社交软体 Bondee 在今年 1 月瞬间爆红,但社群爆发疑似盗刷信用卡的资安疑虑,让 Bondee 成了 Web3 产品的活教材。
(前情提要:必读资安指南》CEX 纷纷暴雷,如何保障你的加密货币资产安全? )
(背景补充:V 神「加密货币美好未来的延伸定义」: 以太坊登入成功、社交起飞、扩容、隐私和安全性 )
打着 3D 建模的虚拟社交软体 Bondee,在今年 1 月发行商大力推送广告、请网红「点火」的情况下,於农历新年前数日开始大红,许多台湾用户注册 Bondee 後,创建自己的分身 Avatar 人偶变换造型,并利用巧思布置自己的虚拟住家,邀请好友拜访参观,数天内勾动了大批年轻用户相邀注册,引发现象级下载量。
Bondee 热度快速衰退,败在资安疑虑
不但有虚拟世界的互动功能,Bondee 在官方说明中还包含了 NFT 展示、互动功能,未来还可能进一步开放 NFT 市场,因此被加密货币市场用户视为另一个爆红的 Web3 社交服务。
但根据新加坡海峡时报报导,短短数日内就有新加坡、马来西亚等亚洲用户声称自己出现的信用卡、借记卡在注册 Bondee 後被未授权盗刷的现象,虽然这些盗刷事件并未证实与 Bondee 有关,但相关讨论不断在 Twitter、抖音和其他社交平台出现,台湾内也传出疑似灾情。导致在农历新年的 10 天假期内, Bondee 热度迅速消退。
Bondee 背後的营运公司是注册在新加坡的 Metadream,在 27 日,该公司出面公告,称用户的信用卡资讯透过 Bondee 平台而被泄漏的说法是「虚假且不真实的」:
我们想向用户保证,这些谣言是虚假和不真实的,因为Metadream目前不收集使用者的信用卡资讯或任何其他财务资讯。 我们还对我们的系统进行了预防性审查,并希望向用户保证我们的系统和使用者的个人资料保持安全和保障
检视 Bondee 的 NFT 条款
由於 Bondee 在条款中包含着 NFT 整合企划,也能看出发行商表示能在平台内与朋友交易 NFT,令人好奇该软体是如何整合区块链服务。我们能在 Bondee 的隐私政策里找到关於 NFT 与区块链钱包的描述段落:
您可以在平台内的公共区块链上建立一个基於区块链的钱包,使用法定货币购买 B-Beans;然後使用此类 B-Beans 为自己或您的朋友购买平台上公开提供的NFT产品。 使用区块链技术,您的NFT产品将储存在基於区块链的钱包中。
我们将收集上述购买期间生成的资料,包括钱包余额、B-Beans订单资讯和 NFT 订单资讯。 请注意,您的钱包助记短语、私钥、钱包密码和其他私人资料将仅储存在您的个人装置上,我们无法访问此类资料。
条款行文内似乎没有特别问题存在,但我们还是要小心谨慎,在描述中「在平台内的公共区块链上建立一个基於区块链的钱包」意味用户必须使用该平台 Bondee 所指定的区块链钱包,而「使用法定货币购买 B-Beans」,则是指用户必须授权支付到这个钱包内。於是,该钱包的安全性才是重点。
Bondee 仅是 Web3 产品的资安范例
由於没有百分之百的证据,证实 Bondee 就是导致信用卡盗刷的元凶,但疑虑消息四处传播造成 Bondee 热度剧烈消退,也成了一个 Web3 产品因为资安疑虑而惨遭重击的活生生范例;一但让用户提起一分担心,发行团队就要花上十分力气去澄清并担保产品的安全,不然,这份担心就成了无名野火,在社群上无止境地窜烧,社群的传言耳语最难扑灭,因为天底下没有任何伟力,能挡着别人的嘴。
Bondee 发行商 Metadream 虽设在新加坡,并称自家是美韩共同协作开发,但轻易被发现公司前身是中国因有资安疑虑问题而无预警下架的App「啫喱」,更引发二度疑虑,这也让市场了解,资安方面的名声,很可能长久被留在用户记忆、或是网路纪录里。
最後,在使用 Web3 相关 App 方面,有两点资安守则想提醒各位读者:
- 使用任何 App,手机授权「全部照片、镜头、麦克风」都需特别留意。
- 使用任何支付相关的 App,都要小心信用卡资讯是否经由正常的金融提供商、或是支付商处理,避免盗刷。
📍相关报导📍
小红书整合 Conflux 链上 NFT!可连动 R-Space 藏品展示页
Moonbird 创办人遭钓鱼攻击!骇走近 200万镁 NFT,包含 Chrome Squiggles..
如何布局NFT策略?所有公司应执行的三件事