分散型ソーシャルメディアプラットフォーム「フレンドテック(Friend.tech)」の開発チームは、ユーザーを狙ったSIMスワップ攻撃の増加に対抗し、新たなセキュリティ機能を追加した。
開発チームは10月9日のX(旧ツイッター)で、「携帯キャリアやメールサービスが攻撃された場合に追加の保護を提供するため、フレンドテックのアカウントに2要素認証(2FA)パスワードを追加できるようになった」と説明した。
新しいデバイスでログインする際に、フレンドテックのユーザーは別のパスワードの追加を求められる。「フレンドテックやPrivyのチームはこれらのパスワードをリセットできないので、この機能を利用する際には注意してください」とフレンドテックは付け加えた。
9月後半からフレンドテックのユーザーを狙ったSIMスワップ攻撃が相次ぎ、今回の変更につながった。
たとえば9月30日にはfroggie.eth氏がSIMスワップ攻撃を受けて、他のユーザーに警戒を呼びかけた。「20以上のETH(私のウォレットから全て引き出された)がスワップされた...皆さんも警戒してください。必要だと思わなくても、SIMにPINを設定してください」とfroggie.eth氏はツイートした。
その後の数日間で、同様の体験をしたフレンドテックのユーザーが続々と名乗りを上げた。1週間で推定109ETH(約17万2000ドル)が4人のユーザーから盗まれた。さらに数日後で、別の4人のユーザーが狙われ、さらに38万5000ドル相当のETHが盗まれた。
フレンドテックはすでに10月4日に一度、ログイン方法の追加や削除を可能にするなど、セキュリティを更新してSIMスワップ攻撃のリスクを軽減する試みを行っていた。
しかし、フレンドテックが早期に解決策を導入しなかったことに対し、一部のWeb3ウォッチャーから批判が寄せられた。「やっとだ」とあるユーザーは述べた。また、別のユーザーは「時間がかかりすぎた」とコメントした。
しかし、フレンドテックの著名なクリエーターである0xCaptainLevi氏は、より楽観的な見方を示しており、2FAが「大きな意味を持つ」と強調し、ソーシャルメディアプラットフォームを新たな高みに押し上げる助けとなると述べた。
10月8日のXのスレッドで、ブロックワークスの創設者ジェイソン・ヤノウィッツ氏は、SIMスワップ攻撃がどのように行われているかを明らかにした。
その手口は、ユーザーに番号変更のリクエストを求めるテキストメッセージを送ることから始まる。ユーザーは「YES」で変更を承認し、「NO」で拒否することができる。「NO」と返答した場合、ユーザーにはフレンドテックから本物の確認コードが送られ、そのコードを詐欺師の番号に送信するよう求められる。「2時間以内に返答がない場合、要求通りに変更を進めます」という追加のメッセージが表示される。「実際には、もしコードを送ったら、私のアカウントは消去されるだろう」とヤノウィッツ氏は語った。
Someone is trying to hack my @friendtech
— Yano 🟪 (@JasonYanowitz) October 8, 2023
1) Text sent saying they’re changing my number
2) I respond no
3) They say to confirm no, send the verification code
4) Receive actual verification code from friend tech
5) After no response, they text again saying they’ll auto… pic.twitter.com/j76vI969jP
DefiLlamaのデータによれば、フレンドテックに現在ロックされている総価値は4390万ドルで、10月2日の5220万ドルの最高値から15.5%下落している。コインテレグラフはフレンドテックにコメントを求めたが、すぐには返答を得られなかった。
翻訳・編集 コインテレグラフジャパン