Разработчик DeFiLlama заявил о возможности кражи ключей пользователей friend.tech

Что произошло? Социальная платформа friend.tech на блокчейне Base от криптобиржи Coinbase хранит ключи пользователей во внешнем интерфейсе, заявил разработчик аналитической платформы DeFiLlama под ником @0xngmi. По его словам, аналогичным образом поступают и проекты, копирующие friend.tech, и такой способ хранения позволяет украсть ключи или средства при обновлении фронтенда.

Источник: Twitter.com

Что еще известно? Разработчик уточнил, что на некоторых платформах ключи сохраняются в памяти интерфейса, что также делает их уязвимыми для атак в случае некорректно проведенных обновлений.

Так, friend.tech для раздлеления ключа использует криптографическую схему Shamir’s secret sharing (SSS), и для его воссоздания и использования необходимо обращение к памяти интерфейса.

@0xngmi также добавил, что риску подвержены именно внутренние кошельки платформы, на которых хранятся «ключи» к профилям инфлюенсеров или монеты ETH, в то время как внешним кошелькам, которые используются для пополнения баланса, ничто не угрожает.

friend.tech запущена в сети второго уровня (L2) Base на основе блокчейна Ethereum 10 августа. Она позволяет торговать «ключами», которые открывают доступ к переписке с популярными пользователями X (ранее Twitter).

По данным CryptoRank на 18 сентября, платформа заняла первое место по объему комиссий за 30 дней среди децентрализованных приложений (DApps) с показателем 20,4 млн долларов. А после запуска функции отправки фото в топ пользователей friend.tech вышли OnlyFans-модели.

21 сентября разработчики представили браузерную десктоп-версию friend.tech наряду с приложением для смартфонов.

Источник: Twitter.com

При этом еще 21 августа стало известно об утечке данных свыше 100 000 пользователей friend.tech, позволяющих получить информацию о кошельках и их владельцах. А в компании Spot On Chain зафиксировали уязвимость, которая позволяет торговать акциями без пригласительного кода из контракта, при том что friend.tech доступна только по приглашениям.

В самой компании опровергли информацию об утечке, заявив, что «кто-то просто скачал общедоступный API, который показывает связь между публичными адресами кошельков и публичными никнеймами пользователей Twitter». «Это все равно что сказать, что кто-то взломал вас, просмотрев вашу публичную ленту в Twitter», — заключили представители friend.tech.

В конце августа команда friend.tech пригрозила пользователям аннулированием баллов за использование «форков и копий» платформы. Затем разработчики извинились за предложенные меры, а позже удалили из профиля X все свои посты по этой теме.