Dass Innovationen des World Wide Web wie das Web3 und die damit einhergehenden Techniken und Strategien, Sicherheitslücken haben, die von Hackern mit kriminellen Absichten ausgenutzt werden können, darf nicht verwundern, ist jede neue Technik doch nie zu 100 Prozent sicher. Digitale Sicherheit entwickelt sich stets im Wechselspiel zwischen Herausforderungen, die Cyber-Kriminelle zu meistern lernen, und Cyber-Sicherheitsteams, die Exploits aufdecken und Produkte und Strategien zu verbessern helfen. Dennoch ist das Ausmaß der Sicherheitslücken, die das Research-Team eines renommierten Cyber-Sicherheitsanbietern auf einer Web3-Plattform entdeckt hat, erschreckend.
Web3 verspricht den Nutzern, dass die Technologie Ihnen Eigentum an Ihren digitalen Ressourcen verschafft. Wenn beispielsweise jemand in einem Spiel einen digitalen Gegenstand kauft, dann ist dieser bisher direkt an das Konto des Nutzers für dieses Spiel gebunden. Wenn der Anbieter des Spiels das Konto löscht, gehen diese digitalen Assets verloren – und damit der Gegenwert, den der Nutzer in die Spielgegenstände investiert hat. Web3 ermöglicht durch Non-Fungible Token (NFTs) direktes Eigentum. Niemand, nicht einmal der Anbieter eines Spiels, hat die Berechtigung, einem Nutzer dieses Eigentum wegzunehmen. Im Gegenteil, verabschiedet sich der Nutzer von diesem Spiel, kann er seine Spiel-Gegenstände auf offenen Märkten verkaufen oder tauschen und so den aktuellen Gegenwert weiter für sich nutzen.
Verschiedene Plattformen bieten ihren Nutzern inzwischen Web3. Die im August 2023 gestartete Plattform Friend.tech sorgte in der Web3-Community für einen regelrechten Hype und erreichte in relativ kurzer Zeit ein ausstehendes Volumen von 38.884 ETH (Ethereum), was etwa 60 Millionen Euro entspricht, verteilt auf eine Gesamtzahl von Transaktionen im Bereich von 1,5 Millionen. Friend.tech wurde damit zum weltweit zweitgrößten On-Chain-Protokoll. Die Plattform vermittelt gegen Investments einen Zugang zu exklusiven Inhalten. Wer etwa direkt in Anteile eines auf X (ehemals Twitter) agierenden Influencers investiert, erhält Zugang zu dessen einzigartigen Inhalten, einem speziellen Chatroom und einem Direktnachrichtenkanal.
Das Forschungsteam des Cyber-Sicherheitsanbieters Check Point hat allerdings kritische Schwachstellen aufgedeckt, die Angreifern relevante Missbrauchsmöglichkeiten einräumen. Die Sicherheitslücken gewähren Zugriff auf die Friend.tech-Datenbank und damit unautorisierte Kontrolle über verschiedenste Funktionen, einschließlich der Möglichkeit, die gesamte Datenbank herunterzuladen. Private Chats, die sich standardmäßig hinter einer Paywall befinden, können geöffnet werden, so dass Unterhaltungen, die eigentlich nur für zahlende Nutzer sichtbar sein sollten, unbefugt abgerufen und offengelegt werden können, einschließlich der im Chat ausgetauschten Dateien (Bilder, Videos etc.). Datenbankwerte, insbesondere Ranking-Punkte, die eigentlich ausschließlich über den Kauf beziehungsweise den Verkauf von Nutzeranteilen erworben werden, können willkürlich geändert werden.
Im Interesse der Sicherheit von Nutzern hat das Check-Point-Research-Team seine Erkenntnisse mit Friend.tech geteilt. Ein Unternehmenssprecher von Check Point kommentiert die Entwicklung wie folgt: „Friend.tech bietet zwar eine einzigartige Möglichkeit, von sozialen Interaktionen zu profitieren, doch muss auch hier die Sicherheit der eigenen Daten kritisch hinterfragt werden und zudem gewährleistet werden, dass Chats privat und für unerwünschte Beobachter unzugänglich bleiben.“ Der Sicherheitsanbieter warnt zudem davor, dass mit dem Aufkommen dezentralisierter sozialer Plattformen Fragen wie diese immer kritischer würden und aufzeigten, „wie wichtig Sicherheit in der digitalen Welt ist und bleibt“.