SlowMist警告：friend.tech用户面临钓鱼攻击风险

据 CryptoPotato 报道，区块链安全公司 SlowMist 警告称，去中心化社交网络 friend.tech 最近遭到冒充记者的钓鱼攻击者的大量攻击。10月14日，Twitter 用户 Masiwei 首次报告了针对 friend.tech 的恶意代码。根据 SlowMist 安全团队的调查，攻击者分享的链接中包含恶意 JavaScript 脚本。攻击过程针对 friend.tech 用户，重点关注因受欢迎而可能收到采访邀请的关键意见领袖（KOL）。攻击者采用跟随目标 Twitter 网络内的人的策略，当用户访问攻击者的 Twitter 页面时，制造虚假的社区氛围。攻击者安排采访，引导用户加入 Telegram 进行采访，并提供大纲。用户相信这是合法的互动，参加了一个两小时的采访。采访结束后，攻击者要求用户填写表格，并在验证的借口下打开提供的钓鱼链接。链接要求用户在访问 friend.tech 网站后，将“验证”按钮拖到书签栏并点击。在打开包含恶意 JavaScript 脚本的书签后，用户在不知情的情况下暴露了他们的 friend.tech 账户凭据，包括密码（2FA）和与嵌入式钱包 Privy 关联的代币。这将导致用户的 friend.tech 账户和相关资金面临被盗的风险。