剖析》虛擬社交 Bondee「爆紅10天即...

首頁
資訊
剖析》虛擬社交 Bondee「爆紅10天即熄火」，Web3 資安裸奔的下場

剖析》虛擬社交 Bondee「爆紅10天即熄火」，Web3 資安裸奔的下場

發表於 2023-01-29 20:00 作者：區塊鏈情報速遞pro

社交軟體 Bondee 在今年 1 月瞬間爆紅，但社群爆發疑似盜刷信用卡的資安疑慮，讓 Bondee 成了 Web3 產品的活教材。（前情提要：必讀資安指南》CEX 紛紛暴雷，如何保障你的加密貨幣資產安全？）（背景補充：V 神「加密貨幣美好未來的延伸定義」: 以太坊登入成功、社交起飛、擴容、隱私和安全性）

打著 3D 建模的虛擬社交軟體 Bondee，在今年 1 月發行商大力推送廣告、請網紅「點火」的情況下，於農曆新年前數日開始大紅，許多台灣用戶註冊 Bondee 後，創建自己的分身 Avatar 人偶變換造型，並利用巧思佈置自己的虛擬住家，邀請好友拜訪參觀，數天內勾動了大批年輕用戶相邀註冊，引發現象級下載量。

Bondee 熱度快速衰退，敗在資安疑慮

不但有虛擬世界的互動功能，Bondee 在官方說明中還包含了 NFT 展示、互動功能，未來還可能進一步開放 NFT 市場，因此被加密貨幣市場用戶視為另一個爆紅的 Web3 社交服務。

但根據新加坡海峽時報報導，短短數日內就有新加坡、馬來西亞等亞洲用戶聲稱自己出現的信用卡、借記卡在註冊 Bondee 後被未授權盜刷的現象，雖然這些盜刷事件並未證實與 Bondee 有關，但相關討論不斷在 Twitter、抖音和其他社交平台出現，台灣內也傳出疑似災情。導致在農曆新年的 10 天假期內， Bondee 熱度迅速消退。

Bondee 背後的營運公司是註冊在新加坡的 Metadream，在 27 日，該公司出面公告，稱用戶的信用卡資訊透過 Bondee 平台而被洩漏的說法是「虛假且不真實的」：

我們想向用戶保證，這些謠言是虛假和不真實的，因為Metadream目前不收集使用者的信用卡資訊或任何其他財務資訊。我們還對我們的系統進行了預防性審查，並希望向用戶保證我們的系統和使用者的個人資料保持安全和保障

檢視 Bondee 的 NFT 條款

由於 Bondee 在條款中包含著 NFT 整合企劃，也能看出發行商表示能在平台內與朋友交易 NFT，令人好奇該軟體是如何整合區塊鏈服務。我們能在 Bondee 的隱私政策裡找到關於 NFT 與區塊鏈錢包的描述段落：

您可以在平台內的公共區塊鏈上建立一個基於區塊鏈的錢包，使用法定貨幣購買 B-Beans；然後使用此類 B-Beans 為自己或您的朋友購買平臺上公開提供的NFT產品。使用區塊鏈技術，您的NFT產品將儲存在基於區塊鏈的錢包中。

我們將收集上述購買期間生成的資料，包括錢包餘額、B-Beans訂單資訊和 NFT 訂單資訊。請注意，您的錢包助記短語、私鑰、錢包密碼和其他私人資料將僅儲存在您的個人裝置上，我們無法訪問此類資料。

條款行文內似乎沒有特別問題存在，但我們還是要小心謹慎，在描述中「在平台內的公共區塊鏈上建立一個基於區塊鏈的錢包」意味用戶必須使用該平台 Bondee 所指定的區塊鏈錢包，而「使用法定貨幣購買 B-Beans」，則是指用戶必須授權支付到這個錢包內。於是，該錢包的安全性才是重點。

Bondee 僅是 Web3 產品的資安範例

由於沒有百分之百的證據，證實 Bondee 就是導致信用卡盜刷的元兇，但疑慮消息四處傳播造成 Bondee 熱度劇烈消退，也成了一個 Web3 產品因為資安疑慮而慘遭重擊的活生生範例；一但讓用戶提起一分擔心，發行團隊就要花上十分力氣去澄清並擔保產品的安全，不然，這份擔心就成了無名野火，在社群上無止境地竄燒，社群的傳言耳語最難撲滅，因為天底下沒有任何偉力，能擋著別人的嘴。

Bondee 發行商 Metadream 雖設在新加坡，並稱自家是美韓共同協作開發，但輕易被發現公司前身是中國因有資安疑慮問題而無預警下架的App「啫喱」，更引發二度疑慮，這也讓市場了解，資安方面的名聲，很可能長久被留在用戶記憶、或是網路紀錄裡。

最後，在使用 Web3 相關 App 方面，有兩點資安守則想提醒各位讀者：