Spot on Chain：friend.tech 11天产生2953枚ETH的手续费收入但项目存在通过API数据泄露

8月22日消息，Spot on Chain 在 friend.tech 发布的数据泄露回应下恢复称，虽然 API 中的钱包地址是由 friend.tech 生成的，但是可以很容易地追踪到用于为该地址提供资金的钱包，而很多人都没有意识到这一点。因此，friend.tech 应该在隐私政策中提及这一点。 当 API 以操纵或滥用的方式使用时，就会发生 API 违规。当前的访问控制级别设计不佳，许多机器人可以利用它轻松操纵价格。当高人气 KOL 加入，机器人直接抢先买入。friend.tech 可以调整 API 访问权限，例如限制仅 Shares（已更名为 Keys）购买者可以查看推文信息，可以在一定程度上减少机器人的影响（但认为这并不能完全阻止机器人），建议 friend.tech 更新合约以避免机器人，这会提供更好的体验。

8月21日消息，friend.tech官方在社交媒体上针对数据泄露相关言论发布回应称，报道中描述的情况只是有人抓取其公开的API，显示了公开钱包地址和公开Twitter用户名之间的关联。数据泄露的说法就像在说有人可以通过查看用户的公开Twitter信息来攻击用户一样，是不负责任的报道。

11月26日消息，据Supremacy安全团队旗下的Sheepdog漏洞监测系统报告， 奥飞娱乐旗下的喜羊羊与灰太狼NFT合约项目存在Supremacy先前所披露的CVE-2022-38217通用型安全漏洞。此漏洞可导致该项目的所有NFT的元数据(metadata)遭到提前泄露，黑客可预先筛选有价值的NFT，之后通过监测Mempool的方式定向mint指定的NFT ，最后在二级市场抛售获利。此前，Supremacy已尝试通过Discord联系官方，截止发文官方并无任何回应。

9月8日消息，高盛在周三的一份研究报告中表示，以太坊合并可能成为Coinbase上线更多质押产品的催化剂。由Will Nance领导的银行分析师写道，Coinbase继续增加其质押产品，最近宣布支持机构客户，增加对Cardano（ADA）和Solana（SOL）质押，并将最终支持合并后的以太坊（ETH）。 高盛表示，假设Coinbase平台上约20%-40%的ETH被质押，预计Coinbase将通过ETH质押产生2.5亿至6亿美元的额外质押收入。（CoinDesk）

2月8日消息，新加坡网络安全局 (CSA) 强调，Web开发平台WordPress的加密货币小工具插件“Cryptocurrency Widgets – Price Ticker & Coins List”包含一个可用于提取敏感信息的严重漏洞。根据安全公司CVE Program的说法，该插件是由名为“narinder-singh”的供应商提供的，2.0至2.6.5版本均被发现携带该漏洞。 上述漏洞允许未经身份验证的攻击者将额外的SQL查询附加到现有查询中，从而从数据库中提取敏感信息。新加坡网络紧急响应小组 (SingCERT)发布的安全公告对该插件漏洞的评分9.8/10，属于“严重”级别。（Cointelegraph）

金色财经报道，据慢雾创始人余弦在X（原推特）发文表示，这几天陆续有用户出现friend.tech账号被黑资产被盗情况，之前说过ft是中心化的，而且有信息泄露风险（这个风险一直存在）。你的ft账号要么是手机号注册，要么是Gmail邮箱或Apple账号，连个2FA都没，作恶者们当然紧盯着这些玩烂的攻击方式。