La continua explosión de Friend.tech ha vuelto a llamar la atención del mercado sobre la pista de SocialFi. En la actualidad, los Friend.tech competidores de cada cadena están surgiendo uno tras otro, TOMO de la cadena Linea y New Bitcoin City de la cadena NOS con su propia innovación, su TVL ha superado el millón de dólares en un corto período de tiempo, convirtiéndose en un novato en la pista de SocialFi.
Si bien estos proyectos de SocialFi están en pleno apogeo, los riesgos de seguridad asociados han recibido mucha atención por parte de la comunidad. Finales de agosto Friend.tech Fuga de privacidad debido al diseño de acceso a la API; El 7 de octubre, hubo una vulnerabilidad de reentrada en el Stars Arena en la cadena Avalanche, y los piratas informáticos volvieron a ingresar la función de llamada 0x5632b2e4 en su contrato, lo que resultó en un cálculo final inusualmente grande de la función sellShares, y el protocolo perdió alrededor de USD 2.9 millones.
Anteriormente, Beosin llevó a cabo un análisis detallado de los mecanismos de diseño y los posibles riesgos de seguridad de Friend.tech. Hoy, el equipo de seguridad de Beosin analiza los proyectos emergentes TOMO y New Bitcoin City para ayudarlo a comprender los riesgos potenciales.
Introducción a TOMO
TOMO es un competidor Friend.tech de la red de capa 2 de Linea, y ha lanzado un mecanismo de "votación" basado en el Friend.tech. El voto son las credenciales de los usuarios de Twitter antes de registrarse en TOMO, y otros usuarios pueden intercambiar directamente el voto de los usuarios no registrados. Una vez que el usuario se registre, el voto correspondiente se convertirá en clave.
La introducción de Vote evita en cierta medida la proliferación de robots apresurados, eliminando la necesidad de monitorear a los usuarios de Twitter que ingresan y emiten transacciones indiscriminadamente. Al mismo tiempo, el 5% de los ingresos de Trading Vote se distribuirá al usuario de Twitter correspondiente a Vote, que podrá recibir los ingresos registrándose en TOMO. Esto proporciona un incentivo económico para que los usuarios de Twitter se pasen a TOMO.
Análisis de riesgos de TOMO
Beosin completó previamente una auditoría de Tifo.trade, el mayor exchange de derivados de la cadena pública de Linea. Esta vez, escaneamos los contratos comerciales de TOMO a través de la herramienta Beosin VaaS, combinada con el análisis de los expertos en auditoría de seguridad de Beosin, y descubrimos que TOMO tiene los siguientes riesgos:
1 Riesgo de negocio
El contrato comercial de TOMO es de código abierto, y un vistazo a su código de contrato revela que su modelo de precios subyacente es similar al de Friend.tech. Si S es la retención actual, el modelo de precio clave de TOMO es S^2/43370 y el modelo de precios para Friend.tech es S^2/16000. Esto hace que el precio de Key de TOMO aumente más lentamente, atrayendo a más usuarios a participar en la transacción hasta cierto punto.
Sin embargo, la esencia no ha cambiado, porque cuanto mayor sea la cantidad total de Key, mayor será el precio de compra y mayor será el precio de venta, puede haber usuarios tempranos que compren una gran cantidad de Key, y el capital comprado por los usuarios posteriores puede incurrir en pérdidas, y debe prestar atención a los riesgos al participar en la inversión.
Modelo de precios de TOMO
Modelo de precios de Friend.tech
2 Riesgo de centralización
Al igual que Friend.tech riesgo, no se puede ignorar el riesgo centralizado de TOMO. El propietario del contrato puede ajustar la tasa de comisión indefinidamente, para cobrar tarifas altas, e incluso puede establecer una tarifa de manejo del 100% para que los usuarios no puedan recibir el dinero de la venta, o establecer una tasa de tarifa de manejo de más del 100% para suspender la función de compra y venta.
fuente:
Riesgo de 3 claves privadas (billetera ERC-4337)
De acuerdo con la información mostrada por TOMO, la billetera generada por TOMO después del registro del usuario es la billetera ERC-4337 (billetera abstracta de cuenta). La comunidad ha planteado preguntas sobre la seguridad de los activos de dichas billeteras.
En primer lugar, Friend.tech y la mayoría de los competidores, como el Stars Arena, utilizan billeteras EOA, que son billeteras ordinarias de propiedad externa. Las billeteras EOA requieren que cada transacción iniciada esté firmada con una clave privada, lo cual es relativamente engorroso para interactuar. Al mismo tiempo, es difícil para los usuarios mantener las claves privadas de forma segura, y después de que la billetera caliente Deribit fuera robada por USD 28 millones, Beosin compartió en detalle cómo mantener la billetera segura.
Para resolver estos problemas, ERC-4337 propone la abstracción de cuentas mediante la introducción de un objeto de transacción llamado "UserOperation", donde los usuarios pueden usar una sola cuenta de billetera con funcionalidad de contrato inteligente y EOA (billetera abstracta de cuenta). Diferentes usuarios envían objetos UserOperation al grupo de memoria UserOperation. Las transacciones son empaquetadas por los agrupadores y enviadas a la mempool de Ethereum. La transacción empaquetada se verifica mediante el contrato de punto de entrada y, a continuación, se llama al contrato de billetera específico para realizar operaciones específicas y, a continuación, se carga en la cadena. El proceso se muestra en la siguiente figura:
fuente:
A través del flujo de trabajo de ERC-4337, podemos saber que la billetera abstracta de la cuenta tiene los siguientes puntos de riesgo potenciales:
(1) Riesgo de contrato
El contrato de punto de entrada y el contrato de billetera deben ser implementados por la parte del proyecto**, y TOMO no tiene contratos relacionados con el código abierto en la actualidad. ** El contrato de punto de entrada verifica la legitimidad de las transacciones enviadas por el empaquetador y llama a contratos de billetera específicos en función de las transacciones. Si hay vulnerabilidades de lógica empresarial en el contrato de punto de entrada y el contrato de billetera, los piratas informáticos pueden atacar mediante la construcción de transacciones específicas.
(2) Riesgos asociados a las claves privadas
Bajo el esquema ERC-4337, si el usuario olvida la clave privada, puede haber otras soluciones para recuperar la billetera (según el diseño del proyecto). Sin embargo, El robo/filtración de la clave privada a otros también puede causar la pérdida de activos del usuario. El 18 de octubre, TOMO abrió la función de exportación de claves privadas de billetera, los usuarios deben exportar claves privadas y evitar que las claves privadas sean robadas.
Introducción a la Nueva Ciudad Bitcoin
New Bitcoin City (o Alpha) es una aplicación social similar a la Friend.tech basada en la red de capa 2 de Bitcoin NOS, compatible tanto con la web como con los dispositivos móviles. Los usuarios pueden intercambiar claves a New Bitcoin City y Friend.tech en New Bitcoin City. Anteriormente, el equipo de New Bitcoin City también lanzó el proyecto GameFi Mega Whales y el proyecto DeFi New Bitcoin DEX.
enlace:
Nuevo análisis de riesgos de Bitcoin City
1 Riesgo de Negocio
New Bitcoin City también utiliza un modelo de precios similar al de Friend.tech, con un PRICE_KEYS_DENOMINATOR de 264000 en el código y un NUMBER_UNIT_PER_ONE_ETHER de 10. En comparación con TOMO, los precios aumentan más lentamente.
fuente:
2 Riesgo cibernético
Además de los mismos riesgos de centralización que la parte de TOMO, según el equipo de New Bitcoin City, NOS utiliza la tecnología Trustless Computer Layer 2 para ejecutar sus contratos. El Trustless Computer también fue desarrollado por el equipo de New Bitcoin City, y la capa de ejecución se basa en OP Stack para desarrollar Ethereum compatible y completar la verificación de datos en la red Bitcoin.
fuente:
Actualmente, solo las aplicaciones sociales de New Bitcoin City están activas en la red, y no se ha probado la estabilidad y seguridad de la red.
3 Gestión de claves privadas
New Bitcoin City es similar a Friend.tech en el sentido de que los usuarios generan una billetera EOA después de autorizar una aplicación con Twitter por primera vez. Sin embargo, la generación de la billetera se realiza en el fondo de New Bitcoin City, y aún se desconoce el proceso de generación y custodia de claves privadas.
Resumen
Friend.tech competidores han mejorado e innovado sobre la base de Friend.tech. El modelo de precios básico se mantiene prácticamente sin cambios, con mejoras en la interacción del usuario, pero no resuelve bien el problema de almacenar bien las claves privadas en las billeteras de los usuarios. ** El riesgo de centralización del contrato es obvio, y los usuarios deben investigar el proyecto al interactuar.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Analice la pista de SocialFi TOMO y New Bitcoin City desde una perspectiva de seguridad
Fuente: Beosin
La continua explosión de Friend.tech ha vuelto a llamar la atención del mercado sobre la pista de SocialFi. En la actualidad, los Friend.tech competidores de cada cadena están surgiendo uno tras otro, TOMO de la cadena Linea y New Bitcoin City de la cadena NOS con su propia innovación, su TVL ha superado el millón de dólares en un corto período de tiempo, convirtiéndose en un novato en la pista de SocialFi.
Si bien estos proyectos de SocialFi están en pleno apogeo, los riesgos de seguridad asociados han recibido mucha atención por parte de la comunidad. Finales de agosto Friend.tech Fuga de privacidad debido al diseño de acceso a la API; El 7 de octubre, hubo una vulnerabilidad de reentrada en el Stars Arena en la cadena Avalanche, y los piratas informáticos volvieron a ingresar la función de llamada 0x5632b2e4 en su contrato, lo que resultó en un cálculo final inusualmente grande de la función sellShares, y el protocolo perdió alrededor de USD 2.9 millones.
Anteriormente, Beosin llevó a cabo un análisis detallado de los mecanismos de diseño y los posibles riesgos de seguridad de Friend.tech. Hoy, el equipo de seguridad de Beosin analiza los proyectos emergentes TOMO y New Bitcoin City para ayudarlo a comprender los riesgos potenciales.
Introducción a TOMO
TOMO es un competidor Friend.tech de la red de capa 2 de Linea, y ha lanzado un mecanismo de "votación" basado en el Friend.tech. El voto son las credenciales de los usuarios de Twitter antes de registrarse en TOMO, y otros usuarios pueden intercambiar directamente el voto de los usuarios no registrados. Una vez que el usuario se registre, el voto correspondiente se convertirá en clave.
La introducción de Vote evita en cierta medida la proliferación de robots apresurados, eliminando la necesidad de monitorear a los usuarios de Twitter que ingresan y emiten transacciones indiscriminadamente. Al mismo tiempo, el 5% de los ingresos de Trading Vote se distribuirá al usuario de Twitter correspondiente a Vote, que podrá recibir los ingresos registrándose en TOMO. Esto proporciona un incentivo económico para que los usuarios de Twitter se pasen a TOMO.
Análisis de riesgos de TOMO
Beosin completó previamente una auditoría de Tifo.trade, el mayor exchange de derivados de la cadena pública de Linea. Esta vez, escaneamos los contratos comerciales de TOMO a través de la herramienta Beosin VaaS, combinada con el análisis de los expertos en auditoría de seguridad de Beosin, y descubrimos que TOMO tiene los siguientes riesgos:
1 Riesgo de negocio
El contrato comercial de TOMO es de código abierto, y un vistazo a su código de contrato revela que su modelo de precios subyacente es similar al de Friend.tech. Si S es la retención actual, el modelo de precio clave de TOMO es S^2/43370 y el modelo de precios para Friend.tech es S^2/16000. Esto hace que el precio de Key de TOMO aumente más lentamente, atrayendo a más usuarios a participar en la transacción hasta cierto punto.
Sin embargo, la esencia no ha cambiado, porque cuanto mayor sea la cantidad total de Key, mayor será el precio de compra y mayor será el precio de venta, puede haber usuarios tempranos que compren una gran cantidad de Key, y el capital comprado por los usuarios posteriores puede incurrir en pérdidas, y debe prestar atención a los riesgos al participar en la inversión.
2 Riesgo de centralización
Al igual que Friend.tech riesgo, no se puede ignorar el riesgo centralizado de TOMO. El propietario del contrato puede ajustar la tasa de comisión indefinidamente, para cobrar tarifas altas, e incluso puede establecer una tarifa de manejo del 100% para que los usuarios no puedan recibir el dinero de la venta, o establecer una tasa de tarifa de manejo de más del 100% para suspender la función de compra y venta.
Riesgo de 3 claves privadas (billetera ERC-4337)
De acuerdo con la información mostrada por TOMO, la billetera generada por TOMO después del registro del usuario es la billetera ERC-4337 (billetera abstracta de cuenta). La comunidad ha planteado preguntas sobre la seguridad de los activos de dichas billeteras.
En primer lugar, Friend.tech y la mayoría de los competidores, como el Stars Arena, utilizan billeteras EOA, que son billeteras ordinarias de propiedad externa. Las billeteras EOA requieren que cada transacción iniciada esté firmada con una clave privada, lo cual es relativamente engorroso para interactuar. Al mismo tiempo, es difícil para los usuarios mantener las claves privadas de forma segura, y después de que la billetera caliente Deribit fuera robada por USD 28 millones, Beosin compartió en detalle cómo mantener la billetera segura.
Para resolver estos problemas, ERC-4337 propone la abstracción de cuentas mediante la introducción de un objeto de transacción llamado "UserOperation", donde los usuarios pueden usar una sola cuenta de billetera con funcionalidad de contrato inteligente y EOA (billetera abstracta de cuenta). Diferentes usuarios envían objetos UserOperation al grupo de memoria UserOperation. Las transacciones son empaquetadas por los agrupadores y enviadas a la mempool de Ethereum. La transacción empaquetada se verifica mediante el contrato de punto de entrada y, a continuación, se llama al contrato de billetera específico para realizar operaciones específicas y, a continuación, se carga en la cadena. El proceso se muestra en la siguiente figura:
A través del flujo de trabajo de ERC-4337, podemos saber que la billetera abstracta de la cuenta tiene los siguientes puntos de riesgo potenciales:
(1) Riesgo de contrato
El contrato de punto de entrada y el contrato de billetera deben ser implementados por la parte del proyecto**, y TOMO no tiene contratos relacionados con el código abierto en la actualidad. ** El contrato de punto de entrada verifica la legitimidad de las transacciones enviadas por el empaquetador y llama a contratos de billetera específicos en función de las transacciones. Si hay vulnerabilidades de lógica empresarial en el contrato de punto de entrada y el contrato de billetera, los piratas informáticos pueden atacar mediante la construcción de transacciones específicas.
(2) Riesgos asociados a las claves privadas
Bajo el esquema ERC-4337, si el usuario olvida la clave privada, puede haber otras soluciones para recuperar la billetera (según el diseño del proyecto). Sin embargo, El robo/filtración de la clave privada a otros también puede causar la pérdida de activos del usuario. El 18 de octubre, TOMO abrió la función de exportación de claves privadas de billetera, los usuarios deben exportar claves privadas y evitar que las claves privadas sean robadas.
Introducción a la Nueva Ciudad Bitcoin
New Bitcoin City (o Alpha) es una aplicación social similar a la Friend.tech basada en la red de capa 2 de Bitcoin NOS, compatible tanto con la web como con los dispositivos móviles. Los usuarios pueden intercambiar claves a New Bitcoin City y Friend.tech en New Bitcoin City. Anteriormente, el equipo de New Bitcoin City también lanzó el proyecto GameFi Mega Whales y el proyecto DeFi New Bitcoin DEX.
Nuevo análisis de riesgos de Bitcoin City
1 Riesgo de Negocio
New Bitcoin City también utiliza un modelo de precios similar al de Friend.tech, con un PRICE_KEYS_DENOMINATOR de 264000 en el código y un NUMBER_UNIT_PER_ONE_ETHER de 10. En comparación con TOMO, los precios aumentan más lentamente.
2 Riesgo cibernético
Además de los mismos riesgos de centralización que la parte de TOMO, según el equipo de New Bitcoin City, NOS utiliza la tecnología Trustless Computer Layer 2 para ejecutar sus contratos. El Trustless Computer también fue desarrollado por el equipo de New Bitcoin City, y la capa de ejecución se basa en OP Stack para desarrollar Ethereum compatible y completar la verificación de datos en la red Bitcoin.
Actualmente, solo las aplicaciones sociales de New Bitcoin City están activas en la red, y no se ha probado la estabilidad y seguridad de la red.
3 Gestión de claves privadas
New Bitcoin City es similar a Friend.tech en el sentido de que los usuarios generan una billetera EOA después de autorizar una aplicación con Twitter por primera vez. Sin embargo, la generación de la billetera se realiza en el fondo de New Bitcoin City, y aún se desconoce el proceso de generación y custodia de claves privadas.
Resumen
Friend.tech competidores han mejorado e innovado sobre la base de Friend.tech. El modelo de precios básico se mantiene prácticamente sin cambios, con mejoras en la interacción del usuario, pero no resuelve bien el problema de almacenar bien las claves privadas en las billeteras de los usuarios. ** El riesgo de centralización del contrato es obvio, y los usuarios deben investigar el proyecto al interactuar.