法律专家也提醒friend.tech可能会引起SEC的注意,同时上面提到的安全隐私风险,同样不能忽视。
上线仅十多天,Friend.Tech就吸引着众多人群的狂热参与。
从Friend.tech开启邀请制Beta测试以来,这款去中心化社交应用迅速吸引了大量用户,甚至吸引了大牌加密货币影响者、NBA球员和OnlyFans创作者的关注。
这个最新的Web3社交应用程序建立在 BaseLayer2区块链上,允许用户与他们最喜欢的影响者交易代币化的「股票」。但是在狂热之下,有些安全危机却引起了人们的注意。
Beosin在第一时间对此次信息泄漏事件进行了调查,同时对Friend.tech项目也进行了详细的分析,以下是我们的分析内容。
Friend.tech是构建在Base区块链上的去中心化社交应用,用户需要通过绑定推特和钱包来使用Friend.tech并以此获利。Friend.tech的定位是将用户的影响力代币化,用户可以购买其他用户的Shares以获得和其他用户直接交流的权限。
Coinbase的高级软件工程师YugaCohler在推文中强调,FriendTech是一个面向加密人士的去中心化社交媒体平台,FriendTech创新的核心在于利用股票作为数字资产。这些股份象征着与加密人士互动时的所有权。这个概念反映了股票市场的所有权原则,拥有股票相当于持有特定公司的股份。
目前Friend.tech官网较为简陋,尚未公布白皮书和路线图。目前已知的是,每个代币的Shareholder增加会导致Token上涨,交易还需要额外支付10%交易手续费,其中5%给协议,5%给创作者。目前,Friend.tech的用户数已超过10万,海外超70万粉丝的加密大VCobie以及交易员Ansem已进驻Friend.tech,Shares的交易量已超过3400万美元。
1. 推特博主引入流量
作为一款社交产品,Friend.tech通过将影响力代币化为KOL提供了可观的收益。用户每次购买Shares,对应的KOL都将获得5%的交易费用。因此,Friend.tech对于影响力大的KOL是非常有吸引力的,KOL可以通过Friend.tech获得粉丝经济的收益,而KOL的进驻又为Friend.tech带来了用户数和知名度的提升。
2. 空投预期
8月19日,Friend.tech在推特上宣布Paradigm将参与其种子轮融资,并且会与Paradigm合作构建进的社交工具。
由于用户使用Friend.tech会获得积分,Friend.tech也宣布这些积分在为期6个月的测试阶段结束后会有特殊用途,空投会参考用户的活动情况。因此,Friend.tech目前吸引了一大批空投猎人,为Friend.tech贡献数据量。
8月21日,Friend.tech超过10万份用户数据泄漏。其原因是Friend.tech提供的API可以直接查询到用户的钱包和推特信息。可查询的API链接如下:
https://prod-api.kosxxxx.net/users/0xfd7232e66a69e1ae01e1e0ea8fab4776e2d325a9
(出于安全考虑,已隐去API的完整链接)
只需将链接中的地址(Friend.tech创始人的地址)换成其它与Friend.tech交互的地址即可查询到相关信息。上述API链接的查询结果:
尽管Friend.tech回应这些信息是由Friend.tech的公开API爬取的,对于信息泄漏的报道是不负责任的,但是这些信息包含了钱包信息与推特账户信息,即链上信息和链下信息。泄漏的这些信息对于黑客或是中心化机构锁定钱包的实体信息来说已经足够。
此外,MEV机器人可以利用目前Friend.techAPI展示的信息和Base区块链上的信息监控是否有影响力的KOL加入Friend.tech,从而在其加入的第一时间买入对应的Shares,抬高价格,之后再卖出获利。目前,Friend.tech上的MEV机器人已经十分泛滥,对于真实用户来说是不小的伤害。
此外,通过对于目前API信息和泄漏的10万+信息的进一步挖掘,黑客有可能可以获取更多有关用户的交易信息和身份信息,泄漏信息的用户将面临潜在的社会工程学攻击。
1. 尽快明确隐私政策
Friend.tech已推出12天,但其隐私政策仍未出台。如果Friend.tech继续提供当前的API访问服务,那么Friend.tech应当在其隐私政策中明确指出API将会向所有人提供你的钱包信息和推特账户信息。如果Friend.tech后续修改API访问服务,也需在隐私政策中声明Friend.tech会为哪些用户提供哪些API服务,会为API调用者提供哪些信息。
Friend.tech目前没有隐私政策
2. 调整API访问权限
尽管与Friend.tech合约交互的地址是公开在区块链上的,但这并不代表Friend.tech应该将地址与关联的推特账号暴露给所有人。Beosin建议Friend.tech公开访问的API不应该同时包含用户的钱包信息和推特账户信息。此外,Friend.tech应限制非一定数量的Share的持有者不能查看对应用户的钱包信息和推特账户信息,这样可以防止MEV机器人提前锁定进驻用户的身份进行抢跑。希望Friend.tech可以制定更加完善的API访问规则,更好地保护用户隐私和提供更好的用户体验。
3. 账户隔离
Beosin建议用户使用全新的钱包交互Friend.tech,该钱包的资金应直接由中心化交易所提出,以避免泄漏钱包地址的关联信息。同时,对于在8月21日之前交互过Friend.tech的用户,其用户数据已经泄露,应留心之后可能出现针对性的钓鱼攻击。
我们向各位读者朋友推荐下面这款BeosinAlert反钓鱼插件,可以识别Web3领域的大部分钓鱼网站,守护大家的钱包和资产安全。
总的来说,Friend.tech很火热,Friend.Tech已经积累了数万用户,这对于新兴的Base生态系统来说是一个充满希望的迹象。但有法律专家也提醒Friend.tech可能会引起SEC的注意,同时上面提到的安全隐私风险,同样不能忽视。
以上就是friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?的全部内容,望能这篇friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?可以帮助您解决问题,能够解决大家的实际问题是非常好学习网一直努力的方向和目标。