Spot on Chain:friend.tech 11天产生2953枚ETH的手续费收入但项目存在通过API数据泄露

2023-08-21 19:19:53

8月21日消息,链上数据监测平台Spot on Chain在社交媒体上发文表示,虽然friend.tech的发展很快,项目仅用11天就产生了2953枚ETH(约合500万美元)的手续费收入,当前用户份额总价值达到4435枚ETH(约合740万美元)。 但项目存在通过API数据泄露,以及可以在无邀请码的情况下从合约买卖份额的问题。从合约代码上来看,邀请码和应用程序对合约没有任何作用,用户可以通过链接MetaMask直接在Etherscan上进行买卖。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
08:23
Spot on Chain:friend.tech可以调整API访问权限,并在隐私政策中提及信息泄露事宜
8月22日消息,Spot on Chain 在 friend.tech 发布的数据泄露回应下恢复称,虽然 API 中的钱包地址是由 friend.tech 生成的,但是可以很容易地追踪到用于为该地址提供资金的钱包,而很多人都没有意识到这一点。因此,friend.tech 应该在隐私政策中提及这一点。 当 API 以操纵或滥用的方式使用时,就会发生 API 违规。当前的访问控制级别设计不佳,许多机器人可以利用它轻松操纵价格。当高人气 KOL 加入,机器人直接抢先买入。friend.tech 可以调整 API 访问权限,例如限制仅 Shares(已更名为 Keys)购买者可以查看推文信息,可以在一定程度上减少机器人的影响(但认为这并不能完全阻止机器人),建议 friend.tech 更新合约以避免机器人,这会提供更好的体验。
23:25
friend.tech回应数据泄露:暴露Twitter账号和地址的关联并不存在实质上的攻击行为或损失
8月21日消息,friend.tech官方在社交媒体上针对数据泄露相关言论发布回应称,报道中描述的情况只是有人抓取其公开的API,显示了公开钱包地址和公开Twitter用户名之间的关联。数据泄露的说法就像在说有人可以通过查看用户的公开Twitter信息来攻击用户一样,是不负责任的报道。
02:46
喜羊羊与灰太狼NFT存在Metadata泄露漏洞项目需警惕
11月26日消息,据Supremacy安全团队旗下的Sheepdog漏洞监测系统报告, 奥飞娱乐旗下的喜羊羊与灰太狼NFT合约项目存在Supremacy先前所披露的CVE-2022-38217通用型安全漏洞。此漏洞可导致该项目的所有NFT的元数据(metadata)遭到提前泄露,黑客可预先筛选有价值的NFT,之后通过监测Mempool的方式定向mint指定的NFT ,最后在二级市场抛售获利。此前,Supremacy已尝试通过Discord联系官方,截止发文官方并无任何回应。
20:55
高盛:Coinbase将通过ETH质押产生大量收益
9月8日消息,高盛在周三的一份研究报告中表示,以太坊合并可能成为Coinbase上线更多质押产品的催化剂。由Will Nance领导的银行分析师写道,Coinbase继续增加其质押产品,最近宣布支持机构客户,增加对Cardano(ADA)和Solana(SOL)质押,并将最终支持合并后的以太坊(ETH)。 高盛表示,假设Coinbase平台上约20%-40%的ETH被质押,预计Coinbase将通过ETH质押产生2.5亿至6亿美元的额外质押收入。(CoinDesk)
15:10
WordPress的加密货币小工具插件存在严重漏洞,存在泄露敏感信息的风险
2月8日消息,新加坡网络安全局 (CSA) 强调,Web开发平台WordPress的加密货币小工具插件“Cryptocurrency Widgets – Price Ticker & Coins List”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVE Program的说法,该插件是由名为“narinder-singh”的供应商提供的,2.0至2.6.5版本均被发现携带该漏洞。 上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中,从而从数据库中提取敏感信息。新加坡网络紧急响应小组 (SingCERT)发布的安全公告对该插件漏洞的评分9.8/10,属于“严重”级别。(Cointelegraph)
10:24
慢雾余弦:friend.tech是中心化的,有信息泄露风险
金色财经报道,据慢雾创始人余弦在X(原推特)发文表示,这几天陆续有用户出现friend.tech账号被黑资产被盗情况,之前说过ft是中心化的,而且有信息泄露风险(这个风险一直存在)。你的ft账号要么是手机号注册,要么是Gmail邮箱或Apple账号,连个2FA都没,作恶者们当然紧盯着这些玩烂的攻击方式。
Copyright © 2018-2022 211COIN版权所有.