慢雾余弦：friend.tech的2FA机制实际是设置独立密码，用户务必妥善保管

金色财经报道，据慢雾创始人余弦在X（原推特）发文表示，这几天陆续有用户出现friend.tech账号被黑资产被盗情况，之前说过ft是中心化的，而且有信息泄露风险（这个风险一直存在）。你的ft账号要么是手机号注册，要么是Gmail邮箱或Apple账号，连个2FA都没，作恶者们当然紧盯着这些玩烂的攻击方式。

金色财经报道，慢雾创始人余弦在X平台（原推特）表示，Vitalik推特号还真是被SIM Swap攻击了，几个细节：手机SIM卡是T-Mobile的，这个在暗网可能5K美金就可以做一次SIM Swap攻击；这个手机号虽然没拿来做 2FA，但是被用于重置了推特权限，之前他没意识到还能这样；他忘记什么时候添加的手机号。 从这可以学习到：没验证过的安全机制不是靠谱的安全机制；任何人都有踩坑的时候；人会撒谎，更别提代表人的社交账号，可能你看到的账号动态已经不是这个人本身的意愿，一定要保持怀疑且持续验证，尤其看到一个陌生链接。

2月8日消息，慢雾创始人余弦发文称，OpenSea Trending里的NFT项目AZKI BOX是骗局，如果用户被诱骗打开了其中的网站，可能会被盗走相关加密资产。

金色财经报道，慢雾创始人余弦在社交媒体上发文表示，之前就有人反馈玩Avascriptions时，钱包没切换到正确的网络，导致资产打到了其他EVM链上。Avascriptions可以强制限制网络必须是Avalanche，否则不允许前端下一步操作（右上角Wrong Network这种提醒太弱了）。用户也需要注意。 不过有个好消息是，用户打到Avascriptions在其他EVM链的资产是可以找回的，需要项目方在其他EVM链部署相关合约即可（请小心操作，否则没救）。另外，虽然项目方在Avalanche上的核心合约还没开源，但反编译看了是预留资产取回功能的。

金色财经报道，慢雾创始人余弦在社交媒体上发文提醒公众，要谨慎使用与 friend.tech 相关的工具，尤其是那些直接请求私钥或要求用户通过 friend.tech 账号（如手机号）和独立密码（friend.tech 的 2FA）登录的工具。他警告称，这些服务后台可以通过反向代理与 friend.tech 交互，从而有可能操纵用户资金。 余弦强调，这种风险与 friend.tech 本身无关，而是中心化服务普遍存在的问题。他还提到，这种高级钓鱼手法在 Web2 时代已经十分普遍，在 Web3 时代仍然有效。

金色财经报道，慢雾创始人余弦在社交媒体上表示，前几天有人玩Atomicals资产ATOM被盗，原因是因为一些人在推特大力宣传使用Replit这个在线编程平台来运行atomicals-js方便自动化做Atomicals资产相关操作。 Replit本身看似没问题，这种宣传看似也没什么问题，但问题出在Replit平台的公开性及玩家的安全意识匮乏，你用的atomicals-js任何人都可以看到，包括你在其中配置的助记词/私钥/地址等信息。 于是通过简单的Google Hacking等技巧就可以发现这些泄露，导致资产被盗。需要注意的是，自动化平台或工具确实方便，使用时务必有能力驾驭。这里影响的不仅是一些玩家的Atomicals资产，我们还看到了其他链的铭文资产。