硬核解密friend.tech：深度解析FT的运作原理和风险

原文作者：0xKing

原文来源：King的闲谈

Odaily 编者按： friend.tech 近来迅速发展，例如仅用 11 天就产生了 2953 枚 ETH（约合 500 万美元）的手续费收入，当前用户份额总价值达到 4435 枚 ETH（约合 740 万美元）。不过，该项目也存在一些问题，包括通过 API 泄露数据，以及可以在无邀请码的情况下从合约买卖份额等。从合约代码上来看，邀请码和应用程序对合约没有任何作用，用户可以通过链接 MetaMask 直接在 Etherscan 上进行买卖。

Yearn 核心开发者 banteg 在推特发文表示，泄露的数据库显示， 101, 183 人授予 friend.tech 以他们的身份发帖的权限。对此慢雾创始人余弦转发称， 10 多万推特账号对应的 friend.tech 钱包地址泄露。这些钱包地址随便往上一层做下关联，还能得到更多隐私。

此后，friend.tech 回应质疑表示，有关报道中描述的情况只是有人抓取其公开的 API，显示了公开钱包地址和公开 X（原 Twitter）用户名之间的关联。所谓“数据泄露”的说法，就像在说有人通过查看用户在 X 上的公开信息进行攻击。

迅速蹿红的 friend.tech 是如何打造这场「社交影响力游戏」的？火爆背后又有哪些不容忽视的潜在风险？

本文有一定的阅读门槛，读者需要了解基本的 Dapp 实现方法，以及对于 Friend.tech 有一些了解和体验。无任何投资建议和不良引导，仅作为技术探讨。

概览

Friend.tech 巧妙地将去中心化金融（DeFi）和社交网络融为一体，创造了一种独特的“社交影响力游戏”。在这个实验中，你不仅可以与朋友互动，还能为他“用脚投票”。

项目方可谓是营销和传播方面的“战略大师”。他们不仅擅长饥饿营销和病毒式传播，还对去中心化金融（DeFi）有着深刻的理解和丰富的实践经验。正是基于这样的背景和优势，他们巧妙地将社交关系构建成了一个充满活力和流动性的自动做市商（AMM）市场。

前期项目的冷启动很简单，在 base 上疯狂刷交易里，引起链上数据异常，吸引了一些注意力，随着 Cobie 等 OG 的入场，火爆了社交网络。

产品机制的设计不仅具有创新性，而且在实际应用中显示出极高的潜力。从长远来看，这可能会改变我们对于社交网络和金融交互的传统认知。但是同时因为其简单粗暴的实现方式，为用户的隐私带来了不小的问题。

新颖实验点

将社交网络代币化（Tokenize social network）

当你买或卖股份时会发生什么？

1. KOL 需要购买自己的第一笔份额，然后其它人才能购买，购买的行为相当于用 ETH 给 KOL 的份额增加流动性，流动性作为数据关系是被存放在合约中的。（这个过程中并没有任何代币出现，仅仅是在智能合约的函数中被构造出流动性）

2. 合约中存储了数据关系，即用户购买的 share 属于哪个钱包，以及购买的数量。中心化服务器通过监听链上的交易事件 Event 来同步记录这一关系。

以一个例子来展开整个的流动性变化：

当前 Cobie 的 share buy price = 1.0080625 ETH，你花费 1.0080625 ETH 买入，这个时候池子加进去的流动性（90% ） 0.90725625 ETH， 10 %被 friend.tech 和 KOL 收取。

在你购买之后，buy price 升高了，新的 buy price = 1.024 ETH，但此时的 sell price = 0.99225 ETH，

如果你此时立刻卖出（就是刚买入又卖出），那么你卖出时，标记价格虽然是 0.99225 ETH，但是你实际只能收到 卖出价格的 90% ，即 0.893025 ETH，同样的， 10 %被 friend tech 和 KOL 收取。

也就是说，你这样一通操作，亏损了-0.115038 ETH，都给 Friend tech 和 KOL 贡献慈善了......

产品特性

1. 邀请制 Invite only

目前 beta 版本，用户只能通过邀请码来注册，饥饿营销，类似当年的 clubhouse

2. PWA to Mobile Only

• 用户只能在手机端网页使用 Friend tech
• Friend tech 使用了尘封许久的技术 PWA（这里了解详情），Dapp 不支持 PC 端使用，只能在手机上使用，并且需要 PWA 之后（就是手机浏览器，将当前网页添加到主屏幕），用户才能进入产品注册流程。

3. 自托管钱包 self-custodial wallet

每个新用户注册都自动给用户生成一个 EOA 钱包，私钥可导出。使用 privy.io 作为钱包供应商

4. 聊天室 Holders’ chat room

每个人的聊天室分为两类：

• 自己是房主，所有买了自己 share 的人都在一个聊天室
• 自己是访客，买了特定人的 share 之后加入这个人的聊天室，卖了 share 之后就无权进入

游戏套利策略 Game Strategy

流动性模型：

由于每个 KOL）的股份都没有自动做市商（AMMs），因此股价是使用以下的绑定曲线（bonding curve）公式来计算的（此公式是 Friend tech 自己发明的）：

y = x^ 2 / 16000

其中：

• y 代表以 ETH 计算的价格。

• x 代表当前时刻的总份额供应量。

利润模型：

详情见此表（强烈推荐打开看看）。

套利策略

回到第一个例子来展开整个的利润变化：

当前 Cobie 的 share buy price = 1.0080625 ETH，你花费 1.0080625 ETH 买入，这个时候池子加进去的流动性（90% ） 0.90725625 ETH， 10 %被 friend tech 和 KOL 收取。

在你购买之后，buy price 升高了，新的 buy price = 1.024 ETH，但此时的 sell price = 0.99225 ETH，

如果你此时立刻卖出，那么你卖出时，标记价格虽然是 0.99225 ETH，但是你实际只能收到 卖出价格的 90% ，即 0.893025 ETH，同样的， 10 %被 friend tech 和 KOL 收取。

也就是说，你这样一通操作，亏损了-0.115038 ETH，都给 Friend tech 和 KOL 贡献慈善了......

这意味着，如果你想要套利，那么必须等待价格足够高时，即在你之后，又不断有新的买家入场，那么这个买家是几位呢？按照模型中的计算可以找到，这个例子里你的买入位置在 127 名，直到总份额数达到 135 ，最多 8 个人再入场，你卖出时才开始盈利，盈利 0.00196 ETH，在此之前你卖出都是亏损的。

这是一个根据盈利模型得出的盈利规则的结论，盈利被买入位置和总份数两者的关系影响：

• 当买入位置在 1 ~ 18 的时候（即买入价小于 0.02025 ETH 时），总份数=买入位置+ 2 就开始盈利；
• 当买入位置在 19 ~ 36 的时候（即买入价在 0.02025 ETH 和 0.081 ETH 之间），总份数=买入位置+ 3 就开始盈利；
• 当买入位置在 37 ～ 55 的时候（即买入价在 0.081 ETH 和 0.1890625 ETH 之间），总份数=买入位置+ 4 就开始盈利；
• 当买入位置在 56 ～ 73 的时候（即买入价在 0.1890625 ETH 和 0.3330625 ETH 之间），总份数=买入位置+ 5 就开始盈利；
• ......

隐私风险与诈骗

隐私泄露问题：

Twitter 用户的链上钱包地址的泄露

详情解析：

1. Twitter ID 和 Friend tech 的用户钱包关系暴露。Friend tech 的查询 API 是公开的，直接暴露在网站上，任何人可以通过 API 查询得到用户的 Twitter 和其 Friend tech 钱包的地址

2. Friend tech 钱包的地址和导致用户原本在 Ethereum 上的钱包暴露。因为大多数 Friend tech 钱包的入账是用户通过自己在 Ethereum 的钱包进行跨链交易转账的，通过索引跨链交易的信息，所有给 Friend tech 充值过的用户钱包都会全部暴露，

以下是整个关系破解的流程图。（最早是由 Twitter 用户 @0x foobar 发现这一漏洞并且进行信息挖掘，在这个基础上，0x foobar 开发了一套合约和网页，允许用户通过自己的合约来直接从 friend tech 官方的合约购买特定 twitter 用户的份额，并把这个份额转化为 ERC 20 代币。）

foobar 做的网站：

Friend tech shares ERC 20 Factory 合约地址：0x68250Bf6d105Fe33f3120C5AfF385160d54EB5F2

假冒的积分代币诈骗

Friend tech 的积分目前都是中心化的，请不要相信链上的代币，都是诈骗

2023/08/20 链上已经出现假的 FTP token：

（假的哈，别被骗）

Reference