8 月中上线测试版迅速爆红的去中心化社交平台 Friend.tech,在今日宣布推出网页版。但 DefiLlama 的创办人 0xngmi 今日警告 friend.tech 及分叉山寨版本都将用户密钥储存在前端,导致资金有容易被骇客窃取的风险。
(前情提要:Friend.tech深度报告:为何能估值15亿美元?潜藏的十大风险?)
(背景补充:friend.tech遭爆泄漏10万用户数据?专家警告:交易「股份」恐被SEC盯上)
本文目录
去中心化社交应用 Friend.tech 在 8 月中旬 11 日推出测试版後,迅速以黑马之姿爆红,成功带起一波社交金融( SocialFi) 热潮,并获得知名加密风投 Paradigm 种子轮投资。
但 Friend.tech 在上线不到三周後,就出现交易量、资金流入、买卖人数、手续费全面大幅滑坡的趋势,倒退的数据更让该平台一度祭出「若用户使用其他山寨产品,将失去所有积分」的政策,试图限制用户出走,引爆社群强烈挞伐,该项目创办人最终紧急灭火道歉、取消这个争议政策。
Friend.tech 网页版上线
为了吸引和留住更多用户,今(21)日,Friend.tech 官方在今日(9/21),正式上线网页版,让用户也能够在电脑浏览器上使用该平台。经测试,现有用户可以使用手机号码,以及 Google 、Apple 帐号登入,但新用户仍需要从现有用户处获取邀请码才能够完成注册。
Don't own a phone? You can now use https://t.co/YOHabcBL3H in your desktop or laptop web browser pic.twitter.com/bHbfOVSsSA
— friend.tech (@friendtech) September 20, 2023
DefiLlama创办人:friend.tech及分叉版本将用户密钥储存在前端、资金安全有虞
另外,值得注意的是,DeFi 链上数据平台 DefiLlama 的创办人 0xngmi 今日在 X 平台(原推特)上对 Friend.tech 安全问题提出警示:
目前 friend.tech 及所有分叉的山寨版本都将用户的密钥储存在前端,因此只要藉由前端更新就有可能窃取到用户的密钥或所有资金。
技术上来讲,有些项目可能不会在前端储存完整的密钥,但他们在前端的记忆体中拥有密钥,因此无论如何他们都容易受到供应链攻击(恶意更新)影响。
to be technically correct some might not store the full key on frontend but they have the key in memory in frontend, so they're vulnerable to supply attacks (bad updates) anyway
— 0xngmi (@0xngmi) September 20, 2023
0xngmi 解释 friend.tech 现行的安全模型的潜在风险包括:
Privy 构建 API 来帮助开发人员私密管理用户数据,其将直接从平台的前端加密用户数据,并将私人链下数据与用户的链上地址相关联,为 Web3 产品带来 Web2 等级的无缝体验(例如 email 和社交帐号登入),而 friend.tech 就使用了 Privy 的 MPC 钱包。
这意味着像 Balancer 这样的骇客攻击将是毁灭性的,只需打开应用程式就会耗尽你的钱包,而你无需做任何事。
brief review of friendtech's security model:
– if friendtech frontend is hacked they can steal funds (just direct iframe to send the ETH)
– if privy iframe is hacked they can steal funds (it holds key)
– if privy dies/loses data, you lose your money, since they keep 2/3 shards pic.twitter.com/h0VLbaYihZ— 0xngmi (@0xngmi) September 20, 2023
此前就爆出数据泄露问题
事实上,先前 Friend.tech 就遭到业界点名多项数据泄漏风险。例如,Spot on Chain 就曾发文表示,friend.tech 存在通过 API 数据泄露,以及可以在无邀请码的情况下从合约买卖份额(Shares)的问题。
friend tech 也被指出,疑似泄露超 10 万名用户数据,高达 101,183 用户授予 friend.tech 以他们的 Twitter 用户名发文的权限。慢雾科技创办人余弦发出进一步警告:「10 多万推特帐号对应的 friend.tech 钱包地址泄露,这些钱包地址随便往上一层做下关联,还能得到更多隐私。」
延伸阅读:friend.tech遭爆泄漏10万用户数据?专家警告:交易「股份」恐被SEC盯上
Friend.tech 协议费用突破 1200 万美元
尽管被业界点出多项安全引忧,在 8 月窜红的 Friend.tech 仍受到诸多用户喜爱,Dune 数据显示,其在 Base 链上线短短一个多月的时间,累积交易额已超 163,143 ETH(按当前价值计算约 2.63 亿美元),链上交易量达 6,769,079 笔,已产生的协议费用为 7,415.6 ETH(约 1200 万美元),买家地址数也突破 22 万个。
然而其单日交易量在 9 月 14 日创下 13,560 ETH 的历史新高後,昨(20)日的交易量来到近 6,970,距离高点骤降 49%。
📍相关报导📍
从Friend.tech到Tip Coin,还有哪些值得关注的社交金融(SocialFi)?
FriendTech三种掏金策略:交易、积分以及创造价值
Friend.tech死亡宣告:单日协议费用、交易量暴跌逾90%