8 月中上線測試版迅速爆紅的去中心化社交平台 Friend.tech,在今日宣佈推出網頁版。但 DefiLlama 的創辦人 0xngmi 今日警告 friend.tech 及分叉山寨版本都將用戶密鑰儲存在前端,導致資金有容易被駭客竊取的風險。
(前情提要:Friend.tech深度報告:為何能估值15億美元?潛藏的十大風險?)
(背景補充:friend.tech遭爆洩漏10萬用戶數據?專家警告:交易「股份」恐被SEC盯上)
去中心化社交應用 Friend.tech 在 8 月中旬 11 日推出測試版後,迅速以黑馬之姿爆紅,成功帶起一波社交金融( SocialFi) 熱潮,並獲得知名加密風投 Paradigm 種子輪投資。
但 Friend.tech 在上線不到三週後,就出現交易量、資金流入、買賣人數、手續費全面大幅滑坡的趨勢,倒退的數據更讓該平台一度祭出「若用戶使用其他山寨產品,將失去所有積分」的政策,試圖限制用戶出走,引爆社群強烈撻伐,該項目創辦人最終緊急滅火道歉、取消這個爭議政策。
Friend.tech 網頁版上線
為了吸引和留住更多用戶,今(21)日,Friend.tech 官方在今日(9/21),正式上線網頁版,讓用戶也能夠在電腦瀏覽器上使用該平台。經測試,現有用戶可以使用手機號碼,以及 Google 、Apple 帳號登入,但新用戶仍需要從現有用戶處獲取邀請碼才能夠完成註冊。
Don't own a phone? You can now use https://t.co/YOHabcBL3H in your desktop or laptop web browser pic.twitter.com/bHbfOVSsSA
— friend.tech (@friendtech) September 20, 2023
DefiLlama創辦人:friend.tech及分叉版本將用戶密鑰儲存在前端、資金安全有虞
另外,值得注意的是,DeFi 鏈上數據平台 DefiLlama 的創辦人 0xngmi 今日在 X 平台(原推特)上對 Friend.tech 安全問題提出警示:
目前 friend.tech 及所有分叉的山寨版本都將用戶的密鑰儲存在前端,因此只要藉由前端更新就有可能竊取到用戶的密鑰或所有資金。
技術上來講,有些項目可能不會在前端儲存完整的密鑰,但他們在前端的記憶體中擁有密鑰,因此無論如何他們都容易受到供應鏈攻擊(惡意更新)影響。
to be technically correct some might not store the full key on frontend but they have the key in memory in frontend, so they're vulnerable to supply attacks (bad updates) anyway
— 0xngmi (@0xngmi) September 20, 2023
0xngmi 解釋 friend.tech 現行的安全模型的潛在風險包括:
- 如果 friend.tech 前端被駭客攻擊,他們可以竊取資金(只需直接 iframe 發送 ETH);
- 如果 privy iframe 被駭客攻擊,他們可以竊取資金(它持有密鑰) ;
- 如果 privy 死亡/丟失數據,用戶將失去資金,因為他們保留了 2/3 密鑰碎片;
這意味著像 Balancer 這樣的駭客攻擊將是毀滅性的,只需打開應用程式就會耗盡你的錢包,而你無需做任何事。
brief review of friendtech's security model:
– if friendtech frontend is hacked they can steal funds (just direct iframe to send the ETH)
– if privy iframe is hacked they can steal funds (it holds key)
– if privy dies/loses data, you lose your money, since they keep 2/3 shards pic.twitter.com/h0VLbaYihZ— 0xngmi (@0xngmi) September 20, 2023
此前就爆出數據洩露問題
事實上,先前 Friend.tech 就遭到業界點名多項數據洩漏風險。例如,Spot on Chain 就曾發文表示,friend.tech 存在通過 API 數據洩露,以及可以在無邀請碼的情況下從合約買賣份額(Shares)的問題。
friend tech 也被指出,疑似洩露超 10 萬名用戶數據,高達 101,183 用戶授予 friend.tech 以他們的 Twitter 用戶名發文的權限。慢霧科技創辦人余弦發出進一步警告:「10 多萬推特帳號對應的 friend.tech 錢包地址洩露,這些錢包地址隨便往上一層做下關聯,還能得到更多隱私。」
延伸閱讀:friend.tech遭爆洩漏10萬用戶數據?專家警告:交易「股份」恐被SEC盯上
Friend.tech 協議費用突破 1200 萬美元
儘管被業界點出多項安全引憂,在 8 月竄紅的 Friend.tech 仍受到諸多用戶喜愛,Dune 數據顯示,其在 Base 鏈上線短短一個多月的時間,累積交易額已超 163,143 ETH(按當前價值計算約 2.63 億美元),鏈上交易量達 6,769,079 筆,已產生的協議費用為 7,415.6 ETH(約 1200 萬美元),買家地址數也突破 22 萬個。
然而其單日交易量在 9 月 14 日創下 13,560 ETH 的歷史新高後,昨(20)日的交易量來到近 6,970,距離高點驟降 49%。
