A explosão contínua de Friend.tech mais uma vez chamou a atenção do mercado para a faixa SocialFi. Atualmente, os Friend.tech concorrentes de cada cadeia estão surgindo um após o outro, TOMO da cadeia Linea e New Bitcoin City da cadeia NOS com sua própria inovação, seu TVL ultrapassou US $ 1 milhão em um curto período de tempo, tornando-se um novato na pista SocialFi.
Embora esses projetos SocialFi estejam em pleno andamento, os riscos de segurança associados têm recebido muita atenção da comunidade. Final de agosto de Friend.tech Vazamento de privacidade devido ao design de acesso à API; Em 7 de outubro, a Stars Arena na cadeia Avalanche teve uma vulnerabilidade de reentrância, e os hackers reinseriram a função de chamada 0x5632b2e4 em seu contrato, resultando em um resultado de cálculo final excepcionalmente grande da função sellShares, e o protocolo perdeu cerca de US$ 2,9 milhões.
Anteriormente, Beosin conduziu uma análise detalhada dos mecanismos de projeto e potenciais riscos de segurança de Friend.tech. Hoje, a equipe de segurança da Beosin analisa os projetos emergentes TOMO e New Bitcoin City para ajudá-lo a entender os riscos potenciais.
Introdução ao TOMO
A TOMO é uma Friend.tech concorrente da rede Layer 2 da Linea e lançou um mecanismo de "votação" baseado no Friend.tech. Voto são as credenciais dos usuários do Twitter antes de se registrar no TOMO, e outros usuários podem negociar diretamente o voto de usuários não registrados. Após o registo do utilizador, o Voto correspondente será convertido em Chave.
A introdução do Vote evita a proliferação de robôs apressados até certo ponto, eliminando a necessidade de monitorar os usuários do Twitter que entram e emitem transações indiscriminadamente. Ao mesmo tempo, 5% dos lucros do Trading Vote serão distribuídos para o usuário do Twitter correspondente ao Vote, que pode receber a renda registrando-se no TOMO. Isso fornece um incentivo econômico para os usuários do Twitter migrarem para o TOMO.
Análise de risco TOMO
Beosin concluiu anteriormente uma auditoria da Tifo.trade, a maior bolsa de derivativos da cadeia pública da Linea. Desta vez, verificamos os contratos comerciais da TOMO através da ferramenta Beosin VaaS, combinada com a análise de especialistas em auditoria de segurança da Beosin, e descobrimos que a TOMO tem os seguintes riscos:
O contrato comercial da Tomo é de código aberto, e uma olhada em seu código de contrato revela que seu modelo de preços subjacente é semelhante ao Friend.tech. Se S for a retenção atual, o modelo de preço de chave da TOMO é S^2/43370, e o modelo de preço para Friend.tech é S^2/16000. Isso faz com que o preço chave da TOMO suba mais lentamente, atraindo mais usuários para participar da transação até certo ponto.
No entanto, a essência não mudou, porque quanto maior a quantidade total de Key, maior o preço de compra e maior o preço de venda, pode haver usuários iniciais comprando um grande número de Key, e o patrimônio comprado por usuários posteriores pode incorrer em perdas, e você precisa prestar atenção aos riscos ao participar do investimento.
! [Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) Modelo de preços para TOMO
! [Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech modelo de preços
2. Risco de centralização
Semelhante ao risco Friend.tech, o risco centralizado do TOMO não pode ser ignorado. **O proprietário do contrato pode ajustar a taxa de comissão sem limite, de modo a cobrar taxas elevadas, e pode até definir uma taxa de processamento de 100% para que os usuários não possam receber o dinheiro da venda, ou definir uma taxa de taxa de mais de 100% para suspender a função de compra e venda.
De acordo com as informações exibidas pela TOMO, a carteira gerada pela TOMO após o registro do usuário é a carteira ERC-4337 (carteira abstrata da conta). A comunidade levantou questões sobre a segurança patrimonial dessas carteiras.
Em primeiro lugar, Friend.tech e a maioria dos concorrentes, como a Stars Arena, usam carteiras EOA, que são carteiras externas comuns. As carteiras EOA exigem que cada transação iniciada seja assinada com uma chave privada, o que é relativamente complicado de interagir. Ao mesmo tempo, é difícil para os usuários manter chaves privadas com segurança, e depois que a carteira quente Deribit foi roubada US $ 28 milhões, Beosin compartilhou em detalhes como manter a carteira segura.
Para resolver esses problemas, o ERC-4337 propõe a abstração de conta introduzindo um objeto de transação chamado "UserOperation", onde os usuários podem usar uma única conta de carteira com contrato inteligente e funcionalidade EOA (carteira abstrata de conta). Usuários diferentes enviam objetos UserOperation para o pool de memória UserOperation. As transações são empacotadas por bundlers e enviadas para o mempool Ethereum. A transação empacotada é verificada pelo contrato do Ponto de Entrada e, em seguida, o contrato específico da Carteira é chamado para executar operações específicas e, em seguida, carregado na cadeia. O processo é mostrado na figura a seguir:
Através do fluxo de trabalho do ERC-4337, podemos saber que a carteira abstrata da conta tem os seguintes pontos de risco potenciais:
Risco do Contrato
O contrato de ponto de entrada e o contrato de carteira precisam ser implementados pelo próprio projeto, e a TOMO não abre o contrato relevante no momento. O contrato do Ponto de Entrada é responsável por verificar a legitimidade das transações enviadas pelos bundlers e invocar contratos específicos da Carteira com base nas transações. Se houver vulnerabilidades de lógica de negócios no contrato do Ponto de Entrada e no contrato da Carteira, os hackers podem atacar construindo transações específicas.
Riscos Relacionados com Chave Privada
Sob o esquema ERC-4337, se o usuário esquecer a chave privada, pode haver outras soluções para recuperar a carteira (de acordo com o design do projeto). No entanto, o roubo/vazamento da chave privada para outras pessoas também pode causar a perda dos ativos do usuário. Em 18 de outubro, TOMO abriu a função de exportar chaves privadas da carteira, os usuários precisam exportar chaves privadas e evitar que as chaves privadas sejam roubadas.
Introdução à Nova Cidade Bitcoin
New Bitcoin City (ou Alpha) é uma aplicação social semelhante a Friend.tech baseada na rede Bitcoin Layer 2 NOS, suportando tanto web como mobile. Os usuários podem negociar chaves para New Bitcoin City e Friend.tech em New Bitcoin City. Anteriormente, a equipe New Bitcoin City também lançou o projeto GameFi Mega Whales e o projeto DeFi New Bitcoin DEX.
New Bitcoin City também usa um modelo de preços semelhante ao Friend.tech, com um PRICE_KEYS_DENOMINATOR de 264000 no código e um NUMBER_UNIT_PER_ONE_ETHER de 10. Em comparação com o TOMO, os preços aumentam mais lentamente.
Além dos mesmos riscos de centralização que a parte TOMO, de acordo com a equipe New Bitcoin City, a NOS usa a tecnologia Trustless Computer Layer 2 para executar seus contratos. O Trustless Computer também foi desenvolvido pela equipe New Bitcoin City, e a camada de execução é baseada em OP Stack para desenvolver Ethereum compatível e verificação completa de dados na rede Bitcoin.
Atualmente, apenas os aplicativos sociais da New Bitcoin City estão ativos na rede, e a estabilidade e a segurança da rede não foram testadas.
3. Gestão de Chaves Privadas
New Bitcoin City é semelhante a Friend.tech em que os usuários geram uma carteira EOA depois de autorizar um aplicativo com o Twitter pela primeira vez. No entanto, a geração da carteira é feita no fundo da Nova Cidade Bitcoin, e o processo de geração e custódia de chaves privadas ainda é desconhecido.
Resumo
Friend.tech concorrentes melhoraram e inovaram com base em Friend.tech. O modelo de preços central é basicamente inalterado, e melhorias foram feitas em termos de interação do usuário, mas não resolveu bem o problema de armazenar chaves privadas nas carteiras dos usuários. O risco de centralização de contratos é óbvio, e os usuários precisam fazer pesquisas de projeto ao interagir.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Friend.tech Quais são os riscos potenciais do novo knockoff TOMO e New Bitcoin City?
A explosão contínua de Friend.tech mais uma vez chamou a atenção do mercado para a faixa SocialFi. Atualmente, os Friend.tech concorrentes de cada cadeia estão surgindo um após o outro, TOMO da cadeia Linea e New Bitcoin City da cadeia NOS com sua própria inovação, seu TVL ultrapassou US $ 1 milhão em um curto período de tempo, tornando-se um novato na pista SocialFi.
Embora esses projetos SocialFi estejam em pleno andamento, os riscos de segurança associados têm recebido muita atenção da comunidade. Final de agosto de Friend.tech Vazamento de privacidade devido ao design de acesso à API; Em 7 de outubro, a Stars Arena na cadeia Avalanche teve uma vulnerabilidade de reentrância, e os hackers reinseriram a função de chamada 0x5632b2e4 em seu contrato, resultando em um resultado de cálculo final excepcionalmente grande da função sellShares, e o protocolo perdeu cerca de US$ 2,9 milhões.
Anteriormente, Beosin conduziu uma análise detalhada dos mecanismos de projeto e potenciais riscos de segurança de Friend.tech. Hoje, a equipe de segurança da Beosin analisa os projetos emergentes TOMO e New Bitcoin City para ajudá-lo a entender os riscos potenciais.
Introdução ao TOMO
A TOMO é uma Friend.tech concorrente da rede Layer 2 da Linea e lançou um mecanismo de "votação" baseado no Friend.tech. Voto são as credenciais dos usuários do Twitter antes de se registrar no TOMO, e outros usuários podem negociar diretamente o voto de usuários não registrados. Após o registo do utilizador, o Voto correspondente será convertido em Chave.
A introdução do Vote evita a proliferação de robôs apressados até certo ponto, eliminando a necessidade de monitorar os usuários do Twitter que entram e emitem transações indiscriminadamente. Ao mesmo tempo, 5% dos lucros do Trading Vote serão distribuídos para o usuário do Twitter correspondente ao Vote, que pode receber a renda registrando-se no TOMO. Isso fornece um incentivo econômico para os usuários do Twitter migrarem para o TOMO.
Análise de risco TOMO
Beosin concluiu anteriormente uma auditoria da Tifo.trade, a maior bolsa de derivativos da cadeia pública da Linea. Desta vez, verificamos os contratos comerciais da TOMO através da ferramenta Beosin VaaS, combinada com a análise de especialistas em auditoria de segurança da Beosin, e descobrimos que a TOMO tem os seguintes riscos:
! Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City?
1. Risco do Negócio
O contrato comercial da Tomo é de código aberto, e uma olhada em seu código de contrato revela que seu modelo de preços subjacente é semelhante ao Friend.tech. Se S for a retenção atual, o modelo de preço de chave da TOMO é S^2/43370, e o modelo de preço para Friend.tech é S^2/16000. Isso faz com que o preço chave da TOMO suba mais lentamente, atraindo mais usuários para participar da transação até certo ponto.
No entanto, a essência não mudou, porque quanto maior a quantidade total de Key, maior o preço de compra e maior o preço de venda, pode haver usuários iniciais comprando um grande número de Key, e o patrimônio comprado por usuários posteriores pode incorrer em perdas, e você precisa prestar atenção aos riscos ao participar do investimento.
! [Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) Modelo de preços para TOMO
! [Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech modelo de preços
2. Risco de centralização
Semelhante ao risco Friend.tech, o risco centralizado do TOMO não pode ser ignorado. **O proprietário do contrato pode ajustar a taxa de comissão sem limite, de modo a cobrar taxas elevadas, e pode até definir uma taxa de processamento de 100% para que os usuários não possam receber o dinheiro da venda, ou definir uma taxa de taxa de mais de 100% para suspender a função de compra e venda.
! Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? fonte:
3. Risco de chave privada (carteira ERC-4337)
De acordo com as informações exibidas pela TOMO, a carteira gerada pela TOMO após o registro do usuário é a carteira ERC-4337 (carteira abstrata da conta). A comunidade levantou questões sobre a segurança patrimonial dessas carteiras.
Em primeiro lugar, Friend.tech e a maioria dos concorrentes, como a Stars Arena, usam carteiras EOA, que são carteiras externas comuns. As carteiras EOA exigem que cada transação iniciada seja assinada com uma chave privada, o que é relativamente complicado de interagir. Ao mesmo tempo, é difícil para os usuários manter chaves privadas com segurança, e depois que a carteira quente Deribit foi roubada US $ 28 milhões, Beosin compartilhou em detalhes como manter a carteira segura.
Para resolver esses problemas, o ERC-4337 propõe a abstração de conta introduzindo um objeto de transação chamado "UserOperation", onde os usuários podem usar uma única conta de carteira com contrato inteligente e funcionalidade EOA (carteira abstrata de conta). Usuários diferentes enviam objetos UserOperation para o pool de memória UserOperation. As transações são empacotadas por bundlers e enviadas para o mempool Ethereum. A transação empacotada é verificada pelo contrato do Ponto de Entrada e, em seguida, o contrato específico da Carteira é chamado para executar operações específicas e, em seguida, carregado na cadeia. O processo é mostrado na figura a seguir:
! Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? fonte:
Através do fluxo de trabalho do ERC-4337, podemos saber que a carteira abstrata da conta tem os seguintes pontos de risco potenciais:
Risco do Contrato
O contrato de ponto de entrada e o contrato de carteira precisam ser implementados pelo próprio projeto, e a TOMO não abre o contrato relevante no momento. O contrato do Ponto de Entrada é responsável por verificar a legitimidade das transações enviadas pelos bundlers e invocar contratos específicos da Carteira com base nas transações. Se houver vulnerabilidades de lógica de negócios no contrato do Ponto de Entrada e no contrato da Carteira, os hackers podem atacar construindo transações específicas.
Riscos Relacionados com Chave Privada
Sob o esquema ERC-4337, se o usuário esquecer a chave privada, pode haver outras soluções para recuperar a carteira (de acordo com o design do projeto). No entanto, o roubo/vazamento da chave privada para outras pessoas também pode causar a perda dos ativos do usuário. Em 18 de outubro, TOMO abriu a função de exportar chaves privadas da carteira, os usuários precisam exportar chaves privadas e evitar que as chaves privadas sejam roubadas.
Introdução à Nova Cidade Bitcoin
New Bitcoin City (ou Alpha) é uma aplicação social semelhante a Friend.tech baseada na rede Bitcoin Layer 2 NOS, suportando tanto web como mobile. Os usuários podem negociar chaves para New Bitcoin City e Friend.tech em New Bitcoin City. Anteriormente, a equipe New Bitcoin City também lançou o projeto GameFi Mega Whales e o projeto DeFi New Bitcoin DEX.
! Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? link:
Nova Análise de Risco da Cidade Bitcoin
1. Risco do Negócio
New Bitcoin City também usa um modelo de preços semelhante ao Friend.tech, com um PRICE_KEYS_DENOMINATOR de 264000 no código e um NUMBER_UNIT_PER_ONE_ETHER de 10. Em comparação com o TOMO, os preços aumentam mais lentamente.
! Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? fonte:
2. Risco Cibernético
Além dos mesmos riscos de centralização que a parte TOMO, de acordo com a equipe New Bitcoin City, a NOS usa a tecnologia Trustless Computer Layer 2 para executar seus contratos. O Trustless Computer também foi desenvolvido pela equipe New Bitcoin City, e a camada de execução é baseada em OP Stack para desenvolver Ethereum compatível e verificação completa de dados na rede Bitcoin.
! Friend.tech Quais são os riscos potenciais do novo knock-off TOMO e New Bitcoin City? fonte:
Atualmente, apenas os aplicativos sociais da New Bitcoin City estão ativos na rede, e a estabilidade e a segurança da rede não foram testadas.
3. Gestão de Chaves Privadas
New Bitcoin City é semelhante a Friend.tech em que os usuários geram uma carteira EOA depois de autorizar um aplicativo com o Twitter pela primeira vez. No entanto, a geração da carteira é feita no fundo da Nova Cidade Bitcoin, e o processo de geração e custódia de chaves privadas ainda é desconhecido.
Resumo
Friend.tech concorrentes melhoraram e inovaram com base em Friend.tech. O modelo de preços central é basicamente inalterado, e melhorias foram feitas em termos de interação do usuário, mas não resolveu bem o problema de armazenar chaves privadas nas carteiras dos usuários. O risco de centralização de contratos é óbvio, e os usuários precisam fazer pesquisas de projeto ao interagir.