分析去中心化金融(DeFi)协议的门户网站 DeFiLlama 背后的核心开发人员之一认为,对 Friend.tech(Coinbase 支持的二层平台 Base 上的去中心化社交媒体网络)的黑客攻击将更具“毁灭性”。 ”,而不是最近发生的 Balancer 漏洞,其前端被利用,据报道价值超过 238,000 美元的资产被盗。
在分析师看来 评估,社交媒体网络可以通过三种方式受到损害,指出从前端发起的任何漏洞都可能导致 Friend.tech 用户仅通过“打开应用程序”就损失资金,并补充说他们无需“做任何事情”。
如果 Friend.tech 用户遭到黑客攻击,可能会遭受资金损失的 3 种方式
在分析 Friend.tech 的安全模型后,分析师解释说,如果他们的直接 iframe 遭到破坏,黑客可能会未经授权访问用户的资金。
在 Web 开发中,直接 iframe 允许用户嵌入链接,这些链接可以来自社交媒体甚至 Google。 开发人员需要的只是在使用 CSS 进行格式化之前启用 HTML 添加。
直接iframe虽然使用方便、灵活,但也带来了安全风险。 这是因为,通过允许任何人插入 HTML 代码,恶意代理可以选择嵌入损坏的代码。
除了直接 iframe 之外,该分析师还指出,对 Friend.tech 的私有 iframe 的黑客攻击可能会导致资金损失。 他指出,该平台的私有 iframe 保存着私钥,允许用户轻松地将 dapp 与其非托管钱包(例如 MetaMask)连接起来。
Privy iframe 在 DeFi 中至关重要,它构成了在以太坊或 BNB 链等公共网络上运行的去中心化交易所 (DEX) 和不可替代代币 (NFT) 市场的关键基础设施。
privy iframe 允许开发人员嵌入 Privy 钱包。 Privy 钱包是非托管的,这意味着最终用户可以控制必要的私钥。 同时,它们是隔离的,以确保用户私钥不能被第三方甚至其他代码访问。
此外,分析师指出,如果 Friend.tech 的私有 iframe 丢失数据,资金将无法访问,因为它们持有 2/3 分片,本质上相当于丢失私钥。
平衡器黑客
9 月 19 日,Balancer(一种允许用户创建和管理自定义流动性池的 DeFi 协议)的前端上线 被黑客入侵。 Peckshield,区块链安全平台, 估计的 在 Balancer 要求用户不要与门户交互之前,至少 238,000 美元的资产已被盗。 在与协议交互时,一些用户指出他们被要求 改变 链并批准恶意合约。
来自 DeFiLlama 的统计数据 状态 至少 70 亿美元的资产被黑客窃取。 根据 DeFi 分析平台的数据,除了 Balancer 黑客攻击之外,其他导致重大损失的著名漏洞还包括黑客窃取 270 万美元的 Remitano 漏洞,以及造成超过 6100 万美元损失的 Curve 漏洞。
特征图片来自 Canva,图表来自 TradingView
