尽快明确隐私政策
上线仅十多天,Friend.Tech 就吸引着众多人群的狂热参与。
从 Friend.tech 开启邀请制 Beta 测试以来,这款去中心化社交应用迅速吸引了大量用户,甚至吸引了大牌加密货币影响者、NBA 球员和 OnlyFans 创作者的关注。
这个最新的 Web3 社交应用程序建立在 Base Layer 2 区块链上,允许用户与他们最喜欢的影响者交易代币化的 “股票”。但是在狂热之下,有些安全危机却引起了人们的注意。
8 月 21 日下午,Yearn 核心开发者 banteg 发推表示超过 10 万名 Friend.tech 的用户信息泄漏。泄漏的信息中包含用户的钱包地址和推特信息,引起了巨大的争议和关注。
Beosin 在第一时间对此次信息泄漏事件进行了调查,同时对 Friend.tech 项目也进行了详细的分析,以下是我们的分析内容。
Base 的热门新应用程序:什么是 Friend Tech?
Friend.tech 是构建在 Base 区块链上的去中心化社交应用,用户需要通过绑定推特和钱包来使用 Friend.tech 并以此获利。Friend.tech 的定位是将用户的影响力代币化,用户可以购买其他用户的 “Shares” 以获得和其他用户直接交流的权限。Coinbase 的高级软件工程师 Yuga Cohler 在推文中强调,Friend Tech 是一个面向加密人士的去中心化社交媒体平台,Friend Tech 创新的核心在于利用 “股票” 作为数字资产。这些股份象征着与加密人士互动时的所有权。这个概念反映了股票市场的所有权原则,拥有股票相当于持有特定公司的股份。
目前 Friend.tech 官网较为简陋,尚未公布白皮书和路线图。目前已知的是,每个代币的 Shareholder 增加会导致 Token 上涨,交易还需要额外支付 10% 交易手续费,其中 5% 给协议,5% 给创作者。目前,Friend.tech 的用户数已超过 10 万,海外超 70 万粉丝的加密大 V Cobie 以及交易员 Ansem 已进驻 Friend.tech,Shares 的交易量已超过 3400 万美元。
Friend.tech 爆火的原因有哪些?
1. 推特博主引入流量
作为一款社交产品,Friend.tech 通过将影响力代币化为 KOL 提供了可观的收益。用户每次购买 Shares,对应的 KOL 都将获得 5% 的交易费用。因此,Friend.tech 对于影响力大的 KOL 是非常有吸引力的,KOL 可以通过 Friend.tech 获得粉丝经济的收益,而 KOL 的进驻又为 Friend.tech 带来了用户数和知名度的提升。
2. 空投预期
8 月 19 日,Friend.tech 在推特上宣布 Paradigm 将参与其种子轮融资,并且会与 Paradigm 合作构建进的社交工具。
由于用户使用 Friend.tech 会获得积分,Friend.tech 也宣布这些积分在为期 6 个月的测试阶段结束后会有特殊用途,空投会参考用户的活动情况。因此,Friend.tech 目前吸引了一大批空投猎人,为 Friend.tech 贡献数据量。
Friend.tech 隐私安全争议
8 月 21 日,Friend.tech 超过 10 万份用户数据泄漏。其原因是 Friend.tech 提供的 API 可以直接查询到用户的钱包和推特信息。可查询的 API 链接如下:https://prod-api.kosxxxx.com/users/0xfd7232e66a69e1ae01e1e0ea8fab4776e2d325a9
(出于安全考虑,已隐去 API 的完整链接)
只需将链接中的地址(Friend.tech 创始人的地址)换成其它与 Friend.tech 交互的地址即可查询到相关信息。上述 API 链接的查询结果:
尽管 Friend.tech 回应这些信息是由 Friend.tech 的公开 API 爬取的,对于信息泄漏的报道是不负责任的,但是这些信息包含了钱包信息与推特账户信息,即链上信息和链下信息。泄漏的这些信息对于黑客或是中心化机构锁定钱包的实体信息来说已经足够。
此外,MEV 机器人可以利用目前 Friend.tech API 展示的信息和 Base 区块链上的信息监控是否有影响力的 KOL 加入 Friend.tech,从而在其加入的第一时间买入对应的 Shares,抬高价格,之后再卖出获利。目前,Friend.tech 上的 MEV 机器人已经十分泛滥,对于真实用户来说是不小的伤害。
此外,通过对于目前 API 信息和泄漏的 10 万+信息的进一步挖掘,黑客有可能可以获取更多有关用户的交易信息和身份信息,泄漏信息的用户将面临潜在的社会工程学攻击。
这些问题应该如何解决?
1. 尽快明确隐私政策
Friend.tech 已推出 12 天,但其隐私政策仍未出台。如果 Friend.tech 继续提供当前的 API 访问服务,那么 Friend.tech 应当在其隐私政策中明确指出 API 将会向所有人提供你的钱包信息和推特账户信息。如果 Friend.tech 后续修改 API 访问服务,也需在隐私政策中声明 Friend.tech 会为哪些用户提供哪些 API 服务,会为 API 调用者提供哪些信息。
2. 调整 API 访问权限
尽管与 Friend.tech 合约交互的地址是公开在区块链上的,但这并不代表 Friend.tech 应该将地址与关联的推特账号暴露给所有人。Beosin 建议 Friend.tech 公开访问的 API 不应该同时包含用户的钱包信息和推特账户信息。此外,Friend.tech 应限制非一定数量的 Share 的持有者不能查看对应用户的钱包信息和推特账户信息,这样可以防止 MEV 机器人提前锁定进驻用户的身份进行抢跑。希望 Friend.tech 可以制定更加完善的 API 访问规则,更好地保护用户隐私和提供更好的用户体验。
3. 账户隔离
Beosin 建议用户使用全新的钱包交互 Friend.tech,该钱包的资金应直接由中心化交易所提出,以避免泄漏钱包地址的关联信息。同时,对于在 8 月 21 日之前交互过 Friend.tech 的用户,其用户数据已经泄露,应留心之后可能出现针对性的钓鱼攻击。我们向各位读者朋友推荐下面这款 Beosin Alert 反钓鱼插件,可以识别 Web3 领域的大部分钓鱼网站,守护大家的钱包和资产安全。
总的来说,Friend.tech 很火热,Friend.Tech 已经积累了数万用户,这对于新兴的 Base 生态系统来说是一个充满希望的迹象。但有法律专家也提醒 Friend.tech 可能会引起 SEC 的注意,同时上面提到的安全隐私风险,同样不能忽视。