A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., divulgou mais uma de suas análises as quais se pode modelar a forma como vemos as plataformas sociais baseadas em blockchain.
Os pesquisadores da CPR conduziram uma análise minuciosa na plataforma web3 da Friend[.]tech tendo encontrado diversas vulnerabilidades de segurança substanciais que, se exploradas, poderiam fornecer aos cibercriminosos controle sobre o banco de dados da plataforma, acesso a informações privadas do usuário, incluindo conversas privadas na sala de bate-papo, influenciar as classificações e pontos do usuário até o compartilhamento de arquivos e acesso total às informações de propriedade da Friend[.]Tech.
“Nós contactamos a equipe Friend[.]tech, no último dia 05 de setembro, para informar sobre nossas descobertas com o objetivo de melhorar a segurança e a proteção da experiência dos usuários da plataforma”, informa Oded Vanunu, gerente de Pesquisa de Vulnerabilidade de Produtos na Check Point Software.
“Esta investigação oferece uma visão única dos potenciais riscos e recompensas das plataformas web3 e levanta questões essenciais sobre a segurança e privacidade dos dados na era descentralizada”, alerta Vanunu.
Friend[.]tech: muito mais que outra plataforma de mídia social
A Friend[.]tech, o revolucionário ecossistema web3, representa mais que uma plataforma típica de mídia social. É uma das mais recentes plataformas web3, que depende de blockchain e modelos financeiros descentralizados. Opera como um ecossistema descentralizado onde a popularidade de um usuário transcende meros likes e retuítes – é transformada em tokens. “Imagine-a como uma bolsa de valores de personalidade, onde o valor flutua em resposta à dinâmica da oferta e da procura”, explica Vanunu.
Depois de conectar a conta de usuário de Friend[.]tech à conta na X correspondente (anteriormente Twitter), a plataforma permite que os usuários se envolvam na negociação de popularidade comprando e vendendo suas “ações”.
Lançada em agosto de 2023, a plataforma entrou em cena gerando entusiasmo na comunidade web3. Em um período relativamente curto, a Friend[.]tech registrou um volume excepcional de 38.884 ETH, totalizando aproximadamente US$ 64,6 milhões, todos distribuídos em 1,5 milhão de transações. Tal desempenho não apenas atraiu atenção, mas solidificou a posição da Friend[.]tech, classificando-a em segundo lugar na atividade global de protocolo on-chain, depois da Ethereum:
A detenção de ações vai além de um esforço financeiro; é um caminho para conteúdo e acesso exclusivos. Ao investir em ações de, digamos, um influenciador do Twitter, o usuário ganha acesso ao seu conteúdo exclusivo, uma sala de bate-papo dedicada e um canal de mensagens diretas. Em essência, ele cria um sistema em camadas baseado em tokens para interação dos fãs.
O que realmente aumenta o valor destes compartilhamentos é o acesso direto e não filtrado que concedem ao usuário. Para as personalidades do Twitter, quanto mais estimada a pessoa se torna, mais acionistas ela atrai. Isso, por sua vez, amplifica o valor do seu token social.
“No entanto, como acontece com todas as coisas novas, pode haver falhas ocultas. Embora a Friend[.]tech ofereça uma maneira única de lucrar com interações sociais, é preciso perguntar: será que a plataforma pode realmente manter nossos dados seguros? Mais importante ainda, será que isso pode garantir que nossos bate-papos permaneçam privados e fora do alcance de espectadores indesejados?”, explica Vanunu. Com a ascensão das plataformas sociais descentralizadas, estas preocupações são cruciais, lembrando a todos que a segurança é importante no mundo digital.
Descobertas dos pesquisadores
A equipe da CPR descobriu e identificou vulnerabilidades críticas que, se exploradas, poderiam dar ao atacante a capacidade de:
• Acessar o banco de dados da Friend[.]tech, fornecendo controle não autorizado sobre diversas funções, incluindo a capacidade de baixar todo o banco de dados.
• Recuperar todos os bate-papos privados que estão atrás de um acesso pago por padrão. Isso significa que as conversas, que deveriam ser visíveis apenas para usuários que pagaram, poderiam ser acessadas e divulgadas sem autorização, o que inclui também arquivos compartilhados no chat (imagens, vídeos etc.)
• Modificar os valores do banco de dados diretamente, especificamente – classificando “pontos” (que são ganhos através da compra/venda de ações de usuários), o que leva a uma parcela maior do lançamento aéreo futuro do aplicativo Friend[.]tech.
Os pesquisadores da Check Point Software recomendam que todos os usuários permaneçam atentos e tenham em mente as melhores práticas de segurança.
