GetBlock Magazine - Что произошло? Социальная платформа friend.tech на блокчейне Base от криптобиржи Coinbase (NASDAQ:COIN) хранит ключи пользователей во внешнем интерфейсе, заявил разработчик аналитической платформы DeFiLlama под ником @0xngmi. По его словам, аналогичным образом поступают и проекты, копирующие friend.tech, и такой способ хранения позволяет украсть ключи или средства при обновлении фронтенда.
Источник: Twitter (NYSE:TWTR).com
Что еще известно? Разработчик уточнил, что на некоторых платформах ключи сохраняются в памяти интерфейса, что также делает их уязвимыми для атак в случае некорректно проведенных обновлений.
Так, friend.tech для раздлеления ключа использует криптографическую схему Shamir’s secret sharing (SSS), и для его воссоздания и использования необходимо обращение к памяти интерфейса.
@0xngmi также добавил, что риску подвержены именно внутренние кошельки платформы, на которых хранятся «ключи» к профилям инфлюенсеров или монеты ETH, в то время как внешним кошелькам, которые используются для пополнения баланса, ничто не угрожает.
friend.tech запущена в сети второго уровня (L2) Base на основе блокчейна Ethereum 10 августа. Она позволяет торговать «ключами», которые открывают доступ к переписке с популярными пользователями X (ранее Twitter).
По данным CryptoRank на 18 сентября, платформа заняла первое место по объему комиссий за 30 дней среди децентрализованных приложений (DApps) с показателем 20,4 млн долларов. А после запуска функции отправки фото в топ пользователей friend.tech вышли OnlyFans-модели.
21 сентября разработчики представили браузерную десктоп-версию friend.tech наряду с приложением для смартфонов.
Источник: Twitter.com
При этом еще 21 августа стало известно об утечке данных свыше 100 000 пользователей friend.tech, позволяющих получить информацию о кошельках и их владельцах. А в компании Spot On Chain зафиксировали уязвимость, которая позволяет торговать акциями без пригласительного кода из контракта, при том что friend.tech доступна только по приглашениям.
В самой компании опровергли информацию об утечке, заявив, что «кто-то просто скачал общедоступный API, который показывает связь между публичными адресами кошельков и публичными никнеймами пользователей Twitter». «Это все равно что сказать, что кто-то взломал вас, просмотрев вашу публичную ленту в Twitter», — заключили представители friend.tech.
В конце августа команда friend.tech пригрозила пользователям аннулированием баллов за использование «форков и копий» платформы. Затем разработчики извинились за предложенные меры, а позже удалили из профиля X все свои посты по этой теме.