La continua explosión de Friend.tech ha vuelto a llamar la atención del mercado sobre la pista de SocialFi. En la actualidad, los Friend.tech competidores de cada cadena están surgiendo uno tras otro, TOMO de la cadena Linea y New Bitcoin City de la cadena NOS con su propia innovación, su TVL ha superado el millón de dólares en un corto período de tiempo, convirtiéndose en un novato en la pista de SocialFi.
Si bien estos proyectos de SocialFi están en pleno apogeo, los riesgos de seguridad asociados han recibido mucha atención por parte de la comunidad. Finales de agosto de Friend.tech Fuga de privacidad debido al diseño de acceso a la API; El 7 de octubre, el Stars Arena de la cadena Avalanche tenía una vulnerabilidad de reentrada, y los hackers volvieron a introducir la función de llamada 0x5632b2e4 en su contrato, lo que dio lugar a un resultado de cálculo final inusualmente grande de la función sellShares, y el protocolo perdió unos 2,9 millones de dólares.
Anteriormente, Beosin llevó a cabo un análisis detallado de los mecanismos de diseño y los posibles riesgos de seguridad de Friend.tech. Hoy, el equipo de seguridad de Beosin analiza los proyectos emergentes TOMO y New Bitcoin City para ayudarlo a comprender los riesgos potenciales.
Introducción a TOMO
TOMO es un competidor Friend.tech de la red de capa 2 de Linea, y ha lanzado un mecanismo de "votación" basado en el Friend.tech. El voto son las credenciales de los usuarios de Twitter antes de registrarse en TOMO, y otros usuarios pueden intercambiar directamente el voto de los usuarios no registrados. Una vez que el usuario se registre, el voto correspondiente se convertirá en clave.
La introducción de Vote evita en cierta medida la proliferación de robots apresurados, eliminando la necesidad de monitorear a los usuarios de Twitter que ingresan y emiten transacciones indiscriminadamente. Al mismo tiempo, el 5% de los ingresos de Trading Vote se distribuirá al usuario de Twitter correspondiente a Vote, que podrá recibir los ingresos registrándose en TOMO. Esto proporciona un incentivo económico para que los usuarios de Twitter se pasen a TOMO.
Análisis de riesgos de TOMO
Beosin completó previamente una auditoría de Tifo.trade, el mayor exchange de derivados de la cadena pública de Linea. Esta vez, escaneamos los contratos comerciales de TOMO a través de la herramienta Beosin VaaS, combinada con el análisis de los expertos en auditoría de seguridad de Beosin, y descubrimos que TOMO tiene los siguientes riesgos:
El contrato comercial de TOMO es de código abierto, y un vistazo a su código de contrato revela que su modelo de precios subyacente es similar al de Friend.tech. Si S es la retención actual, el modelo de precio clave de TOMO es S^2/43370 y el modelo de precios para Friend.tech es S^2/16000. Esto hace que el precio de Key de TOMO aumente más lentamente, atrayendo a más usuarios a participar en la transacción hasta cierto punto.
Sin embargo, la esencia no ha cambiado, porque cuanto mayor sea la cantidad total de Key, mayor será el precio de compra y mayor será el precio de venta, puede haber usuarios tempranos que compren una gran cantidad de Key, y el capital comprado por los usuarios posteriores puede incurrir en pérdidas, y debe prestar atención a los riesgos al participar en la inversión.
! [Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) modelo de precios para TOMO
! [Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech modelo de precios
2. Riesgo de centralización
Al igual que Friend.tech riesgo, no se puede ignorar el riesgo centralizado de TOMO. ** El propietario del contrato puede ajustar la tasa de comisión sin límite, para cobrar tarifas altas, e incluso puede establecer una tarifa de manejo del 100% para que los usuarios no puedan recibir el dinero de la venta, o establecer una tasa de tarifa de más del 100% para suspender la función de compra y venta.
De acuerdo con la información mostrada por TOMO, la billetera generada por TOMO después del registro del usuario es la billetera ERC-4337 (billetera abstracta de cuenta). La comunidad ha planteado preguntas sobre la seguridad de los activos de dichas billeteras.
En primer lugar, Friend.tech y la mayoría de los competidores, como el Stars Arena, utilizan billeteras EOA, que son billeteras ordinarias de propiedad externa. Las billeteras EOA requieren que cada transacción iniciada esté firmada con una clave privada, lo cual es relativamente engorroso para interactuar. Al mismo tiempo, es difícil para los usuarios mantener las claves privadas de forma segura, y después de que la billetera caliente Deribit fuera robada por USD 28 millones, Beosin compartió en detalle cómo mantener la billetera segura.
Para resolver estos problemas, ERC-4337 propone la abstracción de cuentas mediante la introducción de un objeto de transacción llamado "UserOperation", donde los usuarios pueden usar una sola cuenta de billetera con funcionalidad de contrato inteligente y EOA (billetera abstracta de cuenta). Diferentes usuarios envían objetos UserOperation al grupo de memoria UserOperation. Las transacciones son empaquetadas por los agrupadores y enviadas a la mempool de Ethereum. La transacción empaquetada se verifica mediante el contrato de punto de entrada y, a continuación, se llama al contrato de billetera específico para realizar operaciones específicas y, a continuación, se carga en la cadena. El proceso se muestra en la siguiente figura:
A través del flujo de trabajo de ERC-4337, podemos saber que la billetera abstracta de la cuenta tiene los siguientes puntos de riesgo potenciales:
Riesgo de contrato
El contrato de punto de entrada y el contrato de billetera deben ser implementados por el propio proyecto, y TOMO no abre el código del contrato relevante en la actualidad. El contrato de punto de entrada es responsable de verificar la legitimidad de las transacciones enviadas por los agrupadores e invocar contratos de billetera específicos basados en transacciones. Si hay vulnerabilidades de lógica empresarial en el contrato de punto de entrada y el contrato de billetera, los piratas informáticos pueden atacar mediante la construcción de transacciones específicas.
Riesgos relacionados con la clave privada
Bajo el esquema ERC-4337, si el usuario olvida la clave privada, puede haber otras soluciones para recuperar la billetera (según el diseño del proyecto). Sin embargo, el robo/filtración de la clave privada a otros también puede causar la pérdida de los activos del usuario. El 18 de octubre, TOMO abrió la función de exportación de claves privadas de billetera, los usuarios deben exportar claves privadas y evitar que las claves privadas sean robadas.
Introducción a la nueva ciudad de Bitcoin
New Bitcoin City (o Alpha) es una aplicación social similar a la Friend.tech basada en la red de capa 2 de Bitcoin NOS, compatible tanto con la web como con los dispositivos móviles. Los usuarios pueden intercambiar claves a New Bitcoin City y Friend.tech en New Bitcoin City. Anteriormente, el equipo de New Bitcoin City también lanzó el proyecto GameFi Mega Whales y el proyecto DeFi New Bitcoin DEX.
New Bitcoin City también utiliza un modelo de precios similar al de Friend.tech, con un PRICE_KEYS_DENOMINATOR de 264000 en el código y un NUMBER_UNIT_PER_ONE_ETHER de 10. En comparación con TOMO, los precios aumentan más lentamente.
Además de los mismos riesgos de centralización que la parte de TOMO, según el equipo de New Bitcoin City, NOS utiliza la tecnología Trustless Computer Layer 2 para ejecutar sus contratos. El Trustless Computer también fue desarrollado por el equipo de New Bitcoin City, y la capa de ejecución se basa en OP Stack para desarrollar Ethereum compatible y completar la verificación de datos en la red Bitcoin.
Actualmente, solo las aplicaciones sociales de New Bitcoin City están activas en la red, y no se ha probado la estabilidad y seguridad de la red.
3. Gestión de claves privadas
New Bitcoin City es similar a Friend.tech en el sentido de que los usuarios generan una billetera EOA después de autorizar una aplicación con Twitter por primera vez. Sin embargo, la generación de la billetera se realiza en el fondo de New Bitcoin City, y aún se desconoce el proceso de generación y custodia de claves privadas.
Resumen
Friend.tech competidores han mejorado e innovado sobre la base de Friend.tech. El modelo de precios básico básicamente no ha cambiado y se han realizado mejoras en términos de interacción con el usuario, pero no ha resuelto bien el problema de almacenar claves privadas en las billeteras de los usuarios. El riesgo de la centralización de los contratos es obvio, y los usuarios deben investigar el proyecto cuando interactúan.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City?
La continua explosión de Friend.tech ha vuelto a llamar la atención del mercado sobre la pista de SocialFi. En la actualidad, los Friend.tech competidores de cada cadena están surgiendo uno tras otro, TOMO de la cadena Linea y New Bitcoin City de la cadena NOS con su propia innovación, su TVL ha superado el millón de dólares en un corto período de tiempo, convirtiéndose en un novato en la pista de SocialFi.
Si bien estos proyectos de SocialFi están en pleno apogeo, los riesgos de seguridad asociados han recibido mucha atención por parte de la comunidad. Finales de agosto de Friend.tech Fuga de privacidad debido al diseño de acceso a la API; El 7 de octubre, el Stars Arena de la cadena Avalanche tenía una vulnerabilidad de reentrada, y los hackers volvieron a introducir la función de llamada 0x5632b2e4 en su contrato, lo que dio lugar a un resultado de cálculo final inusualmente grande de la función sellShares, y el protocolo perdió unos 2,9 millones de dólares.
Anteriormente, Beosin llevó a cabo un análisis detallado de los mecanismos de diseño y los posibles riesgos de seguridad de Friend.tech. Hoy, el equipo de seguridad de Beosin analiza los proyectos emergentes TOMO y New Bitcoin City para ayudarlo a comprender los riesgos potenciales.
Introducción a TOMO
TOMO es un competidor Friend.tech de la red de capa 2 de Linea, y ha lanzado un mecanismo de "votación" basado en el Friend.tech. El voto son las credenciales de los usuarios de Twitter antes de registrarse en TOMO, y otros usuarios pueden intercambiar directamente el voto de los usuarios no registrados. Una vez que el usuario se registre, el voto correspondiente se convertirá en clave.
La introducción de Vote evita en cierta medida la proliferación de robots apresurados, eliminando la necesidad de monitorear a los usuarios de Twitter que ingresan y emiten transacciones indiscriminadamente. Al mismo tiempo, el 5% de los ingresos de Trading Vote se distribuirá al usuario de Twitter correspondiente a Vote, que podrá recibir los ingresos registrándose en TOMO. Esto proporciona un incentivo económico para que los usuarios de Twitter se pasen a TOMO.
Análisis de riesgos de TOMO
Beosin completó previamente una auditoría de Tifo.trade, el mayor exchange de derivados de la cadena pública de Linea. Esta vez, escaneamos los contratos comerciales de TOMO a través de la herramienta Beosin VaaS, combinada con el análisis de los expertos en auditoría de seguridad de Beosin, y descubrimos que TOMO tiene los siguientes riesgos:
! Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City?
1. Riesgo de negocio
El contrato comercial de TOMO es de código abierto, y un vistazo a su código de contrato revela que su modelo de precios subyacente es similar al de Friend.tech. Si S es la retención actual, el modelo de precio clave de TOMO es S^2/43370 y el modelo de precios para Friend.tech es S^2/16000. Esto hace que el precio de Key de TOMO aumente más lentamente, atrayendo a más usuarios a participar en la transacción hasta cierto punto.
Sin embargo, la esencia no ha cambiado, porque cuanto mayor sea la cantidad total de Key, mayor será el precio de compra y mayor será el precio de venta, puede haber usuarios tempranos que compren una gran cantidad de Key, y el capital comprado por los usuarios posteriores puede incurrir en pérdidas, y debe prestar atención a los riesgos al participar en la inversión.
! [Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) modelo de precios para TOMO
! [Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech modelo de precios
2. Riesgo de centralización
Al igual que Friend.tech riesgo, no se puede ignorar el riesgo centralizado de TOMO. ** El propietario del contrato puede ajustar la tasa de comisión sin límite, para cobrar tarifas altas, e incluso puede establecer una tarifa de manejo del 100% para que los usuarios no puedan recibir el dinero de la venta, o establecer una tasa de tarifa de más del 100% para suspender la función de compra y venta.
! Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? fuente:
3. Riesgo de clave privada (billetera ERC-4337)
De acuerdo con la información mostrada por TOMO, la billetera generada por TOMO después del registro del usuario es la billetera ERC-4337 (billetera abstracta de cuenta). La comunidad ha planteado preguntas sobre la seguridad de los activos de dichas billeteras.
En primer lugar, Friend.tech y la mayoría de los competidores, como el Stars Arena, utilizan billeteras EOA, que son billeteras ordinarias de propiedad externa. Las billeteras EOA requieren que cada transacción iniciada esté firmada con una clave privada, lo cual es relativamente engorroso para interactuar. Al mismo tiempo, es difícil para los usuarios mantener las claves privadas de forma segura, y después de que la billetera caliente Deribit fuera robada por USD 28 millones, Beosin compartió en detalle cómo mantener la billetera segura.
Para resolver estos problemas, ERC-4337 propone la abstracción de cuentas mediante la introducción de un objeto de transacción llamado "UserOperation", donde los usuarios pueden usar una sola cuenta de billetera con funcionalidad de contrato inteligente y EOA (billetera abstracta de cuenta). Diferentes usuarios envían objetos UserOperation al grupo de memoria UserOperation. Las transacciones son empaquetadas por los agrupadores y enviadas a la mempool de Ethereum. La transacción empaquetada se verifica mediante el contrato de punto de entrada y, a continuación, se llama al contrato de billetera específico para realizar operaciones específicas y, a continuación, se carga en la cadena. El proceso se muestra en la siguiente figura:
! Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? fuente:
A través del flujo de trabajo de ERC-4337, podemos saber que la billetera abstracta de la cuenta tiene los siguientes puntos de riesgo potenciales:
Riesgo de contrato
El contrato de punto de entrada y el contrato de billetera deben ser implementados por el propio proyecto, y TOMO no abre el código del contrato relevante en la actualidad. El contrato de punto de entrada es responsable de verificar la legitimidad de las transacciones enviadas por los agrupadores e invocar contratos de billetera específicos basados en transacciones. Si hay vulnerabilidades de lógica empresarial en el contrato de punto de entrada y el contrato de billetera, los piratas informáticos pueden atacar mediante la construcción de transacciones específicas.
Riesgos relacionados con la clave privada
Bajo el esquema ERC-4337, si el usuario olvida la clave privada, puede haber otras soluciones para recuperar la billetera (según el diseño del proyecto). Sin embargo, el robo/filtración de la clave privada a otros también puede causar la pérdida de los activos del usuario. El 18 de octubre, TOMO abrió la función de exportación de claves privadas de billetera, los usuarios deben exportar claves privadas y evitar que las claves privadas sean robadas.
Introducción a la nueva ciudad de Bitcoin
New Bitcoin City (o Alpha) es una aplicación social similar a la Friend.tech basada en la red de capa 2 de Bitcoin NOS, compatible tanto con la web como con los dispositivos móviles. Los usuarios pueden intercambiar claves a New Bitcoin City y Friend.tech en New Bitcoin City. Anteriormente, el equipo de New Bitcoin City también lanzó el proyecto GameFi Mega Whales y el proyecto DeFi New Bitcoin DEX.
! Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? enlace:
Nuevo análisis de riesgos de Bitcoin City
1. Riesgo de negocio
New Bitcoin City también utiliza un modelo de precios similar al de Friend.tech, con un PRICE_KEYS_DENOMINATOR de 264000 en el código y un NUMBER_UNIT_PER_ONE_ETHER de 10. En comparación con TOMO, los precios aumentan más lentamente.
! Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? fuente:
2. Riesgo cibernético
Además de los mismos riesgos de centralización que la parte de TOMO, según el equipo de New Bitcoin City, NOS utiliza la tecnología Trustless Computer Layer 2 para ejecutar sus contratos. El Trustless Computer también fue desarrollado por el equipo de New Bitcoin City, y la capa de ejecución se basa en OP Stack para desarrollar Ethereum compatible y completar la verificación de datos en la red Bitcoin.
! Friend.tech ¿Cuáles son los riesgos potenciales de la nueva imitación de TOMO y New Bitcoin City? fuente:
Actualmente, solo las aplicaciones sociales de New Bitcoin City están activas en la red, y no se ha probado la estabilidad y seguridad de la red.
3. Gestión de claves privadas
New Bitcoin City es similar a Friend.tech en el sentido de que los usuarios generan una billetera EOA después de autorizar una aplicación con Twitter por primera vez. Sin embargo, la generación de la billetera se realiza en el fondo de New Bitcoin City, y aún se desconoce el proceso de generación y custodia de claves privadas.
Resumen
Friend.tech competidores han mejorado e innovado sobre la base de Friend.tech. El modelo de precios básico básicamente no ha cambiado y se han realizado mejoras en términos de interacción con el usuario, pero no ha resuelto bien el problema de almacenar claves privadas en las billeteras de los usuarios. El riesgo de la centralización de los contratos es obvio, y los usuarios deben investigar el proyecto cuando interactúan.