Os pesquisadores da CPR conduziram uma análise minuciosa na plataforma web3 da Friend[.]tech tendo encontrado diversas vulnerabilidades de segurança substanciais que, se exploradas, poderiam fornecer aos cibercriminosos controle sobre o banco de dados da plataforma, acesso a informações privadas do usuário, incluindo conversas privadas na sala de bate-papo, influenciar as classificações e pontos do usuário até o compartilhamento de arquivos e acesso total às informações de propriedade da Friend[.]Tech.

“Nós contactamos a equipe Friend[.]tech, no último dia 05 de setembro, para informar sobre nossas descobertas com o objetivo de melhorar a segurança e a proteção da experiência dos usuários da plataforma”, informa Oded Vanunu, gerente de Pesquisa de Vulnerabilidade de Produtos na Check Point Software. “Esta investigação oferece uma visão única dos potenciais riscos e recompensas das plataformas web3 e levanta questões essenciais sobre a segurança e privacidade dos dados na era descentralizada”, alerta Vanunu.

Friend[.]tech: muito mais que outra plataforma de mídia social

A Friend[.]tech, o revolucionário ecossistema web3, representa mais que uma plataforma típica de mídia social. É uma das mais recentes plataformas web3, que depende de blockchain e modelos financeiros descentralizados. Opera como um ecossistema descentralizado onde a popularidade de um usuário transcende meros likes e retuítes – é transformada em tokens. “Imagine-a como uma bolsa de valores de personalidade, onde o valor flutua em resposta à dinâmica da oferta e da procura”, explica Vanunu.

Depois de conectar a conta de usuário de Friend[.]tech à conta na X correspondente (anteriormente Twitter), a plataforma permite que os usuários se envolvam na negociação de popularidade comprando e vendendo suas "ações".

Lançada em agosto de 2023, a plataforma entrou em cena gerando entusiasmo na comunidade web3. Em um período relativamente curto, a Friend[.]tech registrou um volume excepcional de 38.884 ETH, totalizando aproximadamente US$ 64,6 milhões, todos distribuídos em 1,5 milhão de transações. Tal desempenho não apenas atraiu atenção, mas solidificou a posição da Friend[.]tech, classificando-a em segundo lugar na atividade global de protocolo on-chain, depois da Ethereum.

A detenção de ações vai além de um esforço financeiro; é um caminho para conteúdo e acesso exclusivos. Ao investir em ações de, digamos, um influenciador do Twitter, o usuário ganha acesso ao seu conteúdo exclusivo, uma sala de bate-papo dedicada e um canal de mensagens diretas. Em essência, ele cria um sistema em camadas baseado em tokens para interação dos fãs.

O que realmente aumenta o valor destes compartilhamentos é o acesso direto e não filtrado que concedem ao usuário. Para as personalidades do Twitter, quanto mais estimada a pessoa se torna, mais acionistas ela atrai. Isso, por sua vez, amplifica o valor do seu token social.

“No entanto, como acontece com todas as coisas novas, pode haver falhas ocultas. Embora a Friend[.]tech ofereça uma maneira única de lucrar com interações sociais, é preciso perguntar: será que a plataforma pode realmente manter nossos dados seguros? Mais importante ainda, será que isso pode garantir que nossos bate-papos permaneçam privados e fora do alcance de espectadores indesejados?”, explica Vanunu. Com a ascensão das plataformas sociais descentralizadas, estas preocupações são cruciais, lembrando a todos que a segurança é importante no mundo digital.

O que os pesquisadores encontraram?

A equipe da CPR descobriu e identificou vulnerabilidades críticas que, se exploradas, poderiam dar ao atacante a capacidade de:

• Acessar o banco de dados da Friend[.]tech, fornecendo controle não autorizado sobre diversas funções, incluindo a capacidade de baixar todo o banco de dados.

• Recuperar todos os bate-papos privados que estão atrás de um acesso pago por padrão. Isso significa que as conversas, que deveriam ser visíveis apenas para usuários que pagaram, poderiam ser acessadas e divulgadas sem autorização, o que inclui também arquivos compartilhados no chat (imagens, vídeos etc.)

• Modificar os valores do banco de dados diretamente, especificamente – classificando “pontos” (que são ganhos através da compra/venda de ações de usuários), o que leva a uma parcela maior do lançamento aéreo futuro do aplicativo Friend[.]tech.

Os pesquisadores da Check Point Software recomendam que todos os usuários permaneçam atentos e tenham em mente as melhores práticas de segurança.