儘快明確隱私政策
上線僅十多天,Friend.Tech 就吸引著眾多人群的狂熱參與。
從 Friend.tech 開啟邀請制 Beta 測試以來,這款去中心化社交應用迅速吸引了大量使用者,甚至吸引了大牌加密貨幣影響者、NBA 球員和 OnlyFans 創作者的關注。
這個最新的 Web3 社交應用程式建立在 Base Layer 2 區塊鏈上,允許使用者與他們最喜歡的影響者交易代幣化的「股票」。 但是在狂熱之下,有些安全危機卻引起了人們的注意。
8 月 21 日下午,Yearn 核心開發者 banteg 發推表示超過 10 萬名 Friend.tech 的使用者資訊洩漏。 洩漏的資訊中包含使用者的錢包位址和推特資訊,引起了巨大的爭議和關注。
Beosin 在第一時間對此次資訊洩漏事件進行了調查,同時對 Friend.tech 專案也進行了詳細的分析,以下是我們的分析內容。
Base 的熱門新應用程式:什麼是 Friend Tech?
Friend.tech 是構建在 Base 區塊鏈上的去中心化社交應用,使用者需要通過綁定推特和錢包來使用 Friend.tech 並以此獲利。 Friend.tech 的定位是將使用者的影響力代幣化,用戶可以購買其他使用者的 “Shares” 以獲得和其他使用者直接交流的許可權。 Coinbase 的高級軟體工程師 Yuga Cohler 在推文中強調,Friend Tech 是一個面向加密人士的去中心化社交媒體平臺,Friend Tech 創新的核心在於利用 “股票” 作為數字資產。 這些股份象徵著與加密人士互動時的擁有權。 這個概念反映了股票市場的所有權原則,擁有股票相當於持有特定公司的股份。
目前 Friend.tech 官網較為簡陋,尚未公佈白皮書和路線圖。 目前已知的是,每個代幣的 Shareholder 增加會導致 Token 上漲,交易還需要額外支付 10% 交易手續費,其中 5% 給協定,5% 給創作者。 目前,Friend.tech 的用戶數已超過 10 萬,海外超 70 萬粉絲的加密大 V Cobie 以及交易員 Ansem 已進駐 Friend.tech,Shares 的交易量已超過 3400 萬美元。
Friend.tech 爆火的原因有哪些?
1. 推特博主引入流量
作為一款社交產品,Friend.tech 通過將影響力代幣化為 KOL 提供了可觀的收益。 使用者每次購買 Shares,對應的 KOL 都將獲得 5% 的交易費用。 因此,Friend.tech 對於影響力大的 KOL 是非常有吸引力的,KOL 可以通過 Friend.tech 獲得粉絲經濟的收益,而 KOL 的進駐又為 Friend.tech 帶來了用戶數和知名度的提升。
2. 空投預期
8 月 19 日,Friend.tech 在推特上宣佈 Paradigm 將參與其種子輪融資,並且會與 Paradigm 合作構建進的社交工具。
由於使用者使用 Friend.tech 會獲得積分,Friend.tech 也宣佈這些積分在為期 6 個月的測試階段結束後會有特殊用途,空投會參考用戶的活動情況。 因此,Friend.tech 目前吸引了一大批空投獵人,為 Friend.tech 貢獻數據量。
Friend.tech 隱私安全爭議
8 月 21 日,Friend.tech 超過 10 萬份用戶數據洩漏。 其原因是 Friend.tech 提供的 API 可以直接查詢到使用者的錢包和推特資訊。 可查詢的 API 連結如下:https://prod-api.kosxxxx.com/users/0xfd7232e66a69e1ae01e1e0ea8fab4776e2d325a9
(出於安全考慮,已隱去 API 的完整連結)
只需將連結中的位址(Friend.tech 創始人的位址)換成其它與 Friend.tech 交互的位址即可查詢到相關信息。 上述 API 連結的查詢結果:
儘管 Friend.tech 回應這些資訊是由 Friend.tech 的公開 API 爬取的,對於資訊洩漏的報導是不負責任的,但是這些資訊包含了錢包資訊與推特帳戶資訊,即鏈上資訊和鏈下資訊。 洩漏的這些資訊對於駭客或是中心化機構鎖定錢包的實體信息來說已經足夠。
此外,MEV 機器人可以利用目前 Friend.tech API 展示的資訊和 Base 區塊鏈上的資訊監控是否有影響力的 KOL 加入 Friend.tech,從而在其加入的第一時間買入對應的 Shares,抬高價格,之後再賣出獲利。 目前,Friend.tech 上的 MEV 機器人已經十分泛濫,對於真實用戶來說是不小的傷害。
此外,通過對於目前 API 資訊和洩漏的 10 萬+資訊的進一步挖掘,駭客有可能可以獲取更多有關使用者的交易資訊和身份資訊,洩漏資訊的使用者將面臨潛在的社會工程學攻擊。
這些問題應該如何解決?
1. 儘快明確隱私政策
Friend.tech 已推出 12 天,但其隱私政策仍未出臺。 如果 Friend.tech 繼續提供當前的 API 訪問服務,那麼 Friend.tech 應當在其隱私政策中明確指出 API 將會向所有人提供你的錢包資訊和推特帳戶資訊。 如果 Friend.tech 後續修改 API 訪問服務,也需在隱私政策中聲明 Friend.tech 會為哪些使用者提供哪些 API 服務,會為 API 調用者提供哪些資訊。
2. 調整 API 存取權限
儘管與 Friend.tech 合約交互的位址是公開在區塊鏈上的,但這並不代表 Friend.tech 應該將位址與關聯的推特帳號暴露給所有人。 Beosin 建議 Friend.tech 公開訪問的 API 不應該同時包含使用者的錢包資訊和推特帳戶資訊。 此外,Friend.tech 應限制非一定數量的 Share 的持有者不能查看對應使用者的錢包資訊和推特帳戶資訊,這樣可以防止 MEV 機器人提前鎖定進駐使用者的身份進行搶跑。 希望 Friend.tech 可以制定更加完善的 API 存取規則,更好地保護用戶隱私和提供更好的用戶體驗。
3. 賬戶隔離
Beosin 建議使用者使用全新的錢包交互 Friend.tech,該錢包的資金應直接由中心化交易所提出,以避免洩漏錢包地址的關聯資訊。 同時,對於在 8 月 21 日之前交互過 Friend.tech 的使用者,其用戶數據已經洩露,應留心之後可能出現針對性的釣魚攻擊。 我們向各位讀者朋友推薦下面這款 Beosin Alert 反釣魚外掛程式,可以識別 Web3 領域的大部分釣魚網站,守護大家的錢包和資產安全。
總的來說,Friend.tech 很火熱,Friend.Tech 已經積累了數萬使用者,這對於新興的 Base 生態系統來說是一個充滿希望的跡象。 但有法律專家也提醒 Friend.tech 可能會引起 SEC 的注意,同時上面提到的安全隱私風險,同樣不能忽視。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 本文內容僅用於資訊分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。