游乐游手机版
首页/web3.0/文章详情

Friend.tech 隐私风波:10万用户数据泄露,Web3社交的安全盲区在哪?

时间:2026-07-16 22:04
Friend tech 因API暴露超10万用户资产工具与推特关联信息引发隐私争议。本文梳理走红机制、隐私漏洞与MEV抢跑问题,并给出账户隔离、权限管理及防钓鱼建议,降低新手参与门槛与风险。

法律界人士留意到,Friend.tech 未来可能面临美国证券交易委员会(SEC)的监管关注;除此之外,应用本身的安全隐患与隐私泄露风险同样值得用户警惕。

大家都在用的虚拟币交易平台推荐:

上线仅十多天,Friend.tech 就迅速吸引了大量目光。这款采用邀请制Beta测试的Web3社交应用,不仅吸引了普通用户,也获得了加密货币领域意见领袖(KOL)、NBA球员和OnlyFans创作者等群体的热烈参与。

该应用运行在Base Layer 2上,核心玩法是让用户交易与特定影响者相关的代币化“股票”。不过,随着热度快速攀升,相关的安全问题也开始引发越来越多的讨论。

8月21日,Yearn核心开发者banteg透露,超过10万名Friend.tech用户的资产工具地址与推特账户信息被暴露,事件随即在社区中引发广泛担忧。

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

事件发生后,Beosin迅速启动调查,并梳理了Friend.tech的项目机制,以下是对相关问题的详细分析。

Base生态热门应用:Friend.tech到底是什么?

Friend.tech是一个基于Base区块链的去中心化社交应用。用户需要绑定自己的推特账号和资产工具才能使用,然后才能参与互动和交易。简单来说,它把一个人的影响力变成了可以买卖的资产:你可以购买其他人的“Shares”,从而获得与该用户直接对话的权限。

Coinbase高级软件工程师Yuga Cohler在推文中解释过,Friend.tech是一个面向加密用户的社交平台,创新点在于用“股票”这种形式来承载社交关系和互动权益。Shares被设计成一种数字资产,一定程度上代表着与人互动的“所有权”。

目前,Friend.tech官网信息比较有限,还没有公布白皮书和路线图。已知的机制包括:随着代币持有者数量的增加,代币价格会变化;每笔交易需额外支付10%的手续费,其中5%归协议,5%归创作者。数据显示,Friend.tech用户数已超过10万,Cobie、Ansem等知名加密人士已入驻,Shares交易量超过3400万美元。

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

Friend.tech是怎么火起来的?

1. KOL带来的流量和交易活跃度

作为社交产品,Friend.tech通过把影响力代币化,给KOL提供了新的赚钱方式。每次有人购买Shares,对应的KOL就能拿到5%的交易费用。这种机制对影响力大的KOL很有吸引力,他们入驻后不仅能赚到粉丝经济带来的收益,还能带动Friend.tech的用户规模和市场热度同步上升。

2. 空投预期拉动了用户参与

8月19日,Friend.tech在推特上透露,Paradigm参与了它的种子轮融资,并将合作构建新的社交工具。

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

同时,用户在使用过程中会获得积分。项目方提到,这些积分在6个月的测试阶段结束后会有特殊用途,具体安排会参考用户活跃度。所以,空投预期吸引了很多用户参与,也推动了平台数据和交互量的增长。

Friend.tech的隐私与安全争议

8月21日,Friend.tech被爆出有超过10万份用户关联数据暴露。原因是它提供的API可以直接查询用户资产工具和推特账户之间的对应关系。

相关API示例曾公开出现:

https://prod-api.kosxxxx.com/users/0xfd7232e66a69e1ae01e1e0ea8fab4776e2d325a9

(出于安全考虑,完整链接已隐藏)

只要把链接里的地址换成其他与Friend.tech交互过的地址,就能查到对应信息。上述API返回结果如下:

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

Friend.tech方面回应说,这些信息来自公开API,讲“信息泄漏”不太准确。但争议的核心在于:这些数据同时包含资产工具和推特账号信息,也就是链上身份和链下身份之间的直接挂钩。对于黑客或中心化机构来说,这类信息已经很有识别价值。

另外,MEV机器人可以借助Friend.tech API和Base链上的公开数据,监控有影响力的KOL是否新加入平台。一旦发现,就在第一时间买入对应的Shares,等价格上涨后卖出套利。当前,Friend.tech上的MEV机器人问题已经比较明显,对普通用户的体验造成了直接影响。

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

更进一步,如果攻击者把现有API信息和已暴露的10万+数据结合起来深挖,理论上还能拼凑出更多交易行为和身份线索。受影响的用户因此面临潜在的社会工程学攻击风险。

这些问题怎么应对?

1. 尽快明确隐私政策

Friend.tech上线12天后,仍然没有公布隐私政策。如果平台继续维持现在API的访问方式,就应该在隐私政策里说清楚:公开API会向外界提供哪些资产工具信息和推特账户信息。如果以后调整API权限,也要同步披露不同用户和不同调用方能看到的信息范围。

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

Friend.tech当时还没有提供隐私政策。

2. 调整API访问权限

虽然与Friend.tech合约交互的地址本身是链上公开信息,但这不意味着平台应该把地址和对应推特账号的关联关系向所有人开放。Beosin认为,公开访问的API不应该同时暴露用户的资产工具信息和推特账户信息。

另外,还应该限制未持有一定数量Shares的用户查看对应账户资产工具和推特信息的权限,减少MEV机器人提前锁定新入驻用户并进行抢跑的空间。更完善的API访问规则,有助于提升用户隐私保护水平和整体产品体验。

3. 账户隔离建议

Beosin建议用户使用全新的资产工具与Friend.tech交互,尽量通过中心化交易所直接向该资产工具提币,减少资产工具地址与既有身份标签的关联暴露。新手尤其容易忽略的是,用平时常用的资产工具参与这类社交应用,个人信息更容易被追踪。

同时,对于8月21日之前已经与Friend.tech交互过的用户,因为相关数据可能已经暴露,后续要特别警惕定向钓鱼、冒充客服和其他社会工程学攻击。不要只看表面收益,在尝鲜前先评估好个人信息的风险。

要降低钓鱼风险,可以用有安全识别功能的Web3工具,对可疑网站和交互请求进行甄别,进一步保护资产工具和资产安全。需要注意的是,这些工具并不能完全消除风险,只能作为辅助手段。

friend.tech 暴露 10 万 + 地址的关联信息,社交类 DApp 隐私该如何保障?

总体来看,Friend.tech的快速走红反映了Base生态在新应用方面的吸引力。作为一款上线时间较短的社交类DApp,它已经积累了数万用户,对新兴生态来说是积极信号。但法律合规层面的潜在关注,以及API暴露引发的隐私与安全问题,也值得行业和用户持续重视。在参与这类Web3社交应用时,用户需要主动关注个人信息暴露和潜在安全风险,对平台数据和权限保持基本警惕。

风险声明:本文内容仅供学习参考,不构成任何投资建议、交易建议或收益承诺。加密货币和迷因币市场波动较大,相关价格预测、市场数据及空投预期应以官方公告、交易所页面及实时行情平台为准。投资者需独立做出判断,谨慎决策,自行承担风险。识别风险,保护隐私,安全第一。

来源:https://www.jb51.net/blockchain/896497.html
上一篇Celestia收购Sovereign Labs,布局高性能区块链框架 下一篇SEC工作组会见Hyperliquid代表 探讨加密资产监管新动向
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多