Разработчик DeFiLlama заявил о возможности кражи ключей пользователей friend.tech
Еще в августе появлялась информация об утечке персональных данных свыше 100 000 пользователей
21.09.2023 - 09:20
803
4 мин
1
Что произошло? Социальная платформа friend.tech на блокчейне Base от криптобиржи Coinbase хранит ключи пользователей во внешнем интерфейсе, заявил разработчик аналитической платформы DeFiLlama под ником @0xngmi. По его словам, аналогичным образом поступают и проекты, копирующие friend.tech, и такой способ хранения позволяет украсть ключи или средства при обновлении фронтенда.
Что еще известно? Разработчик уточнил, что на некоторых платформах ключи сохраняются в памяти интерфейса, что также делает их уязвимыми для атак в случае некорректно проведенных обновлений.
Так, friend.tech для раздлеления ключа использует криптографическую схему Shamir’s secret sharing (SSS), и для его воссоздания и использования необходимо обращение к памяти интерфейса.
@0xngmi также добавил, что риску подвержены именно внутренние кошельки платформы, на которых хранятся «ключи» к профилям инфлюенсеров или монеты ETH, в то время как внешним кошелькам, которые используются для пополнения баланса, ничто не угрожает.
friend.tech запущена в сети второго уровня (L2) Base на основе блокчейна Ethereum 10 августа. Она позволяет торговать «ключами», которые открывают доступ к переписке с популярными пользователями X (ранее Twitter).
По данным CryptoRank на 18 сентября, платформа заняла первое место по объему комиссий за 30 дней среди децентрализованных приложений (DApps) с показателем 20,4 млн долларов. А после запуска функции отправки фото в топ пользователей friend.tech вышли OnlyFans-модели.
21 сентября разработчики представили браузерную десктоп-версию friend.tech наряду с приложением для смартфонов.
При этом еще 21 августа стало известно об утечке данных свыше 100 000 пользователей friend.tech, позволяющих получить информацию о кошельках и их владельцах. А в компании Spot On Chain зафиксировали уязвимость, которая позволяет торговать акциями без пригласительного кода из контракта, при том что friend.tech доступна только по приглашениям.
В самой компании опровергли информацию об утечке, заявив, что «кто-то просто скачал общедоступный API, который показывает связь между публичными адресами кошельков и публичными никнеймами пользователей Twitter». «Это все равно что сказать, что кто-то взломал вас, просмотрев вашу публичную ленту в Twitter», — заключили представители friend.tech.
В конце августа команда friend.tech пригрозила пользователям аннулированием баллов за использование «форков и копий» платформы. Затем разработчики извинились за предложенные меры, а позже удалили из профиля X все свои посты по этой теме.
Полезный материал?
Происшествия
Обыск, причина которого не была озвучена, состоялся через неделю после выборов, результаты которых пользователи Polymarket предсказали достаточно точно
14 нояб. 2024 г.
Рынки
Аналитики указывают на рост популярности первой криптовалюты в качестве актива-убежища
13 нояб. 2024 г.
Рынки
Продукт начнет торговаться на Швейцарской бирже 19 ноября
12 нояб. 2024 г.
Рынки
Нереализованная прибыль компании от инвестиций в первую криптовалюту приблизилась к 13 млрд долларов
12 нояб. 2024 г.
Рынки
Компания прогнозирует, что курс первой криптовалюты вырастет до $200 000 к концу следующего года
11 нояб. 2024 г.
Технологии
Также компания представила собственный индекс внедрения блокчейна
11 нояб. 2024 г.