أدى الانفجار المستمر Friend.tech مرة أخرى إلى لفت انتباه السوق إلى مسار SocialFi. في الوقت الحاضر ، يظهر المنافسون Friend.tech لكل سلسلة واحدا تلو الآخر ، TOMO لسلسلة Linea و New Bitcoin City من سلسلة NOS بابتكاراتهم الخاصة ، وقد تجاوزت TVL الخاصة بهم 1 مليون دولار في فترة زمنية قصيرة ، لتصبح مبتدئا في مسار SocialFi.
في حين أن مشاريع SocialFi هذه على قدم وساق ، فقد حظيت المخاطر الأمنية المرتبطة بها بالكثير من الاهتمام من المجتمع. نهاية أغسطس **Friend.tech تسرب الخصوصية بسبب تصميم الوصول إلى واجهة برمجة التطبيقات **؛ في 7 أكتوبر ، كانت هناك ثغرة أمنية في ** Stars Arena على سلسلة Avalanche ** ، وعاد المتسللون إلى وظيفة 0x5632b2e4 الاتصال في عقدهم ، مما أدى إلى حساب نهائي كبير بشكل غير عادي لوظيفة sellShares ، وخسر البروتوكول حوالي 2.9 مليون دولار.
في السابق ، أجرت Beosin تحليلا مفصلا لآليات التصميم والمخاطر الأمنية المحتملة ل Friend.tech. اليوم ، يقوم فريق أمان Beosin بتحليل المشاريع الناشئة TOMO و New Bitcoin City لمساعدتك على فهم المخاطر المحتملة.
مقدمة تومو
TOMO هي منافس Friend.tech لشبكة Linea Layer 2 ، وقد أطلقت آلية "تصويت" بناء على Friend.tech. التصويت هو بيانات اعتماد مستخدمي Twitter قبل التسجيل في TOMO ، ويمكن للمستخدمين الآخرين تداول تصويت المستخدمين غير المسجلين مباشرة. بعد تسجيل المستخدم ، سيتم تحويل التصويت المقابل إلى مفتاح.
يتجنب إدخال التصويت انتشار الروبوتات المتسارعة إلى حد ما ، مما يلغي الحاجة إلى مراقبة مستخدمي Twitter الذين يدخلون ويصدرون المعاملات بشكل عشوائي. في الوقت نفسه ، سيتم توزيع 5٪ من عائدات Trading Vote على مستخدم Twitter المقابل ل Vote ، والذي يمكنه الحصول على الدخل من خلال التسجيل في TOMO. يوفر هذا حافزا اقتصاديا لمستخدمي Twitter للانتقال إلى TOMO.
** تحليل مخاطر تومو **
أكملت Beosin سابقا مراجعة Tifo.trade ، أكبر بورصة مشتقات في سلسلة Linea العامة. هذه المرة ، قمنا بمسح عقود أعمال TOMO من خلال أداة Beosin VaaS ، جنبا إلى جنب مع تحليل خبراء تدقيق الأمان في Beosin ، ووجدنا أن TOMO لديها المخاطر التالية:
1 مخاطر الأعمال
عقد عمل TOMO مفتوح المصدر ، وتكشف نظرة على رمز العقد الخاص به أن نموذج التسعير الأساسي الخاص به مشابه لنموذج Friend.tech. إذا كان S هو عقد الحالي، فإن نموذج السعر الرئيسي لشركة TOMO هو S^2/43370، ونموذج السعر ل Friend.tech هو S^2/16000. هذا يجعل سعر TOMO الرئيسي يرتفع بشكل أبطأ ، مما يجذب المزيد من المستخدمين للمشاركة في المعاملة إلى حد ما.
ومع ذلك ، لم يتغير الجوهر ، لأنه كلما زاد المبلغ الإجمالي للمفتاح ، ارتفع سعر الشراء وارتفع سعر البيع ، قد يكون هناك مستخدمون أوائل يشترون عددا كبيرا من Key ، وقد تتكبد الأسهم التي تم شراؤها من قبل المستخدمين اللاحقين خسائر ، وتحتاج إلى الانتباه إلى المخاطر عند المشاركة في الاستثمار.
نموذج تسعير تومو
نموذج تسعير Friend.tech
2 مخاطر المركزية
على غرار Friend.tech المخاطر ، لا يمكن تجاهل المخاطر المركزية ل TOMO. يمكن لمالك العقد تعديل معدل العمولة إلى أجل غير مسمى ، وذلك لفرض رسوم عالية ، ويمكنه حتى تعيين رسوم معالجة بنسبة 100٪ بحيث لا يمكن للمستخدمين تلقي الأموال من البيع ، أو تعيين معدل رسوم مناولة يزيد عن 100٪ لتعليق وظيفة البيع والشراء.
مصدر:
3 مخاطر المفتاح الخاص (محفظة ERC-4337)
وفقا للمعلومات التي تعرضها TOMO ، فإن المحفظة التي تم إنشاؤها بواسطة TOMO بعد تسجيل المستخدم هي محفظة ERC-4337 (محفظة ملخص الحساب). أثار المجتمع أسئلة حول أمان أصول هذه المحافظ.
بادئ ذي بدء ، يستخدم Friend.tech ومعظم المنافسين مثل Stars Arena محافظ EOA ، وهي محافظ عادية مملوكة لجهات خارجية. تتطلب محافظ EOA توقيع كل معاملة يتم بدؤها بمفتاح خاص ، وهو أمر مرهق نسبيا للتفاعل معه. في الوقت نفسه ، يصعب على المستخدمين الاحتفاظ بالمفاتيح الخاصة بشكل آمن ، وبعد سرقة محفظة Deribit الساخنة بقيمة 28 مليون دولار ، شارك Beosin بالتفصيل كيفية الحفاظ على أمان المحفظة.
لحل هذه المشكلات ، يقترح ERC-4337 تجريد الحساب عن طريق إدخال كائن معاملة يسمى "UserOperation" ، حيث يمكن للمستخدمين استخدام حساب محفظة واحد مع كل من العقد الذكي ووظيفة EOA (محفظة مجردة للحساب). يرسل المستخدمون المختلفون كائنات UserOperation إلى تجمع ذاكرة UserOperation. يتم حزم المعاملات من قبل الحزم وإرسالها إلى مجموعة Ethereum mempool. يتم التحقق من المعاملة المجمعة من خلال عقد نقطة الدخول ، ثم يتم استدعاء عقد المحفظة المحدد لإجراء عمليات محددة ثم يتم تحميلها إلى السلسلة. تظهر العملية في الشكل التالي:
مصدر:
من خلال سير عمل ERC-4337 ، يمكننا أن نعرف أن محفظة الحساب المجردة بها نقاط الخطر المحتملة التالية:
(1) مخاطر العقد
** يجب تنفيذ عقد نقطة الدخول وعقد المحفظة من قبل طرف المشروع **** ، ولا تفتح TOMO العقود ذات الصلة بالمصدر في الوقت الحالي. ** يتحقق عقد نقطة الدخول من شرعية المعاملات المقدمة من المجمع ويستدعي عقود محفظة محددة بناء على المعاملات. إذا كانت هناك ثغرات أمنية في منطق الأعمال في عقد نقطة الدخول وعقد المحفظة ، فيمكن للمتسللين الهجوم من خلال إنشاء معاملات محددة.
(2) المخاطر المرتبطة بالمفاتيح الخاصة
بموجب مخطط ERC-4337 ، إذا نسي المستخدم المفتاح الخاص ، فقد تكون هناك حلول أخرى لاستعادة المحفظة (وفقا لتصميم المشروع). ومع ذلك ، ** قد تتسبب سرقة / تسرب المفتاح الخاص للآخرين أيضا في فقدان أصول المستخدم **. في 18 أكتوبر ، فتحت TOMO وظيفة تصدير المفاتيح الخاصة للمحفظة ، ويحتاج المستخدمون إلى تصدير المفاتيح الخاصة ومنع سرقة المفاتيح الخاصة.
** مقدمة إلى مدينة البيتكوين الجديدة **
New Bitcoin City (أو Alpha) هو تطبيق اجتماعي يشبه Friend.tech يعتمد على شبكة Bitcoin Layer 2 NOS ، ويدعم كل من الويب والجوال. يمكن للمستخدمين تداول مفاتيح مدينة البيتكوين الجديدة Friend.tech في مدينة البيتكوين الجديدة. في السابق ، أطلق فريق New Bitcoin City أيضا مشروع GameFi Mega Whales ومشروع DeFi New Bitcoin DEX.
رابط:
** تحليل مخاطر مدينة بيتكوين الجديدة **
1 مخاطر الأعمال
تستخدم Bitcoin City الجديدة أيضا نموذج تسعير مشابه ل Friend.tech ، مع PRICE \ _KEYS \ _DENOMINATOR من 264000 في الكود و NUMBER \ _UNIT \ _PER \ _ONE \ _ETHER من 10. بالمقارنة مع TOMO ، ترتفع الأسعار بشكل أبطأ.
مصدر:
2 المخاطر السيبرانية
بالإضافة إلى نفس مخاطر المركزية مثل جزء TOMO ، وفقا لفريق New Bitcoin City ، تستخدم NOS تقنية Trustless Computer Layer 2 لتشغيل عقودها. تم تطوير الكمبيوتر غير الموثوق به أيضا من قبل فريق New Bitcoin City ، وتعتمد طبقة التنفيذ على OP Stack لتطوير Ethereum متوافق ، والتحقق الكامل من البيانات على شبكة Bitcoin.
مصدر:
حاليا ، فقط التطبيقات الاجتماعية ل New Bitcoin City نشطة على الشبكة ، ولم يتم اختبار استقرار وأمن الشبكة.
3 إدارة المفاتيح الخاصة
تشبه Bitcoin City الجديدة Friend.tech حيث يقوم المستخدمون بإنشاء محفظة EOA بعد تفويض تطبيق مع Twitter لأول مرة. ومع ذلك ، يتم إنشاء المحفظة في خلفية New Bitcoin City ، ولا تزال عملية إنشاء المفتاح الخاص والحفظ غير معروفة.
ملخص
لقد تحسن Friend.tech المنافسين وابتكروا على أساس Friend.tech. يظل نموذج التسعير الأساسي دون تغيير إلى حد كبير ، مع تحسينات في تفاعل المستخدم ، لكنه لا يحل مشكلة تخزين المفاتيح الخاصة في محافظ المستخدم بشكل جيد. ** خطر مركزية العقد واضح ، ويحتاج المستخدمون إلى إجراء بحث عن المشروع عند التفاعل.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل مسار SocialFi TOMO و New Bitcoin City من منظور أمني
المصدر: بيوسين
أدى الانفجار المستمر Friend.tech مرة أخرى إلى لفت انتباه السوق إلى مسار SocialFi. في الوقت الحاضر ، يظهر المنافسون Friend.tech لكل سلسلة واحدا تلو الآخر ، TOMO لسلسلة Linea و New Bitcoin City من سلسلة NOS بابتكاراتهم الخاصة ، وقد تجاوزت TVL الخاصة بهم 1 مليون دولار في فترة زمنية قصيرة ، لتصبح مبتدئا في مسار SocialFi.
في حين أن مشاريع SocialFi هذه على قدم وساق ، فقد حظيت المخاطر الأمنية المرتبطة بها بالكثير من الاهتمام من المجتمع. نهاية أغسطس **Friend.tech تسرب الخصوصية بسبب تصميم الوصول إلى واجهة برمجة التطبيقات **؛ في 7 أكتوبر ، كانت هناك ثغرة أمنية في ** Stars Arena على سلسلة Avalanche ** ، وعاد المتسللون إلى وظيفة 0x5632b2e4 الاتصال في عقدهم ، مما أدى إلى حساب نهائي كبير بشكل غير عادي لوظيفة sellShares ، وخسر البروتوكول حوالي 2.9 مليون دولار.
في السابق ، أجرت Beosin تحليلا مفصلا لآليات التصميم والمخاطر الأمنية المحتملة ل Friend.tech. اليوم ، يقوم فريق أمان Beosin بتحليل المشاريع الناشئة TOMO و New Bitcoin City لمساعدتك على فهم المخاطر المحتملة.
مقدمة تومو
TOMO هي منافس Friend.tech لشبكة Linea Layer 2 ، وقد أطلقت آلية "تصويت" بناء على Friend.tech. التصويت هو بيانات اعتماد مستخدمي Twitter قبل التسجيل في TOMO ، ويمكن للمستخدمين الآخرين تداول تصويت المستخدمين غير المسجلين مباشرة. بعد تسجيل المستخدم ، سيتم تحويل التصويت المقابل إلى مفتاح.
يتجنب إدخال التصويت انتشار الروبوتات المتسارعة إلى حد ما ، مما يلغي الحاجة إلى مراقبة مستخدمي Twitter الذين يدخلون ويصدرون المعاملات بشكل عشوائي. في الوقت نفسه ، سيتم توزيع 5٪ من عائدات Trading Vote على مستخدم Twitter المقابل ل Vote ، والذي يمكنه الحصول على الدخل من خلال التسجيل في TOMO. يوفر هذا حافزا اقتصاديا لمستخدمي Twitter للانتقال إلى TOMO.
** تحليل مخاطر تومو **
أكملت Beosin سابقا مراجعة Tifo.trade ، أكبر بورصة مشتقات في سلسلة Linea العامة. هذه المرة ، قمنا بمسح عقود أعمال TOMO من خلال أداة Beosin VaaS ، جنبا إلى جنب مع تحليل خبراء تدقيق الأمان في Beosin ، ووجدنا أن TOMO لديها المخاطر التالية:
1 مخاطر الأعمال
عقد عمل TOMO مفتوح المصدر ، وتكشف نظرة على رمز العقد الخاص به أن نموذج التسعير الأساسي الخاص به مشابه لنموذج Friend.tech. إذا كان S هو عقد الحالي، فإن نموذج السعر الرئيسي لشركة TOMO هو S^2/43370، ونموذج السعر ل Friend.tech هو S^2/16000. هذا يجعل سعر TOMO الرئيسي يرتفع بشكل أبطأ ، مما يجذب المزيد من المستخدمين للمشاركة في المعاملة إلى حد ما.
ومع ذلك ، لم يتغير الجوهر ، لأنه كلما زاد المبلغ الإجمالي للمفتاح ، ارتفع سعر الشراء وارتفع سعر البيع ، قد يكون هناك مستخدمون أوائل يشترون عددا كبيرا من Key ، وقد تتكبد الأسهم التي تم شراؤها من قبل المستخدمين اللاحقين خسائر ، وتحتاج إلى الانتباه إلى المخاطر عند المشاركة في الاستثمار.
2 مخاطر المركزية
على غرار Friend.tech المخاطر ، لا يمكن تجاهل المخاطر المركزية ل TOMO. يمكن لمالك العقد تعديل معدل العمولة إلى أجل غير مسمى ، وذلك لفرض رسوم عالية ، ويمكنه حتى تعيين رسوم معالجة بنسبة 100٪ بحيث لا يمكن للمستخدمين تلقي الأموال من البيع ، أو تعيين معدل رسوم مناولة يزيد عن 100٪ لتعليق وظيفة البيع والشراء.
3 مخاطر المفتاح الخاص (محفظة ERC-4337)
وفقا للمعلومات التي تعرضها TOMO ، فإن المحفظة التي تم إنشاؤها بواسطة TOMO بعد تسجيل المستخدم هي محفظة ERC-4337 (محفظة ملخص الحساب). أثار المجتمع أسئلة حول أمان أصول هذه المحافظ.
بادئ ذي بدء ، يستخدم Friend.tech ومعظم المنافسين مثل Stars Arena محافظ EOA ، وهي محافظ عادية مملوكة لجهات خارجية. تتطلب محافظ EOA توقيع كل معاملة يتم بدؤها بمفتاح خاص ، وهو أمر مرهق نسبيا للتفاعل معه. في الوقت نفسه ، يصعب على المستخدمين الاحتفاظ بالمفاتيح الخاصة بشكل آمن ، وبعد سرقة محفظة Deribit الساخنة بقيمة 28 مليون دولار ، شارك Beosin بالتفصيل كيفية الحفاظ على أمان المحفظة.
لحل هذه المشكلات ، يقترح ERC-4337 تجريد الحساب عن طريق إدخال كائن معاملة يسمى "UserOperation" ، حيث يمكن للمستخدمين استخدام حساب محفظة واحد مع كل من العقد الذكي ووظيفة EOA (محفظة مجردة للحساب). يرسل المستخدمون المختلفون كائنات UserOperation إلى تجمع ذاكرة UserOperation. يتم حزم المعاملات من قبل الحزم وإرسالها إلى مجموعة Ethereum mempool. يتم التحقق من المعاملة المجمعة من خلال عقد نقطة الدخول ، ثم يتم استدعاء عقد المحفظة المحدد لإجراء عمليات محددة ثم يتم تحميلها إلى السلسلة. تظهر العملية في الشكل التالي:
من خلال سير عمل ERC-4337 ، يمكننا أن نعرف أن محفظة الحساب المجردة بها نقاط الخطر المحتملة التالية:
(1) مخاطر العقد
** يجب تنفيذ عقد نقطة الدخول وعقد المحفظة من قبل طرف المشروع **** ، ولا تفتح TOMO العقود ذات الصلة بالمصدر في الوقت الحالي. ** يتحقق عقد نقطة الدخول من شرعية المعاملات المقدمة من المجمع ويستدعي عقود محفظة محددة بناء على المعاملات. إذا كانت هناك ثغرات أمنية في منطق الأعمال في عقد نقطة الدخول وعقد المحفظة ، فيمكن للمتسللين الهجوم من خلال إنشاء معاملات محددة.
(2) المخاطر المرتبطة بالمفاتيح الخاصة
بموجب مخطط ERC-4337 ، إذا نسي المستخدم المفتاح الخاص ، فقد تكون هناك حلول أخرى لاستعادة المحفظة (وفقا لتصميم المشروع). ومع ذلك ، ** قد تتسبب سرقة / تسرب المفتاح الخاص للآخرين أيضا في فقدان أصول المستخدم **. في 18 أكتوبر ، فتحت TOMO وظيفة تصدير المفاتيح الخاصة للمحفظة ، ويحتاج المستخدمون إلى تصدير المفاتيح الخاصة ومنع سرقة المفاتيح الخاصة.
** مقدمة إلى مدينة البيتكوين الجديدة **
New Bitcoin City (أو Alpha) هو تطبيق اجتماعي يشبه Friend.tech يعتمد على شبكة Bitcoin Layer 2 NOS ، ويدعم كل من الويب والجوال. يمكن للمستخدمين تداول مفاتيح مدينة البيتكوين الجديدة Friend.tech في مدينة البيتكوين الجديدة. في السابق ، أطلق فريق New Bitcoin City أيضا مشروع GameFi Mega Whales ومشروع DeFi New Bitcoin DEX.
** تحليل مخاطر مدينة بيتكوين الجديدة **
1 مخاطر الأعمال
تستخدم Bitcoin City الجديدة أيضا نموذج تسعير مشابه ل Friend.tech ، مع PRICE \ _KEYS \ _DENOMINATOR من 264000 في الكود و NUMBER \ _UNIT \ _PER \ _ONE \ _ETHER من 10. بالمقارنة مع TOMO ، ترتفع الأسعار بشكل أبطأ.
2 المخاطر السيبرانية
بالإضافة إلى نفس مخاطر المركزية مثل جزء TOMO ، وفقا لفريق New Bitcoin City ، تستخدم NOS تقنية Trustless Computer Layer 2 لتشغيل عقودها. تم تطوير الكمبيوتر غير الموثوق به أيضا من قبل فريق New Bitcoin City ، وتعتمد طبقة التنفيذ على OP Stack لتطوير Ethereum متوافق ، والتحقق الكامل من البيانات على شبكة Bitcoin.
حاليا ، فقط التطبيقات الاجتماعية ل New Bitcoin City نشطة على الشبكة ، ولم يتم اختبار استقرار وأمن الشبكة.
3 إدارة المفاتيح الخاصة
تشبه Bitcoin City الجديدة Friend.tech حيث يقوم المستخدمون بإنشاء محفظة EOA بعد تفويض تطبيق مع Twitter لأول مرة. ومع ذلك ، يتم إنشاء المحفظة في خلفية New Bitcoin City ، ولا تزال عملية إنشاء المفتاح الخاص والحفظ غير معروفة.
ملخص
لقد تحسن Friend.tech المنافسين وابتكروا على أساس Friend.tech. يظل نموذج التسعير الأساسي دون تغيير إلى حد كبير ، مع تحسينات في تفاعل المستخدم ، لكنه لا يحل مشكلة تخزين المفاتيح الخاصة في محافظ المستخدم بشكل جيد. ** خطر مركزية العقد واضح ، ويحتاج المستخدمون إلى إجراء بحث عن المشروع عند التفاعل.