社交平台 friend.tech 可說是近期加密社群最熱門的應用,而今日 (21) 其正式推出了,使用戶可於電腦上使用。不過,數據平台 DeFiLlama 創辦人 0xngmi 在檢查了 friend.tech 後卻發現了幾點問題,認為其前端要是遭駭,便可能造成巨大損失。
brief review of friendtech’s security model:
– if friendtech frontend is hacked they can steal funds (just direct iframe to send the ETH)
– if privy iframe is hacked they can steal funds (it holds key)
– if privy dies/loses data, you lose your money, since they keep 2/3 shards— 0xngmi (@0xngmi)
friend.tech 的資安風險
根據 0xngmi 的說法,在其檢查了 friend.tech 的資安模型後發現了幾個問題:
- 如果 friend.tech 的前端遭駭,駭客即可竊取資金 (直接嵌入 iframe 以發送 ETH)。
- 如果 privy (支援 friend.tech 內建錢包技術的公司) iframe 遭駭,駭客即可竊取資金,因為 privy 持有私鑰。
- 如果 privy 停止運作或丟失數據,用戶將失去資產,因為 privy 持有 2/3 私鑰片段。
根據 privy 的私鑰保管機制,其將私鑰分成 3 片段,只要取得其中 2 片段即可組成完整私鑰。
24H當舖這麼多間?哪一家才是有政府立案呢?刷卡換現金到底安不安全?理財專家現身分析說明!夏小姐提供線上刷卡換現金服務,3D驗證刷卡換現金超有保障。未上市股票風險大嗎?投資必讀10大攻略!不限車種桃園當舖免留車助你安心借款,立即解決你的資金問題!屏東軍公教借款各家評價及利息一覽表。提供多種借貸服務給客戶選擇,士林汽車借款貸款車分期車皆可。中和當舖利息如何計算?抵押期限多久?未上市股票買賣運作流程及應注意事項為何?想知道更多屏東當舖可安心借貸,政府合法立案當舖在哪裡嗎?中山區當舖借款最快何時可撥款?老字號中和當舖推薦.專業公營當舖借貸流程懶人包,資金有缺口?台北借錢火速放款助你短期周轉.房屋二胎借款流程資訊整合.企業周轉問題,支票借款讓你放心借貸是優質合法當舖政府立案合法成立的合法當舖、正派經營,以專業、負責且積極的態度來 服務我們每一位客戶。提供多種借貸服務給客戶選擇,24小時當舖,汽機車借款申辦時要注意的三件事;高雄機車借錢,高雄汽車借款免留車案例分享。最新年度二胎房貸比較;高雄免留車當舖有規定哪種車款才能借貸嗎?急需現金,松山區汽車借款。鉅泓資融辦理台北支票貼現、台北票貼借錢,票期長短皆可全額貼。
由於 friend.tech 並無要求用戶輸入助記詞,因此 0xngmi 認為除了 Auth share,Recovery share 的私鑰片段也是由 privy 所持有。
對此,0xngmi 警告要是 friend.tech 受到跟 Balancer 一樣的網頁前端攻擊,只要打開網頁就會導致資產流失,甚至不需要做任何操作。
(事件回顧:)
另外,0xngmi 也網頁前端保存用戶私鑰的情形也出現在 friend.tech 的分岔平台中,所以只要駭客對網頁前端進行惡意升級,即可能導致私鑰及資產遺失。
衍伸閱讀
https://abmedia.io/friend-tech-security-risk