friend.tech網頁版推出!但被發現有潛在資安問題?
社交平台 friend.tech 可說是近期加密社群最熱門的應用,而今日 (21) 其正式推出了網頁版本,使用戶可於電腦上使用。不過,數據平台 DeFiLlama 創辦人 0xngmi 在檢查了 friend.tech 後卻發現了幾點問題,認為其前端要是遭駭,便可能造成巨大損失。
brief review of friendtech's security model:
– if friendtech frontend is hacked they can steal funds (just direct iframe to send the ETH)
– if privy iframe is hacked they can steal funds (it holds key)
– if privy dies/loses data, you lose your money, since they keep 2/3 shards pic.twitter.com/h0VLbaYihZ— 0xngmi (@0xngmi) September 20, 2023
friend.tech 的資安風險
根據 0xngmi 的說法,在其檢查了 friend.tech 的資安模型後發現了幾個問題:
- 如果 friend.tech 的前端遭駭,駭客即可竊取資金 (直接嵌入 iframe 以發送 ETH)。
- 如果 privy (支援 friend.tech 內建錢包技術的公司) iframe 遭駭,駭客即可竊取資金,因為 privy 持有私鑰。
- 如果 privy 停止運作或丟失數據,用戶將失去資產,因為 privy 持有 2/3 私鑰片段。
根據 privy 的私鑰保管機制,其將私鑰分成 3 片段,只要取得其中 2 片段即可組成完整私鑰。
廣告 - 內文未完請往下捲動
由於 friend.tech 並無要求用戶輸入助記詞,因此 0xngmi 認為除了 Auth share,Recovery share 的私鑰片段也是由 privy 所持有。
對此,0xngmi 警告要是 friend.tech 受到跟 Balancer 一樣的網頁前端攻擊,只要打開網頁就會導致資產流失,甚至不需要做任何操作。
(事件回顧:Balancer 前端遭受駭客攻擊!損失估計 23.8萬美元)
另外,0xngmi 也提醒網頁前端保存用戶私鑰的情形也出現在 friend.tech 的分岔平台中,所以只要駭客對網頁前端進行惡意升級,即可能導致私鑰及資產遺失。
