を別のアドレスに移したという同じ被害に遭ったと主張している。SIMスワッピングが関与していたかどうかは不明だ。

彼らがどのようにして財布を危険にさらしたのかはわかりません。キーホルダーの方には申し訳ありませんが、大きな損失になった場合は私に連絡していただければ返金します。

ディッパー

SIM スワップ攻撃では、ハッカーは携帯電話会社を騙して攻撃者が管理する SIM カードに番号を転送させ、被害者の電話番号を乗っ取ることができます。電話番号にアクセスしたハッカーは、2 要素認証 (2FA) のワンタイム パスワード (OPT) を受け取り、それを使用してアカウントのパスワードをリセットし、不正にアカウントにアクセスすることができます。

こちらもおすすめ: Friend.tech がフィッシング詐欺の標的に、その数の増加に伴い

しかし、Friend.tech 自体はこの事件で侵害されたわけではない。このプラットフォームはブロックチェーン技術を利用して、ユーザーがインフルエンサーやコンテンツ クリエイターのプライベート チャット グループへの「キー」を購入できるようにしている。チャットに購入するユーザーが増えるほどキーの価格は上昇し、クリエイターにインセンティブを与え、キー所有者に潜在的な利益をもたらす。

Friend.tech は革新的である一方、ユーザーの現実世界の ID と暗号通貨ウォレットをリンクするため、SIM スワッピングなどのハッキング技術に対して脆弱です。ユーザーは、今後同様の攻撃を防ぐために 2FA などのセキュリティ対策の強化を求めています。

Friend.techの急速な成長は、創業者の予想さえも上回っています。このプラットフォームは、2023年8月の立ち上げから2週間以内に10万人以上のユーザーを獲得し、最初の1か月で2,500万ドルの収益を上げたと報じられています。しかし、そのモデルの持続可能性は疑問視されており、一部の批評家はプラットフォームをポンジスキームに例えています。

Friend.tech は、インフルエンサーやクリエイターが、仮想通貨の支払いと引き換えにプライベート チャット グループや限定コンテンツへのアクセスを販売することで、ファンベースを収益化することを可能にします。支持者はソーシャル トークンや Web3 の主流化を促進する大きな可能性を感じていますが、一方で Patreon などのパトロン プラットフォームとの類似性を指摘し、アプリの投機的な成長がキーの販売ラッシュにつながり、最終的にプラットフォームが崩壊するのではないかと懸念する人もいます。

続きを読む: ボットがFriend.techで200万ドル以上の利益を獲得