L’explosion continue de Friend.tech a une fois de plus attiré l’attention du marché sur la piste SocialFi. À l’heure actuelle, les concurrents Friend.tech de chaque chaîne émergent l’un après l’autre, TOMO de la chaîne Linea et New Bitcoin City de la chaîne NOS avec leur propre innovation, leur TVL a dépassé 1 million de dollars en peu de temps, devenant une recrue dans la piste SocialFi.
Alors que de tels projets SocialFi battent leur plein, les risques de sécurité associés ont reçu beaucoup d’attention de la part de la communauté. Fin août Friend.tech Fuite de confidentialité due à la conception de l’accès à l’API ; Le 7 octobre, il y a eu une vulnérabilité de réentrée dans la Stars Arena sur la chaîne Avalanche, et les pirates ont réintégré la fonction de 0x5632b2e4 d’appel dans leur contrat, ce qui a entraîné un calcul final inhabituellement élevé de la fonction sellShares, et le protocole a perdu environ 2,9 millions de dollars.
Auparavant, Beosin avait effectué une analyse détaillée des mécanismes de conception et des risques de sécurité potentiels de Friend.tech. Aujourd’hui, l’équipe de sécurité de Beosin analyse les projets émergents TOMO et New Bitcoin City pour vous aider à comprendre les risques potentiels.
Présentation de TOMO
TOMO est un concurrent Friend.tech du réseau de couche 2 de Linea et a lancé un mécanisme de « vote » basé sur le Friend.tech. Le vote est le nom d’identification des utilisateurs de Twitter avant de s’inscrire sur TOMO, et les autres utilisateurs peuvent échanger directement le vote des utilisateurs non enregistrés. Une fois que l’utilisateur s’est inscrit, le vote correspondant sera converti en clé.
L’introduction de Vote évite dans une certaine mesure la prolifération des robots pressés, éliminant ainsi la nécessité de surveiller les utilisateurs de Twitter qui entrent et émettent des transactions sans discernement. Dans le même temps, 5 % des recettes de Trading Vote seront distribuées à l’utilisateur de Twitter correspondant à Vote, qui pourra recevoir les revenus en s’inscrivant à TOMO. Cela constitue une incitation économique pour les utilisateurs de Twitter à passer à TOMO.
Analyse des risques TOMO
Beosin a précédemment réalisé un audit de Tifo.trade, la plus grande bourse de produits dérivés de la chaîne publique de Linea. Cette fois-ci, nous avons analysé les contrats commerciaux TOMO à l’aide de l’outil Beosin VaaS, combiné à l’analyse des experts en audit de sécurité de Beosin, et avons constaté que TOMO présente les risques suivants :
1 Risque d’entreprise
Le contrat commercial de TOMO est open source, et un coup d’œil à son code contractuel révèle que son modèle de tarification sous-jacent est similaire à celui de Friend.tech. Si S est la position de maintien actuelle, le modèle de prix clé de TOMO est S^2/43370 et le modèle de prix pour Friend.tech est S^2/16000. Cela rend le prix de TOMO Key plus lent, attirant plus d’utilisateurs à participer à la transaction dans une certaine mesure.
Cependant, l’essence n’a pas changé, car plus le montant total de la clé est élevé, plus le prix d’achat est élevé et plus le prix de vente est élevé, il peut y avoir des utilisateurs précoces achetant un grand nombre de clés, et les capitaux propres achetés par les utilisateurs ultérieurs peuvent subir des pertes, et vous devez faire attention aux risques lorsque vous participez à l’investissement.
Le modèle de tarification de TOMO
Le modèle de tarification de Friend.tech
2 Risque de centralisation
À l’instar du risque Friend.tech, le risque centralisé de TOMO ne peut être ignoré. Le propriétaire du contrat peut ajuster le taux de commission indéfiniment, de manière à facturer des frais élevés, et peut même fixer des frais de traitement de 100% afin que les utilisateurs ne puissent pas recevoir l’argent de la vente, ou fixer un taux de frais de traitement de plus de 100% pour suspendre la fonction d’achat et de vente.
source:
3 Risque lié à la clé privée (portefeuille ERC-4337)
Selon les informations affichées par TOMO, le portefeuille généré par TOMO après l’enregistrement de l’utilisateur est le portefeuille ERC-4337 (account abstract wallet). La communauté a soulevé des questions sur la sécurité des actifs de ces portefeuilles.
Tout d’abord, Friend.tech et la plupart des concurrents tels que la Stars Arena utilisent des portefeuilles EOA, qui sont des portefeuilles ordinaires détenus par des tiers. Les portefeuilles EOA exigent que chaque transaction initiée soit signée avec une clé privée, ce qui est relativement difficile à utiliser. Dans le même temps, il est difficile pour les utilisateurs de conserver des clés privées en toute sécurité, et après le vol du portefeuille chaud Deribit de 28 millions de dollars, Beosin a partagé en détail comment protéger le portefeuille.
Pour résoudre ces problèmes, l’ERC-4337 propose l’abstraction de compte en introduisant un objet de transaction appelé « UserOperation », où les utilisateurs peuvent utiliser un seul compte de portefeuille avec à la fois des fonctionnalités de contrat intelligent et d’EOA (portefeuille abstrait de compte). Différents utilisateurs envoient des objets UserOperation au pool de mémoire UserOperation. Les transactions sont regroupées par des groupeurs et soumises au mempool Ethereum. La transaction packagée est vérifiée par le contrat de point d’entrée, puis le contrat de portefeuille spécifique est appelé pour effectuer des opérations spécifiques, puis téléchargé sur la chaîne. Le processus est illustré dans la figure suivante :
source:
Grâce au flux de travail de l’ERC-4337, nous pouvons savoir que le portefeuille abstrait de compte présente les points de risque potentiels suivants :
(1) Risque contractuel
Le contrat de point d’entrée et le contrat de portefeuille doivent être mis en œuvre par la partie du projet**, et TOMO ne propose pas de contrats liés à l’open source pour le moment. **Le contrat de point d’entrée vérifie la légitimité des transactions soumises par le groupeur et appelle des contrats de portefeuille spécifiques en fonction des transactions. S’il existe des vulnérabilités de logique métier dans le contrat de point d’entrée et le contrat de portefeuille, les pirates peuvent attaquer en construisant des transactions spécifiques.
(2) Risques associés aux clés privées
Dans le cadre du schéma ERC-4337, si l’utilisateur oublie la clé privée, il peut y avoir d’autres solutions pour récupérer le portefeuille (selon la conception du projet). Cependant, Le vol/fuite de la clé privée à d’autres personnes peut également entraîner la perte d’actifs de l’utilisateur. Le 18 octobre, TOMO a ouvert la fonction d’exportation des clés privées des portefeuilles, les utilisateurs doivent exporter des clés privées et empêcher le vol de clés privées.
Introduction à New Bitcoin City
New Bitcoin City (ou Alpha) est une application sociale de type Friend.tech basée sur le réseau Bitcoin Layer 2 NOS, prenant en charge à la fois le Web et le mobile. Les utilisateurs peuvent échanger des clés vers New Bitcoin City et Friend.tech dans New Bitcoin City. Auparavant, l’équipe de New Bitcoin City a également lancé le projet GameFi Mega Whales et le projet DeFi New Bitcoin DEX.
lien:
Nouvelle analyse des risques de Bitcoin City
1 Risque d’entreprise
New Bitcoin City utilise également un modèle de tarification similaire à celui de Friend.tech, avec un PRICE_KEYS_DENOMINATOR de 264000 dans le code et un NUMBER_UNIT_PER_ONE_ETHER de 10. Par rapport à TOMO, les prix augmentent plus lentement.
source:
2 Cyber-risque
En plus des mêmes risques de centralisation que la partie TOMO, selon l’équipe de New Bitcoin City, NOS utilise la technologie Trustless Computer Layer 2 pour exécuter ses contrats. L’ordinateur sans confiance a également été développé par l’équipe de New Bitcoin City, et la couche d’exécution est basée sur OP Stack pour développer un Ethereum compatible et compléter la vérification des données sur le réseau Bitcoin.
source:
Actuellement, seules les applications sociales de New Bitcoin City sont actives sur le réseau, et la stabilité et la sécurité du réseau n’ont pas été testées.
3 Gestion des clés privées
New Bitcoin City est similaire à Friend.tech en ce sens que les utilisateurs génèrent un portefeuille EOA après avoir autorisé une application avec Twitter pour la première fois. Cependant, la génération du portefeuille se fait en arrière-plan de New Bitcoin City, et le processus de génération et de garde de la clé privée est encore inconnu.
Résumé
Friend.tech concurrents se sont améliorés et ont innové sur la base de Friend.tech. Le modèle de tarification de base reste en grande partie inchangé, avec des améliorations dans l’interaction avec les utilisateurs, mais ne résout pas bien le problème du stockage des clés privées dans les portefeuilles des utilisateurs. **Le risque de centralisation du contrat est évident, et les utilisateurs doivent faire des recherches sur le projet lorsqu’ils interagissent.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Analysez la piste SocialFi TOMO et New Bitcoin City du point de vue de la sécurité
Source: Beosin
L’explosion continue de Friend.tech a une fois de plus attiré l’attention du marché sur la piste SocialFi. À l’heure actuelle, les concurrents Friend.tech de chaque chaîne émergent l’un après l’autre, TOMO de la chaîne Linea et New Bitcoin City de la chaîne NOS avec leur propre innovation, leur TVL a dépassé 1 million de dollars en peu de temps, devenant une recrue dans la piste SocialFi.
Alors que de tels projets SocialFi battent leur plein, les risques de sécurité associés ont reçu beaucoup d’attention de la part de la communauté. Fin août Friend.tech Fuite de confidentialité due à la conception de l’accès à l’API ; Le 7 octobre, il y a eu une vulnérabilité de réentrée dans la Stars Arena sur la chaîne Avalanche, et les pirates ont réintégré la fonction de 0x5632b2e4 d’appel dans leur contrat, ce qui a entraîné un calcul final inhabituellement élevé de la fonction sellShares, et le protocole a perdu environ 2,9 millions de dollars.
Auparavant, Beosin avait effectué une analyse détaillée des mécanismes de conception et des risques de sécurité potentiels de Friend.tech. Aujourd’hui, l’équipe de sécurité de Beosin analyse les projets émergents TOMO et New Bitcoin City pour vous aider à comprendre les risques potentiels.
Présentation de TOMO
TOMO est un concurrent Friend.tech du réseau de couche 2 de Linea et a lancé un mécanisme de « vote » basé sur le Friend.tech. Le vote est le nom d’identification des utilisateurs de Twitter avant de s’inscrire sur TOMO, et les autres utilisateurs peuvent échanger directement le vote des utilisateurs non enregistrés. Une fois que l’utilisateur s’est inscrit, le vote correspondant sera converti en clé.
L’introduction de Vote évite dans une certaine mesure la prolifération des robots pressés, éliminant ainsi la nécessité de surveiller les utilisateurs de Twitter qui entrent et émettent des transactions sans discernement. Dans le même temps, 5 % des recettes de Trading Vote seront distribuées à l’utilisateur de Twitter correspondant à Vote, qui pourra recevoir les revenus en s’inscrivant à TOMO. Cela constitue une incitation économique pour les utilisateurs de Twitter à passer à TOMO.
Analyse des risques TOMO
Beosin a précédemment réalisé un audit de Tifo.trade, la plus grande bourse de produits dérivés de la chaîne publique de Linea. Cette fois-ci, nous avons analysé les contrats commerciaux TOMO à l’aide de l’outil Beosin VaaS, combiné à l’analyse des experts en audit de sécurité de Beosin, et avons constaté que TOMO présente les risques suivants :
1 Risque d’entreprise
Le contrat commercial de TOMO est open source, et un coup d’œil à son code contractuel révèle que son modèle de tarification sous-jacent est similaire à celui de Friend.tech. Si S est la position de maintien actuelle, le modèle de prix clé de TOMO est S^2/43370 et le modèle de prix pour Friend.tech est S^2/16000. Cela rend le prix de TOMO Key plus lent, attirant plus d’utilisateurs à participer à la transaction dans une certaine mesure.
Cependant, l’essence n’a pas changé, car plus le montant total de la clé est élevé, plus le prix d’achat est élevé et plus le prix de vente est élevé, il peut y avoir des utilisateurs précoces achetant un grand nombre de clés, et les capitaux propres achetés par les utilisateurs ultérieurs peuvent subir des pertes, et vous devez faire attention aux risques lorsque vous participez à l’investissement.
2 Risque de centralisation
À l’instar du risque Friend.tech, le risque centralisé de TOMO ne peut être ignoré. Le propriétaire du contrat peut ajuster le taux de commission indéfiniment, de manière à facturer des frais élevés, et peut même fixer des frais de traitement de 100% afin que les utilisateurs ne puissent pas recevoir l’argent de la vente, ou fixer un taux de frais de traitement de plus de 100% pour suspendre la fonction d’achat et de vente.
3 Risque lié à la clé privée (portefeuille ERC-4337)
Selon les informations affichées par TOMO, le portefeuille généré par TOMO après l’enregistrement de l’utilisateur est le portefeuille ERC-4337 (account abstract wallet). La communauté a soulevé des questions sur la sécurité des actifs de ces portefeuilles.
Tout d’abord, Friend.tech et la plupart des concurrents tels que la Stars Arena utilisent des portefeuilles EOA, qui sont des portefeuilles ordinaires détenus par des tiers. Les portefeuilles EOA exigent que chaque transaction initiée soit signée avec une clé privée, ce qui est relativement difficile à utiliser. Dans le même temps, il est difficile pour les utilisateurs de conserver des clés privées en toute sécurité, et après le vol du portefeuille chaud Deribit de 28 millions de dollars, Beosin a partagé en détail comment protéger le portefeuille.
Pour résoudre ces problèmes, l’ERC-4337 propose l’abstraction de compte en introduisant un objet de transaction appelé « UserOperation », où les utilisateurs peuvent utiliser un seul compte de portefeuille avec à la fois des fonctionnalités de contrat intelligent et d’EOA (portefeuille abstrait de compte). Différents utilisateurs envoient des objets UserOperation au pool de mémoire UserOperation. Les transactions sont regroupées par des groupeurs et soumises au mempool Ethereum. La transaction packagée est vérifiée par le contrat de point d’entrée, puis le contrat de portefeuille spécifique est appelé pour effectuer des opérations spécifiques, puis téléchargé sur la chaîne. Le processus est illustré dans la figure suivante :
Grâce au flux de travail de l’ERC-4337, nous pouvons savoir que le portefeuille abstrait de compte présente les points de risque potentiels suivants :
(1) Risque contractuel
Le contrat de point d’entrée et le contrat de portefeuille doivent être mis en œuvre par la partie du projet**, et TOMO ne propose pas de contrats liés à l’open source pour le moment. **Le contrat de point d’entrée vérifie la légitimité des transactions soumises par le groupeur et appelle des contrats de portefeuille spécifiques en fonction des transactions. S’il existe des vulnérabilités de logique métier dans le contrat de point d’entrée et le contrat de portefeuille, les pirates peuvent attaquer en construisant des transactions spécifiques.
(2) Risques associés aux clés privées
Dans le cadre du schéma ERC-4337, si l’utilisateur oublie la clé privée, il peut y avoir d’autres solutions pour récupérer le portefeuille (selon la conception du projet). Cependant, Le vol/fuite de la clé privée à d’autres personnes peut également entraîner la perte d’actifs de l’utilisateur. Le 18 octobre, TOMO a ouvert la fonction d’exportation des clés privées des portefeuilles, les utilisateurs doivent exporter des clés privées et empêcher le vol de clés privées.
Introduction à New Bitcoin City
New Bitcoin City (ou Alpha) est une application sociale de type Friend.tech basée sur le réseau Bitcoin Layer 2 NOS, prenant en charge à la fois le Web et le mobile. Les utilisateurs peuvent échanger des clés vers New Bitcoin City et Friend.tech dans New Bitcoin City. Auparavant, l’équipe de New Bitcoin City a également lancé le projet GameFi Mega Whales et le projet DeFi New Bitcoin DEX.
Nouvelle analyse des risques de Bitcoin City
1 Risque d’entreprise
New Bitcoin City utilise également un modèle de tarification similaire à celui de Friend.tech, avec un PRICE_KEYS_DENOMINATOR de 264000 dans le code et un NUMBER_UNIT_PER_ONE_ETHER de 10. Par rapport à TOMO, les prix augmentent plus lentement.
2 Cyber-risque
En plus des mêmes risques de centralisation que la partie TOMO, selon l’équipe de New Bitcoin City, NOS utilise la technologie Trustless Computer Layer 2 pour exécuter ses contrats. L’ordinateur sans confiance a également été développé par l’équipe de New Bitcoin City, et la couche d’exécution est basée sur OP Stack pour développer un Ethereum compatible et compléter la vérification des données sur le réseau Bitcoin.
Actuellement, seules les applications sociales de New Bitcoin City sont actives sur le réseau, et la stabilité et la sécurité du réseau n’ont pas été testées.
3 Gestion des clés privées
New Bitcoin City est similaire à Friend.tech en ce sens que les utilisateurs génèrent un portefeuille EOA après avoir autorisé une application avec Twitter pour la première fois. Cependant, la génération du portefeuille se fait en arrière-plan de New Bitcoin City, et le processus de génération et de garde de la clé privée est encore inconnu.
Résumé
Friend.tech concurrents se sont améliorés et ont innové sur la base de Friend.tech. Le modèle de tarification de base reste en grande partie inchangé, avec des améliorations dans l’interaction avec les utilisateurs, mais ne résout pas bien le problème du stockage des clés privées dans les portefeuilles des utilisateurs. **Le risque de centralisation du contrat est évident, et les utilisateurs doivent faire des recherches sur le projet lorsqu’ils interagissent.