出典:ベオシンFriend.tech の継続的な爆発は、市場を再びSocialFiトラックの注目を集めました。 現在、各チェーンの Friend.tech 競合他社、リネアチェーンのTOMOとNOSチェーンのニュービットコインシティが独自のイノベーションで次々と出現しており、TVLは短期間で100万ドルを超え、SocialFiトラックの新人になりました。このようなSocialFiプロジェクトが本格化している間、関連するセキュリティリスクはコミュニティから多くの注目を集めています。 8月末**Friend.tech APIアクセス設計によるプライバシー漏洩**; 10月7日、アバランチチェーンの**スターズアリーナ**に再入の脆弱性があり、ハッカーが契約にコール0x5632b2e4機能を再入力したため、sellShares機能の最終計算が異常に大きくなり、プロトコルは約290万ドルを失いました。以前、Beosinは設計メカニズムと Friend.tech の潜在的なセキュリティリスクの詳細な分析を実施しました。 今日、Beosinセキュリティチームは、潜在的なリスクを理解するのに役立つ新しいプロジェクトTOMOとニュービットコインシティを分析します。 ### **トモ紹介**TOMOはLineaのレイヤー2ネットワークの Friend.tech 競争相手であり、Friend.tech に基づく「投票」メカニズムを開始しました。 投票はTOMOに登録する前のTwitterユーザーの資格情報であり、他のユーザーは未登録ユーザーの投票を直接交換できます。 ユーザーが登録すると、対応する投票がキーに変換されます。 Voteの導入により、駆けつけるロボットの拡散をある程度回避し、Twitterユーザーが無差別に取引を開始して発行するのを監視する必要がなくなります。 同時に、トレーディング投票の収益の5%は、TOMOに登録することで収入を受け取ることができる投票に対応するTwitterユーザーに分配されます。 これは、TwitterユーザーがTOMOに移行する経済的インセンティブを提供します。 **TOMOリスク分析**Beosinは以前、Lineaのパブリックチェーンで最大のデリバティブ取引所であるTifo.tradeの監査を完了しました。 今回、Beosin VaaSツールを通じてTOMOのビジネス契約をスキャンし、Beosinのセキュリティ監査専門家の分析と組み合わせて、TOMOには次のリスクがあることがわかりました。 #### **1 事業リスク**TOMOのビジネス契約はオープンソースであり、その契約コードを見ると、その基礎となる価格設定モデルは Friend.tech と似ていることがわかります。 S が現在の保留の場合、TOMO のキー価格モデルは S^2/43370 で、Friend.tech の価格モデルは S^2/16000 です。 これにより、TOMOのKey価格の上昇が遅くなり、ある程度取引に参加するユーザーが増えます。しかし、Keyの総量が多いほど、購入価格が高くなり、販売価格が高くなるため、初期のユーザーがKeyを大量に購入し、後のユーザーが購入した株式が損失を被る可能性があり、投資に参加する際のリスクに注意を払う必要があるため、本質は変わっていません。 TOMOの価格設定モデル フレンドテックの価格設定モデル#### **2 集中化リスク**Friend.tech リスクと同様に、TOMOの集中型リスクも無視できません。 契約の所有者は、手数料率を無期限に調整して高額の手数料を請求することができ、ユーザーが販売からお金を受け取ることができないように100%の手数料を設定したり、100%を超える手数料率を設定して売買機能を一時停止することもできます。 源:**3 秘密鍵リスク(ERC-4337ウォレット)**TOMOが表示する情報によると、ユーザー登録後にTOMOが生成するウォレットはERC-4337ウォレット(口座抽象ウォレット)です。 コミュニティは、そのようなウォレットの資産セキュリティについて疑問を投げかけています。まず第一に、Friend.tech やスターズアリーナなどのほとんどの競合他社は、通常の外部所有のウォレットであるEOAウォレットを使用しています。 EOAウォレットでは、開始された各トランザクションに秘密鍵で署名する必要がありますが、これは対話が比較的面倒です。 同時に、ユーザーが秘密鍵を安全に保管することは困難であり、Deribitホットウォレットが2800万ドル盗まれた後、Beosinはウォレットを安全に保つ方法を詳細に共有しました。これらの問題を解決するために、ERC-4337は、ユーザーがスマートコントラクトとEOA機能の両方を備えた単一のウォレットアカウント(アカウント抽象ウォレット)を使用できる「UserOperation」と呼ばれるトランザクションオブジェクトを導入することにより、アカウントの抽象化を提案します。 さまざまなユーザーが UserOperation オブジェクトを UserOperation メモリ プールに送信します。 トランザクションはバンドラーによってパッケージ化され、イーサリアムのメモリプールに送信されます。 パッケージ化されたトランザクションはエントリポイントコントラクトによって検証され、特定のウォレットコントラクトが呼び出されて特定の操作が実行され、チェーンにアップロードされます。 このプロセスを次の図に示します。 源:ERC-4337のワークフローを通じて、アカウント抽象ウォレットには次の潜在的なリスクポイントがあることがわかります。**(1)契約リスク****エントリーポイント契約とウォレット契約はプロジェクト当事者が実装する必要があり****、TOMOは現在オープンソース関連の契約を行っていません。 **エントリーポイント契約は、バンドラーによって送信されたトランザクションの正当性を検証し、トランザクションに基づいて特定のウォレットコントラクトを呼び出します。 エントリポイントコントラクトとウォレットコントラクトにビジネスロジックの脆弱性がある場合、ハッカーは特定のトランザクションを構築することで攻撃できます。**(2) 秘密鍵に関するリスク**ERC-4337スキームでは、ユーザーが秘密鍵を忘れた場合、ウォレットを回復するための他のソリューションがある可能性があります(プロジェクトの設計による)。 ただし、**秘密鍵の他人への盗難/漏洩も、ユーザーの資産損失を引き起こす可能性があります**。 10月18日、TOMOはウォレット秘密鍵をエクスポートする機能を開き、ユーザーは秘密鍵をエクスポートし、秘密鍵が盗まれるのを防ぐ必要があります。**ニュービットコインシティの紹介**New ビットコイン City(またはAlpha)は、ビットコインレイヤー2ネットワークNOSに基づく Friend.tech のようなソーシャルアプリケーションであり、Webとモバイルの両方をサポートします。 ユーザーは、ニュービットコインシティとニュービットコインシティの Friend.tech に鍵を交換できます。 以前、ニュービットコインシティチームは、GameFiプロジェクトMega WhalesとDeFiプロジェクトNew ビットコイン DEXも立ち上げました。 リンク:**新ビットコイン都市リスク分析****1 事業等のリスク**ニュービットコインシティも Friend.tech と同様の価格設定モデルを使用しており、コード内のPRICE\_KEYS\_DENOMINATORは264000、NUMBER\_UNIT\_PER\_ONE\_ETHERは10です。 TOMOと比較して、価格はゆっくりと上昇します。 源:**2 サイバーリスク**ニュービットコインシティチームによると、TOMOの部分と同じ集中化リスクに加えて、NOSはトラストレスコンピューターレイヤー2テクノロジーを使用して契約を運営しています。 トラストレスコンピュータもニュービットコインシティチームによって開発され、実行層はOPスタックに基づいて互換性のあるイーサリアムを開発し、ビットコインネットワーク上でのデータ検証を完了します。 源:現在、ネットワーク上でアクティブになっているのはNew ビットコイン Cityのソーシャルアプリケーションのみであり、ネットワークの安定性とセキュリティはテストされていません。**3 秘密鍵管理**ニュービットコインシティは、ユーザーがTwitterで初めてアプリを承認した後にEOAウォレットを生成するという点で Friend.tech に似ています。 ただし、ウォレットの生成はニュービットコインシティのバックグラウンドで行われ、秘密鍵の生成と保管プロセスはまだ不明です。**概要**Friend.tech 競合他社は、Friend.tech に基づいて改善および革新してきました。 コア価格設定モデルは、ユーザーインタラクションが改善されてほとんど変更されていませんが、ユーザーウォレットに秘密鍵を保存する問題を適切に解決するものではありません。 **契約の集中化のリスクは明らかであり、ユーザーは対話するときにプロジェクト調査を行う必要があります。
SocialFiトラックTOMOとニュービットコインシティをセキュリティの観点から分析する
出典:ベオシン
Friend.tech の継続的な爆発は、市場を再びSocialFiトラックの注目を集めました。 現在、各チェーンの Friend.tech 競合他社、リネアチェーンのTOMOとNOSチェーンのニュービットコインシティが独自のイノベーションで次々と出現しており、TVLは短期間で100万ドルを超え、SocialFiトラックの新人になりました。
このようなSocialFiプロジェクトが本格化している間、関連するセキュリティリスクはコミュニティから多くの注目を集めています。 8月末Friend.tech APIアクセス設計によるプライバシー漏洩; 10月7日、アバランチチェーンのスターズアリーナに再入の脆弱性があり、ハッカーが契約にコール0x5632b2e4機能を再入力したため、sellShares機能の最終計算が異常に大きくなり、プロトコルは約290万ドルを失いました。
以前、Beosinは設計メカニズムと Friend.tech の潜在的なセキュリティリスクの詳細な分析を実施しました。 今日、Beosinセキュリティチームは、潜在的なリスクを理解するのに役立つ新しいプロジェクトTOMOとニュービットコインシティを分析します。
トモ紹介
TOMOはLineaのレイヤー2ネットワークの Friend.tech 競争相手であり、Friend.tech に基づく「投票」メカニズムを開始しました。 投票はTOMOに登録する前のTwitterユーザーの資格情報であり、他のユーザーは未登録ユーザーの投票を直接交換できます。 ユーザーが登録すると、対応する投票がキーに変換されます。
Voteの導入により、駆けつけるロボットの拡散をある程度回避し、Twitterユーザーが無差別に取引を開始して発行するのを監視する必要がなくなります。 同時に、トレーディング投票の収益の5%は、TOMOに登録することで収入を受け取ることができる投票に対応するTwitterユーザーに分配されます。 これは、TwitterユーザーがTOMOに移行する経済的インセンティブを提供します。
TOMOリスク分析
Beosinは以前、Lineaのパブリックチェーンで最大のデリバティブ取引所であるTifo.tradeの監査を完了しました。 今回、Beosin VaaSツールを通じてTOMOのビジネス契約をスキャンし、Beosinのセキュリティ監査専門家の分析と組み合わせて、TOMOには次のリスクがあることがわかりました。
1 事業リスク
TOMOのビジネス契約はオープンソースであり、その契約コードを見ると、その基礎となる価格設定モデルは Friend.tech と似ていることがわかります。 S が現在の保留の場合、TOMO のキー価格モデルは S^2/43370 で、Friend.tech の価格モデルは S^2/16000 です。 これにより、TOMOのKey価格の上昇が遅くなり、ある程度取引に参加するユーザーが増えます。
しかし、Keyの総量が多いほど、購入価格が高くなり、販売価格が高くなるため、初期のユーザーがKeyを大量に購入し、後のユーザーが購入した株式が損失を被る可能性があり、投資に参加する際のリスクに注意を払う必要があるため、本質は変わっていません。
2 集中化リスク
Friend.tech リスクと同様に、TOMOの集中型リスクも無視できません。 契約の所有者は、手数料率を無期限に調整して高額の手数料を請求することができ、ユーザーが販売からお金を受け取ることができないように100%の手数料を設定したり、100%を超える手数料率を設定して売買機能を一時停止することもできます。
3 秘密鍵リスク(ERC-4337ウォレット)
TOMOが表示する情報によると、ユーザー登録後にTOMOが生成するウォレットはERC-4337ウォレット(口座抽象ウォレット)です。 コミュニティは、そのようなウォレットの資産セキュリティについて疑問を投げかけています。
まず第一に、Friend.tech やスターズアリーナなどのほとんどの競合他社は、通常の外部所有のウォレットであるEOAウォレットを使用しています。 EOAウォレットでは、開始された各トランザクションに秘密鍵で署名する必要がありますが、これは対話が比較的面倒です。 同時に、ユーザーが秘密鍵を安全に保管することは困難であり、Deribitホットウォレットが2800万ドル盗まれた後、Beosinはウォレットを安全に保つ方法を詳細に共有しました。
これらの問題を解決するために、ERC-4337は、ユーザーがスマートコントラクトとEOA機能の両方を備えた単一のウォレットアカウント(アカウント抽象ウォレット)を使用できる「UserOperation」と呼ばれるトランザクションオブジェクトを導入することにより、アカウントの抽象化を提案します。 さまざまなユーザーが UserOperation オブジェクトを UserOperation メモリ プールに送信します。 トランザクションはバンドラーによってパッケージ化され、イーサリアムのメモリプールに送信されます。 パッケージ化されたトランザクションはエントリポイントコントラクトによって検証され、特定のウォレットコントラクトが呼び出されて特定の操作が実行され、チェーンにアップロードされます。 このプロセスを次の図に示します。
ERC-4337のワークフローを通じて、アカウント抽象ウォレットには次の潜在的なリスクポイントがあることがわかります。
(1)契約リスク
エントリーポイント契約とウォレット契約はプロジェクト当事者が実装する必要があり**、TOMOは現在オープンソース関連の契約を行っていません。 **エントリーポイント契約は、バンドラーによって送信されたトランザクションの正当性を検証し、トランザクションに基づいて特定のウォレットコントラクトを呼び出します。 エントリポイントコントラクトとウォレットコントラクトにビジネスロジックの脆弱性がある場合、ハッカーは特定のトランザクションを構築することで攻撃できます。
(2) 秘密鍵に関するリスク
ERC-4337スキームでは、ユーザーが秘密鍵を忘れた場合、ウォレットを回復するための他のソリューションがある可能性があります(プロジェクトの設計による)。 ただし、秘密鍵の他人への盗難/漏洩も、ユーザーの資産損失を引き起こす可能性があります。 10月18日、TOMOはウォレット秘密鍵をエクスポートする機能を開き、ユーザーは秘密鍵をエクスポートし、秘密鍵が盗まれるのを防ぐ必要があります。
ニュービットコインシティの紹介
New ビットコイン City(またはAlpha)は、ビットコインレイヤー2ネットワークNOSに基づく Friend.tech のようなソーシャルアプリケーションであり、Webとモバイルの両方をサポートします。 ユーザーは、ニュービットコインシティとニュービットコインシティの Friend.tech に鍵を交換できます。 以前、ニュービットコインシティチームは、GameFiプロジェクトMega WhalesとDeFiプロジェクトNew ビットコイン DEXも立ち上げました。
新ビットコイン都市リスク分析
1 事業等のリスク
ニュービットコインシティも Friend.tech と同様の価格設定モデルを使用しており、コード内のPRICE_KEYS_DENOMINATORは264000、NUMBER_UNIT_PER_ONE_ETHERは10です。 TOMOと比較して、価格はゆっくりと上昇します。
2 サイバーリスク
ニュービットコインシティチームによると、TOMOの部分と同じ集中化リスクに加えて、NOSはトラストレスコンピューターレイヤー2テクノロジーを使用して契約を運営しています。 トラストレスコンピュータもニュービットコインシティチームによって開発され、実行層はOPスタックに基づいて互換性のあるイーサリアムを開発し、ビットコインネットワーク上でのデータ検証を完了します。
現在、ネットワーク上でアクティブになっているのはNew ビットコイン Cityのソーシャルアプリケーションのみであり、ネットワークの安定性とセキュリティはテストされていません。
3 秘密鍵管理
ニュービットコインシティは、ユーザーがTwitterで初めてアプリを承認した後にEOAウォレットを生成するという点で Friend.tech に似ています。 ただし、ウォレットの生成はニュービットコインシティのバックグラウンドで行われ、秘密鍵の生成と保管プロセスはまだ不明です。
概要
Friend.tech 競合他社は、Friend.tech に基づいて改善および革新してきました。 コア価格設定モデルは、ユーザーインタラクションが改善されてほとんど変更されていませんが、ユーザーウォレットに秘密鍵を保存する問題を適切に解決するものではありません。 **契約の集中化のリスクは明らかであり、ユーザーは対話するときにプロジェクト調査を行う必要があります。