Friend.tech暴露10万+地址的关联信息，社交类Dapp隐私该如何保障？

上线仅十多天，Friend.Tech 就吸引着众多人群的狂热参与。 

从Friend.tech开启邀请制 Beta 测试以来，这款去中心化社交应用迅速吸引了大量用户，甚至吸引了大牌加密货币影响者、NBA 球员和 OnlyFans 创作者的关注。

这个最新的 Web3 社交应用程序建立在Base Layer 2区块链上，允许用户与他们最喜欢的影响者交易代币化的“股票”。但是在狂热之下，有些安全危机却引起了人们的注意。

8月21日下午，Yearn 核心开发者 banteg 发推表示超过10万名Friend.tech的用户信息泄漏。泄漏的信息中包含用户的钱包地址和推特信息，引起了巨大的争议和关注。

Beosin 在第一时间对此次信息泄漏事件进行了调查，同时对 Friend.tech 项目也进行了详细的分析，以下是我们的分析内容。 

Base 的热门新应用程序：什么是 Friend Tech？

Friend.tech 是构建在Base区块链上的去中心化社交应用，用户需要通过绑定推特和钱包来使用 Friend.tech 并以此获利。Friend.tech 的定位是将用户的影响力代币化，用户可以购买其他用户的“Shares”以获得和其他用户直接交流的权限。

Coinbase 的高级软件工程师 Yuga Cohler 在推文中强调，Friend Tech 是一个面向加密人士的去中心化社交媒体平台，Friend Tech 创新的核心在于利用“股票”作为数字资产。这些股份象征着与加密人士互动时的所有权。这个概念反映了股票市场的所有权原则，拥有股票相当于持有特定公司的股份。

目前Friend.tech官网较为简陋，尚未公布白皮书和路线图。目前已知的是，每个代币的Shareholder增加会导致Token上涨，交易还需要额外支付10%交易手续费，其中5%给协议，5%给创作者。目前，Friend.tech 的用户数已超过10万，海外超70万粉丝的加密大V Cobie 以及交易员 Ansem 已进驻 Friend.tech，Shares的交易量已超过3400万美元。

Friend.tech爆火的原因有哪些？

1.  推特博主引入流量

作为一款社交产品，Friend.tech 通过将影响力代币化为KOL提供了可观的收益。用户每次购买Shares，对应的KOL都将获得5%的交易费用。因此，Friend.tech 对于影响力大的KOL是非常有吸引力的，KOL可以通过 Friend.tech 获得粉丝经济的收益，而KOL的进驻又为 Friend.tech 带来了用户数和知名度的提升。

2.  空投预期

8月19日，Friend.tech 在推特上宣布Paradigm将参与其种子轮融资，并且会与Paradigm合作构建进的社交工具。

由于用户使用 Friend.tech 会获得积分，Friend.tech 也宣布这些积分在为期6个月的测试阶段结束后会有特殊用途，空投会参考用户的活动情况。因此，Friend.tech 目前吸引了一大批空投猎人，为 Friend.tech 贡献数据量。 

Friend.tech隐私安全争议

8月21日，Friend.tech 超过10万份用户数据泄漏。其原因是 Friend.tech 提供的API可以直接查询到用户的钱包和推特信息。可查询的API链接如下：https://prod-api.kosxxxx.com/users/0xfd7232e66a69e1ae01e1e0ea8fab4776e2d325a9

（出于安全考虑，已隐去API的完整链接）

只需将链接中的地址（Friend.tech创始人的地址）换成其它与 Friend.tech 交互的地址即可查询到相关信息。上述API链接的查询结果：

尽管 Friend.tech 回应这些信息是由 Friend.tech 的公开API爬取的，对于信息泄漏的报道是不负责任的，但是这些信息包含了钱包信息与推特账户信息，即链上信息和链下信息。泄漏的这些信息对于黑客或是中心化机构锁定钱包的实体信息来说已经足够。

此外，MEV机器人可以利用目前Friend.tech API展示的信息和Base区块链上的信息监控是否有影响力的KOL加入 Friend.tech，从而在其加入的第一时间买入对应的Shares，抬高价格，之后再卖出获利。目前，Friend.tech 上的MEV机器人已经十分泛滥，对于真实用户来说是不小的伤害。

此外，通过对于目前API信息和泄漏的10万+信息的进一步挖掘，黑客有可能可以获取更多有关用户的交易信息和身份信息，泄漏信息的用户将面临潜在的社会工程学攻击。 

这些问题应该如何解决？

1.  尽快明确隐私政策

Friend.tech 已推出12天，但其隐私政策仍未出台。如果 Friend.tech 继续提供当前的API访问服务，那么 Friend.tech 应当在其隐私政策中明确指出API将会向所有人提供你的钱包信息和推特账户信息。如果 Friend.tech 后续修改API访问服务，也需在隐私政策中声明 Friend.tech 会为哪些用户提供哪些API服务，会为API调用者提供哪些信息。

Friend.tech目前没有隐私政策

2.  调整API访问权限

尽管与 Friend.tech 合约交互的地址是公开在区块链上的，但这并不代表 Friend.tech 应该将地址与关联的推特账号暴露给所有人。Beosin建议 Friend.tech 公开访问的 API 不应该同时包含用户的钱包信息和推特账户信息。此外，Friend.tech 应限制非一定数量的Share的持有者不能查看对应用户的钱包信息和推特账户信息，这样可以防止MEV机器人提前锁定进驻用户的身份进行抢跑。希望 Friend.tech 可以制定更加完善的 API 访问规则，更好地保护用户隐私和提供更好的用户体验。

3.  账户隔离

Beosin建议用户使用全新的钱包交互 Friend.tech，该钱包的资金应直接由中心化交易所提出，以避免泄漏钱包地址的关联信息。同时，对于在8月21日之前交互过 Friend.tech的用户，其用户数据已经泄露，应留心之后可能出现针对性的钓鱼攻击。

我们向各位读者朋友推荐下面这款Beosin Alert反钓鱼插件，可以识别Web3领域的大部分钓鱼网站，守护大家的钱包和资产安全。

反钓鱼插件下载：https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en

总的来说，Friend.tech很火热，Friend.Tech 已经积累了数万用户，这对于新兴的 Base 生态系统来说是一个充满希望的迹象。但有法律专家也提醒Friend.tech可能会引起SEC的注意，同时上面提到的安全隐私风险，同样不能忽视。

Beosin作为一家全球领先的区块链安全公司，在全球10多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务，公司致力于Web3生态的安全发展，已为全球3000多个企业提供区块链安全技术服务，包括HashKey Group、Amber Group、BNB Chain等，已审计智能合约和公链主网超3000份，包括PancakeSwap、Ronin Network、OKCSwap等。欢迎点击公众号留言框，与我们联系。