Uno degli sviluppatori principali dietro DeFiLlama, un portale che analizza i protocolli di finanza decentralizzata (DeFi), ritiene che un attacco a Friend.tech, una rete di social media decentralizzata su Base, una piattaforma di livello 2 supportata da Coinbase, sarà più "devastante". "rispetto alla recente violazione di Balancer, il cui front-end è stato sfruttato e che, secondo quanto riferito, sono stati rubati asset per un valore di oltre 238.000 dollari.
Secondo la valutazione dell'analista, la rete di social media può essere compromessa in tre modi, affermando che qualsiasi exploit avviato dal front-end potrebbe far perdere fondi agli utenti di Friend.tech semplicemente "aprendo l'app", aggiungendo che non dovranno " Fai qualcosa."
3 modi in cui gli utenti di Friend.tech possono perdere fondi se violati
Analizzando il modello di sicurezza di Friend.tech, l'analista ha spiegato che se il loro iframe diretto fosse compromesso, un hacker potrebbe ottenere un accesso non autorizzato ai fondi dell'utente.
Nello sviluppo web, l'iframe diretto consente agli utenti di incorporare collegamenti, che possono provenire dai social media o anche da Google. Tutto ciò di cui lo sviluppatore ha bisogno è abilitare l'aggiunta HTML prima della formattazione utilizzando CSS.
Sebbene l'iframe diretto sia facile da usare e flessibile, introduce anche rischi per la sicurezza. Questo perché consentendo a chiunque di inserire codice HTML, gli agenti dannosi possono scegliere di incorporare codice danneggiato.
Oltre all'iframe diretto, l'analista ha anche sottolineato che un attacco all'iframe privato di Friend.tech può portare alla perdita di fondi. Nota che l'iframe privato della piattaforma contiene le chiavi private, consentendo agli utenti di connettere facilmente la dapp con i loro portafogli non custoditi come MetaMask.
L'iframe privato è fondamentale nella DeFi, formando l'infrastruttura critica per gli scambi decentralizzati (DEX) e i mercati di token non fungibili (NFT) che operano su reti pubbliche come Ethereum o la catena BNB.
Un iframe privato consente agli sviluppatori di incorporare un portafoglio Privy. Un portafoglio Privy non è custodiale, il che significa che l'utente finale ha il controllo delle chiavi private necessarie. Allo stesso tempo, sono isolati per garantire che le chiavi private dell'utente non siano accessibili a terzi o ad altri codici.
Inoltre, l'analista osserva che se l'iframe privato di Friend.tech perdesse dati, i fondi non sarebbero accessibili poiché contengono 2/3 frammenti, il che equivale essenzialmente alla perdita delle chiavi private.
L'hacking del bilanciatore
Il 19 settembre è stato violato il front-end di Balancer, un protocollo DeFi che consente agli utenti di creare e gestire pool di liquidità personalizzati. Peckshield, una piattaforma di sicurezza blockchain, ha stimato che almeno 238.000 dollari di asset fossero stati rubati prima che Balancer chiedesse agli utenti di non interagire con il portale. Interagendo con il protocollo, alcuni utenti hanno notato che veniva loro richiesto di modificare catene e approvare contratti dannosi.
Le statistiche di DeFiLlama affermano che almeno 7 miliardi di dollari di beni sono stati rubati tramite attacchi informatici. Secondo la piattaforma di analisi DeFi, oltre all'hacking di Balancer, altri exploit degni di nota che hanno comportato perdite significative includono la violazione di Remitano in cui gli hacker hanno rubato 2,7 milioni di dollari e quella di Curve in cui sono andati persi oltre 61 milioni di dollari.