社交軟體 Bondee 在今年 1 月瞬間爆紅,但社群爆發疑似盜刷信用卡的資安疑慮,讓 Bondee 成了 Web3 產品的活教材。
(前情提要:必讀資安指南》CEX 紛紛暴雷,如何保障你的加密貨幣資產安全? )
(背景補充:V 神「加密貨幣美好未來的延伸定義」: 以太坊登入成功、社交起飛、擴容、隱私和安全性 )
打著 3D 建模的虛擬社交軟體 Bondee,在今年 1 月發行商大力推送廣告、請網紅「點火」的情況下,於農曆新年前數日開始大紅,許多台灣用戶註冊 Bondee 後,創建自己的分身 Avatar 人偶變換造型,並利用巧思佈置自己的虛擬住家,邀請好友拜訪參觀,數天內勾動了大批年輕用戶相邀註冊,引發現象級下載量。
Bondee 熱度快速衰退,敗在資安疑慮
不但有虛擬世界的互動功能,Bondee 在官方說明中還包含了 NFT 展示、互動功能,未來還可能進一步開放 NFT 市場,因此被加密貨幣市場用戶視為另一個爆紅的 Web3 社交服務。
但根據新加坡海峽時報報導,短短數日內就有新加坡、馬來西亞等亞洲用戶聲稱自己出現的信用卡、借記卡在註冊 Bondee 後被未授權盜刷的現象,雖然這些盜刷事件並未證實與 Bondee 有關,但相關討論不斷在 Twitter、抖音和其他社交平台出現,台灣內也傳出疑似災情。導致在農曆新年的 10 天假期內, Bondee 熱度迅速消退。
Bondee 背後的營運公司是註冊在新加坡的 Metadream,在 27 日,該公司出面公告,稱用戶的信用卡資訊透過 Bondee 平台而被洩漏的說法是「虛假且不真實的」:
我們想向用戶保證,這些謠言是虛假和不真實的,因為Metadream目前不收集使用者的信用卡資訊或任何其他財務資訊。 我們還對我們的系統進行了預防性審查,並希望向用戶保證我們的系統和使用者的個人資料保持安全和保障
檢視 Bondee 的 NFT 條款
由於 Bondee 在條款中包含著 NFT 整合企劃,也能看出發行商表示能在平台內與朋友交易 NFT,令人好奇該軟體是如何整合區塊鏈服務。我們能在 Bondee 的隱私政策裡找到關於 NFT 與區塊鏈錢包的描述段落:
您可以在平台內的公共區塊鏈上建立一個基於區塊鏈的錢包,使用法定貨幣購買 B-Beans;然後使用此類 B-Beans 為自己或您的朋友購買平臺上公開提供的NFT產品。 使用區塊鏈技術,您的NFT產品將儲存在基於區塊鏈的錢包中。
我們將收集上述購買期間生成的資料,包括錢包餘額、B-Beans訂單資訊和 NFT 訂單資訊。 請注意,您的錢包助記短語、私鑰、錢包密碼和其他私人資料將僅儲存在您的個人裝置上,我們無法訪問此類資料。
條款行文內似乎沒有特別問題存在,但我們還是要小心謹慎,在描述中「在平台內的公共區塊鏈上建立一個基於區塊鏈的錢包」意味用戶必須使用該平台 Bondee 所指定的區塊鏈錢包,而「使用法定貨幣購買 B-Beans」,則是指用戶必須授權支付到這個錢包內。於是,該錢包的安全性才是重點。
Bondee 僅是 Web3 產品的資安範例
由於沒有百分之百的證據,證實 Bondee 就是導致信用卡盜刷的元凶,但疑慮消息四處傳播造成 Bondee 熱度劇烈消退,也成了一個 Web3 產品因為資安疑慮而慘遭重擊的活生生範例;一但讓用戶提起一分擔心,發行團隊就要花上十分力氣去澄清並擔保產品的安全,不然,這份擔心就成了無名野火,在社群上無止境地竄燒,社群的傳言耳語最難撲滅,因為天底下沒有任何偉力,能擋著別人的嘴。
Bondee 發行商 Metadream 雖設在新加坡,並稱自家是美韓共同協作開發,但輕易被發現公司前身是中國因有資安疑慮問題而無預警下架的App「啫喱」,更引發二度疑慮,這也讓市場了解,資安方面的名聲,很可能長久被留在用戶記憶、或是網路紀錄裡。
最後,在使用 Web3 相關 App 方面,有兩點資安守則想提醒各位讀者:
- 使用任何 App,手機授權「全部照片、鏡頭、麥克風」都需特別留意。
- 使用任何支付相關的 App,都要小心信用卡資訊是否經由正常的金融提供商、或是支付商處理,避免盜刷。
📍相關報導📍
小紅書整合 Conflux 鏈上 NFT!可連動 R-Space 藏品展示頁