当前位置:主页 > 区块链 > 资讯 > Friend.tech用户信息泄漏 DApp隐私如何

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

2023-08-23 09:36:39 | 来源:本站整理 | 作者:佚名
这篇文章主要介绍了friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?的相关资料,需要的朋友可以参考下本文相信内容

法律专家也提醒 friend.tech 可能会引起 SEC 的注意,同时上面提到的安全隐私风险,同样不能忽视。

上线仅十多天,Friend.Tech 就吸引着众多人群的狂热参与。 

从 Friend.tech 开启邀请制 Beta 测试以来,这款去中心化社交应用迅速吸引了大量用户,甚至吸引了大牌加密货币影响者、NBA 球员和 OnlyFans 创作者的关注。

这个最新的 Web3 社交应用程序建立在 Base Layer 2 区块链上,允许用户与他们最喜欢的影响者交易代币化的「股票」。但是在狂热之下,有些安全危机却引起了人们的注意。

8 月 21 日下午,Yearn 核心开发者 banteg 发推表示超过 10 万名 Friend.tech 的用户信息泄漏。泄漏的信息中包含用户的钱包地址和推特信息,引起了巨大的争议和关注。

Beosin 在第一时间对此次信息泄漏事件进行了调查,同时对 Friend.tech 项目也进行了详细的分析,以下是我们的分析内容。

Base 的热门新应用程序:什么是 Friend Tech?

Friend.tech 是构建在 Base 区块链上的去中心化社交应用,用户需要通过绑定推特和钱包来使用 Friend.tech 并以此获利。Friend.tech 的定位是将用户的影响力代币化,用户可以购买其他用户的“Shares”以获得和其他用户直接交流的权限。

Coinbase 的高级软件工程师 Yuga Cohler 在推文中强调,Friend Tech 是一个面向加密人士的去中心化社交媒体平台,Friend Tech 创新的核心在于利用“股票”作为数字资产。这些股份象征着与加密人士互动时的所有权。这个概念反映了股票市场的所有权原则,拥有股票相当于持有特定公司的股份。

目前 Friend.tech 官网较为简陋,尚未公布白皮书和路线图。目前已知的是,每个代币的 Shareholder 增加会导致 Token 上涨,交易还需要额外支付 10% 交易手续费,其中 5% 给协议,5% 给创作者。目前,Friend.tech 的用户数已超过 10 万,海外超 70 万粉丝的加密大 V Cobie 以及交易员 Ansem 已进驻 Friend.tech,Shares 的交易量已超过 3400 万美元。

Friend.tech 爆火的原因有哪些?

1. 推特博主引入流量

作为一款社交产品,Friend.tech 通过将影响力代币化为 KOL 提供了可观的收益。用户每次购买 Shares,对应的 KOL 都将获得 5% 的交易费用。因此,Friend.tech 对于影响力大的 KOL 是非常有吸引力的,KOL 可以通过 Friend.tech 获得粉丝经济的收益,而 KOL 的进驻又为 Friend.tech 带来了用户数和知名度的提升。

2. 空投预期

8 月 19 日,Friend.tech 在推特上宣布 Paradigm 将参与其种子轮融资,并且会与 Paradigm 合作构建进的社交工具。

由于用户使用 Friend.tech 会获得积分,Friend.tech 也宣布这些积分在为期 6 个月的测试阶段结束后会有特殊用途,空投会参考用户的活动情况。因此,Friend.tech 目前吸引了一大批空投猎人,为 Friend.tech 贡献数据量。

Friend.tech 隐私安全争议

8 月 21 日,Friend.tech 超过 10 万份用户数据泄漏。其原因是 Friend.tech 提供的 API 可以直接查询到用户的钱包和推特信息。可查询的 API 链接如下:

https://prod-api.kosxxxx.com/users/0xfd7232e66a69e1ae01e1e0ea8fab4776e2d325a9

(出于安全考虑,已隐去 API 的完整链接)

只需将链接中的地址(Friend.tech 创始人的地址)换成其它与 Friend.tech 交互的地址即可查询到相关信息。上述 API 链接的查询结果:

尽管 Friend.tech 回应这些信息是由 Friend.tech 的公开 API 爬取的,对于信息泄漏的报道是不负责任的,但是这些信息包含了钱包信息与推特账户信息,即链上信息和链下信息。泄漏的这些信息对于黑客或是中心化机构锁定钱包的实体信息来说已经足够。

此外,MEV 机器人可以利用目前 Friend.tech API 展示的信息和 Base 区块链上的信息监控是否有影响力的 KOL 加入 Friend.tech,从而在其加入的第一时间买入对应的 Shares,抬高价格,之后再卖出获利。目前,Friend.tech 上的 MEV 机器人已经十分泛滥,对于真实用户来说是不小的伤害。

此外,通过对于目前 API 信息和泄漏的 10 万 + 信息的进一步挖掘,黑客有可能可以获取更多有关用户的交易信息和身份信息,泄漏信息的用户将面临潜在的社会工程学攻击。

这些问题应该如何解决?

1. 尽快明确隐私政策

Friend.tech 已推出 12 天,但其隐私政策仍未出台。如果 Friend.tech 继续提供当前的 API 访问服务,那么 Friend.tech 应当在其隐私政策中明确指出 API 将会向所有人提供你的钱包信息和推特账户信息。如果 Friend.tech 后续修改 API 访问服务,也需在隐私政策中声明 Friend.tech 会为哪些用户提供哪些 API 服务,会为 API 调用者提供哪些信息。

Friend.tech 目前没有隐私政策

2. 调整 API 访问权限

尽管与 Friend.tech 合约交互的地址是公开在区块链上的,但这并不代表 Friend.tech 应该将地址与关联的推特账号暴露给所有人。Beosin 建议 Friend.tech 公开访问的 API 不应该同时包含用户的钱包信息和推特账户信息。此外,Friend.tech 应限制非一定数量的 Share 的持有者不能查看对应用户的钱包信息和推特账户信息,这样可以防止 MEV 机器人提前锁定进驻用户的身份进行抢跑。希望 Friend.tech 可以制定更加完善的 API 访问规则,更好地保护用户隐私和提供更好的用户体验。

3. 账户隔离

Beosin 建议用户使用全新的钱包交互 Friend.tech,该钱包的资金应直接由中心化交易所提出,以避免泄漏钱包地址的关联信息。同时,对于在 8 月 21 日之前交互过 Friend.tech 的用户,其用户数据已经泄露,应留心之后可能出现针对性的钓鱼攻击。

我们向各位读者朋友推荐下面这款 Beosin Alert 反钓鱼插件,可以识别 Web3 领域的大部分钓鱼网站,守护大家的钱包和资产安全。

总的来说,Friend.tech 很火热,Friend.Tech 已经积累了数万用户,这对于新兴的 Base 生态系统来说是一个充满希望的迹象。但有法律专家也提醒 Friend.tech 可能会引起 SEC 的注意,同时上面提到的安全隐私风险,同样不能忽视。

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!

你可能感兴趣的文章

币圈快讯

  • KAST用户条款引发争议:存入稳定币即转让所有权ether.fiCEO公开指其欺诈

    2026-07-09 12:32
    ether.fiCEOMikeSilagadze与KASTCEORaagulanPathy之间一场持续五天的公开争论,将KAST的用户存款条款推至舆论焦点。Silagadze公开截图显示KAST条款将用户存入的稳定币视为出售给KAST,所有权即刻转移至公司,且原条款中未提及用户可要求赎回。 经TheDefiant通过WaybackMachine验证,该条款至少沿用至6月25日。截至7月7日,KAST已更新条款,新增用户对未消费余额的赎回权,但法律结构不变——存款仍被定义为出售,公司总责任上限为500美元,注册地为科摩罗安茹安岛,适用塞舌尔法律。 此外,KAST此前承诺积分将一比一兑换代币,7月2日改为转换为代币化股权,引发用户不满。研究账户Decentralisedco指出,KAST通过将用户稳定币计入公司资产,可从闲置余额中赚取约4-5%的年化收益,这一结构不同于ether.fi等竞争对手通过用户控制的智能合约结算的模式。
  • RobinhoodChain链上活跃度激增DEX日交易量突破5.6亿美元

    2026-07-09 12:26
    RobinhoodChain生态近期迎来爆发式增长。链上首个迷因币CashCat市值突破1亿美元,DEX日交易量超过5.6亿美元。 链上日活跃地址数逼近20万,其中超过14万个为首次交易的新地址,显示大量新用户正在涌入。代币发行方面,单日诞生近1.6万个新代币,目前已有7个RobinhoodChain迷因币市值超过100万美元。
  • Odyssey窃密木马攻击macOS用户窃取钱包和系统敏感信息

    2026-07-09 12:14
    7月9日,据MoonlockLab监测,macOS平台Odyssey窃密木马近期激增,已影响100多个国家。该变种可窃取Chrome、Brave、Edge等浏览器密码、Cookie和自动填充数据,窃取Electrum、Exodus、LedgerLive等16个以上加密应用的钱包文件及约300个加密扩展ID,获取SSH密钥、云服务配置、Keychain数据库、Telegram和Discord数据,并在系统中安装开机自启的后台服务,将Ledger、Trezor和Exodus等应用替换为可盗取资产的木马版本。C2服务器地址已公开披露。
  • PanteraCapital:Hyperliquid潜在可触达市场日交易量约10万亿美元监管仍是最大风险

    2026-07-09 12:11
    据加密风投基金PanteraCapital发文,Hyperliquid的潜在可触达市场规模约为每日10万亿美元名义交易量,其中包括约2000亿美元的0DTE期权和杠杆型ETF交易、约2万亿美元的大宗商品衍生品交易,以及约8万亿美元、当前几乎尚未上链的外汇衍生品交易。 Pantera表示,若Hyperliquid能持续获取上述综合交易量中的低个位数份额,其收入潜力或可达当前水平的5倍。据测算,若HIP-3市场按年化名义交易量3650万亿美元计算,并获取1%市场份额,在2个基点综合费率及50%Hyperliquid经济分成假设下,Hyperliquid可获得约37亿美元收入。 不过,Pantera也指出,监管是Hyperliquid面临的最大风险。永续合约目前尚未在美国全面开放,若未来美国推动相关产品合法化并上线受监管平台,Hyperliquid可能面临更激烈竞争,部分美国用户交易量也可能转向合规场所。Pantera同时认为,Hyperliquid未来也有可能像其他平台一样推出面向美国市场的受监管版本。
  • 金色午报|7月9日午间重要动态一览

    2026-07-09 12:02
    7:00-12:00关键词:何一、淡马锡、霍尔木兹海峡1.美伊冲突升级,霍尔木兹海峡交通几近停滞;2.美媒:美伊在霍尔木兹海峡的冲突或持续一周乃至一个月;3.美军完成新一轮对伊朗打击,连续两日打击约170个军事目标;4.何一:对Meme没有偏见,不要将本人任何网络互动视作风向标;5.美联储纪要:官员警告通胀风险或迫使利率走高,AI投资成新变量;6.淡马锡披露持有Anthropic及OpenAI,组合目标加码AI相关资产至最多15%;7.Kalshi交易员预测:受最新挫折影响,霍尔木兹海峡航运要到2027年才能恢复正常。
  • 查看更多
更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 62000.65¥ 421344.01
    -1.18%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 1730.89¥ 11762.78
    -1.14%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 0.9992¥ 6.7903
    +0.01%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 568.43¥ 3862.93
    -0.1%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 1.0006¥ 6.7998
    +0%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.0878¥ 7.3924
    -0.66%
  • solana SOL Solana

    SOL

    Solana

    $ 77.3662¥ 525.76
    -1.65%
  • tron TRX 波场

    TRX

    波场

    $ 0.3291¥ 2.2364
    -0.42%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 67.1995¥ 456.67
    -1.19%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.072357¥ 0.4917
    -0.34%