A explosão contínua de Friend.tech mais uma vez chamou a atenção do mercado para a faixa SocialFi. Atualmente, os Friend.tech concorrentes de cada cadeia estão surgindo um após o outro, TOMO da cadeia Linea e New Bitcoin City da cadeia NOS com sua própria inovação, seu TVL ultrapassou US $ 1 milhão em um curto período de tempo, tornando-se um novato na pista SocialFi.
Embora esses projetos SocialFi estejam em pleno andamento, os riscos de segurança associados têm recebido muita atenção da comunidade. Final de agosto Friend.tech Fuga de privacidade devido ao design de acesso à API; Em 7 de outubro, houve uma vulnerabilidade de reentrância na Stars Arena na cadeia Avalanche, e os hackers reentraram na função de chamada 0x5632b2e4 em seu contrato, resultando em um cálculo final excepcionalmente grande da função sellShares, e o protocolo perdeu cerca de US$ 2,9 milhões.
Anteriormente, Beosin conduziu uma análise detalhada dos mecanismos de projeto e potenciais riscos de segurança de Friend.tech. Hoje, a equipe de segurança da Beosin analisa os projetos emergentes TOMO e New Bitcoin City para ajudá-lo a entender os riscos potenciais.
TOMO Introdução
A TOMO é uma Friend.tech concorrente da rede Layer 2 da Linea e lançou um mecanismo de "votação" baseado no Friend.tech. Voto são as credenciais dos usuários do Twitter antes de se registrar no TOMO, e outros usuários podem negociar diretamente o voto de usuários não registrados. Após o registo do utilizador, o Voto correspondente será convertido em Chave.
A introdução do Vote evita a proliferação de robôs apressados até certo ponto, eliminando a necessidade de monitorar os usuários do Twitter que entram e emitem transações indiscriminadamente. Ao mesmo tempo, 5% dos lucros do Trading Vote serão distribuídos para o usuário do Twitter correspondente ao Vote, que pode receber a renda registrando-se no TOMO. Isso fornece um incentivo econômico para os usuários do Twitter migrarem para o TOMO.
Análise de Risco TOMO
Beosin concluiu anteriormente uma auditoria da Tifo.trade, a maior bolsa de derivativos da cadeia pública da Linea. Desta vez, verificamos os contratos comerciais da TOMO através da ferramenta Beosin VaaS, combinada com a análise de especialistas em auditoria de segurança da Beosin, e descobrimos que a TOMO tem os seguintes riscos:
1 Risco do Negócio
O contrato comercial da Tomo é de código aberto, e uma olhada em seu código de contrato revela que seu modelo de preços subjacente é semelhante ao Friend.tech. Se S for a retenção atual, o modelo de preço de chave da TOMO é S^2/43370, e o modelo de preço para Friend.tech é S^2/16000. Isso faz com que o preço chave da TOMO suba mais lentamente, atraindo mais usuários para participar da transação até certo ponto.
No entanto, a essência não mudou, porque quanto maior a quantidade total de Key, maior o preço de compra e maior o preço de venda, pode haver usuários iniciais comprando um grande número de Key, e o patrimônio comprado por usuários posteriores pode incorrer em perdas, e você precisa prestar atenção aos riscos ao participar do investimento.
Modelo de preços da TOMO
Modelo de preços da Friend.tech
2 Risco de Centralização
Semelhante ao risco Friend.tech, o risco centralizado do TOMO não pode ser ignorado. O proprietário do contrato pode ajustar a taxa de comissão indefinidamente, de modo a cobrar taxas elevadas, e pode até definir uma taxa de processamento de 100% para que os usuários não possam receber o dinheiro da venda, ou definir uma taxa de taxa de processamento de mais de 100% para suspender a função de compra e venda.
Fonte:
3 Risco de Chave Privada (Carteira ERC-4337)
De acordo com as informações exibidas pela TOMO, a carteira gerada pela TOMO após o registro do usuário é a carteira ERC-4337 (carteira abstrata da conta). A comunidade levantou questões sobre a segurança patrimonial dessas carteiras.
Em primeiro lugar, Friend.tech e a maioria dos concorrentes, como a Stars Arena, usam carteiras EOA, que são carteiras externas comuns. As carteiras EOA exigem que cada transação iniciada seja assinada com uma chave privada, o que é relativamente complicado de interagir. Ao mesmo tempo, é difícil para os usuários manter chaves privadas com segurança, e depois que a carteira quente Deribit foi roubada US $ 28 milhões, Beosin compartilhou em detalhes como manter a carteira segura.
Para resolver esses problemas, o ERC-4337 propõe a abstração de conta introduzindo um objeto de transação chamado "UserOperation", onde os usuários podem usar uma única conta de carteira com contrato inteligente e funcionalidade EOA (carteira abstrata de conta). Usuários diferentes enviam objetos UserOperation para o pool de memória UserOperation. As transações são empacotadas por bundlers e enviadas para o mempool Ethereum. A transação empacotada é verificada pelo contrato do Ponto de Entrada e, em seguida, o contrato específico da Carteira é chamado para executar operações específicas e, em seguida, carregado na cadeia. O processo é mostrado na figura a seguir:
Fonte:
Através do fluxo de trabalho do ERC-4337, podemos saber que a carteira abstrata da conta tem os seguintes pontos de risco potenciais:
(1) Risco contratual
O contrato de Ponto de Entrada e o contrato de Carteira precisam ser implementados pela parte do projeto**, e a TOMO não tem contratos relacionados a código aberto no momento. **O contrato de Ponto de Entrada verifica a legitimidade das transações enviadas pelo empacotador e chama contratos de Carteira específicos com base nas transações. Se houver vulnerabilidades de lógica de negócios no contrato do Ponto de Entrada e no contrato da Carteira, os hackers podem atacar construindo transações específicas.
(2) Riscos associados às chaves privadas
Sob o esquema ERC-4337, se o usuário esquecer a chave privada, pode haver outras soluções para recuperar a carteira (de acordo com o design do projeto). No entanto, O roubo/vazamento da chave privada para outras pessoas também pode causar a perda de ativos do usuário. Em 18 de outubro, TOMO abriu a função de exportar chaves privadas da carteira, os usuários precisam exportar chaves privadas e evitar que as chaves privadas sejam roubadas.
Introdução à Nova Cidade Bitcoin
New Bitcoin City (ou Alpha) é uma aplicação social semelhante a Friend.tech baseada na rede Bitcoin Layer 2 NOS, suportando tanto web como mobile. Os usuários podem negociar chaves para New Bitcoin City e Friend.tech em New Bitcoin City. Anteriormente, a equipe New Bitcoin City também lançou o projeto GameFi Mega Whales e o projeto DeFi New Bitcoin DEX.
Hiperligação:
Nova Análise de Risco da Cidade Bitcoin
1 Risco do Negócio
New Bitcoin City também usa um modelo de preços semelhante ao Friend.tech, com um PRICE_KEYS_DENOMINATOR de 264000 no código e um NUMBER_UNIT_PER_ONE_ETHER de 10. Em comparação com o TOMO, os preços aumentam mais lentamente.
Fonte:
2 Risco Cibernético
Além dos mesmos riscos de centralização que a parte TOMO, de acordo com a equipe New Bitcoin City, a NOS usa a tecnologia Trustless Computer Layer 2 para executar seus contratos. O Trustless Computer também foi desenvolvido pela equipe New Bitcoin City, e a camada de execução é baseada em OP Stack para desenvolver Ethereum compatível e verificação completa de dados na rede Bitcoin.
Fonte:
Atualmente, apenas os aplicativos sociais da New Bitcoin City estão ativos na rede, e a estabilidade e segurança da rede não foram testadas.
3 Gestão de Chaves Privadas
New Bitcoin City é semelhante a Friend.tech em que os usuários geram uma carteira EOA depois de autorizar um aplicativo com o Twitter pela primeira vez. No entanto, a geração da carteira é feita no fundo da Nova Cidade Bitcoin, e o processo de geração e custódia de chaves privadas ainda é desconhecido.
Resumo
Friend.tech concorrentes melhoraram e inovaram com base em Friend.tech. O modelo de preços central permanece praticamente inalterado, com melhorias na interação do usuário, mas não resolve bem o problema de armazenar chaves privadas nas carteiras dos usuários. **O risco de centralização do contrato é óbvio, e os usuários precisam fazer pesquisas de projeto ao interagir.
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Analise a trilha SocialFi TOMO e New Bitcoin City de uma perspetiva de segurança
Fonte: Beosin
A explosão contínua de Friend.tech mais uma vez chamou a atenção do mercado para a faixa SocialFi. Atualmente, os Friend.tech concorrentes de cada cadeia estão surgindo um após o outro, TOMO da cadeia Linea e New Bitcoin City da cadeia NOS com sua própria inovação, seu TVL ultrapassou US $ 1 milhão em um curto período de tempo, tornando-se um novato na pista SocialFi.
Embora esses projetos SocialFi estejam em pleno andamento, os riscos de segurança associados têm recebido muita atenção da comunidade. Final de agosto Friend.tech Fuga de privacidade devido ao design de acesso à API; Em 7 de outubro, houve uma vulnerabilidade de reentrância na Stars Arena na cadeia Avalanche, e os hackers reentraram na função de chamada 0x5632b2e4 em seu contrato, resultando em um cálculo final excepcionalmente grande da função sellShares, e o protocolo perdeu cerca de US$ 2,9 milhões.
Anteriormente, Beosin conduziu uma análise detalhada dos mecanismos de projeto e potenciais riscos de segurança de Friend.tech. Hoje, a equipe de segurança da Beosin analisa os projetos emergentes TOMO e New Bitcoin City para ajudá-lo a entender os riscos potenciais.
TOMO Introdução
A TOMO é uma Friend.tech concorrente da rede Layer 2 da Linea e lançou um mecanismo de "votação" baseado no Friend.tech. Voto são as credenciais dos usuários do Twitter antes de se registrar no TOMO, e outros usuários podem negociar diretamente o voto de usuários não registrados. Após o registo do utilizador, o Voto correspondente será convertido em Chave.
A introdução do Vote evita a proliferação de robôs apressados até certo ponto, eliminando a necessidade de monitorar os usuários do Twitter que entram e emitem transações indiscriminadamente. Ao mesmo tempo, 5% dos lucros do Trading Vote serão distribuídos para o usuário do Twitter correspondente ao Vote, que pode receber a renda registrando-se no TOMO. Isso fornece um incentivo econômico para os usuários do Twitter migrarem para o TOMO.
Análise de Risco TOMO
Beosin concluiu anteriormente uma auditoria da Tifo.trade, a maior bolsa de derivativos da cadeia pública da Linea. Desta vez, verificamos os contratos comerciais da TOMO através da ferramenta Beosin VaaS, combinada com a análise de especialistas em auditoria de segurança da Beosin, e descobrimos que a TOMO tem os seguintes riscos:
1 Risco do Negócio
O contrato comercial da Tomo é de código aberto, e uma olhada em seu código de contrato revela que seu modelo de preços subjacente é semelhante ao Friend.tech. Se S for a retenção atual, o modelo de preço de chave da TOMO é S^2/43370, e o modelo de preço para Friend.tech é S^2/16000. Isso faz com que o preço chave da TOMO suba mais lentamente, atraindo mais usuários para participar da transação até certo ponto.
No entanto, a essência não mudou, porque quanto maior a quantidade total de Key, maior o preço de compra e maior o preço de venda, pode haver usuários iniciais comprando um grande número de Key, e o patrimônio comprado por usuários posteriores pode incorrer em perdas, e você precisa prestar atenção aos riscos ao participar do investimento.
2 Risco de Centralização
Semelhante ao risco Friend.tech, o risco centralizado do TOMO não pode ser ignorado. O proprietário do contrato pode ajustar a taxa de comissão indefinidamente, de modo a cobrar taxas elevadas, e pode até definir uma taxa de processamento de 100% para que os usuários não possam receber o dinheiro da venda, ou definir uma taxa de taxa de processamento de mais de 100% para suspender a função de compra e venda.
3 Risco de Chave Privada (Carteira ERC-4337)
De acordo com as informações exibidas pela TOMO, a carteira gerada pela TOMO após o registro do usuário é a carteira ERC-4337 (carteira abstrata da conta). A comunidade levantou questões sobre a segurança patrimonial dessas carteiras.
Em primeiro lugar, Friend.tech e a maioria dos concorrentes, como a Stars Arena, usam carteiras EOA, que são carteiras externas comuns. As carteiras EOA exigem que cada transação iniciada seja assinada com uma chave privada, o que é relativamente complicado de interagir. Ao mesmo tempo, é difícil para os usuários manter chaves privadas com segurança, e depois que a carteira quente Deribit foi roubada US $ 28 milhões, Beosin compartilhou em detalhes como manter a carteira segura.
Para resolver esses problemas, o ERC-4337 propõe a abstração de conta introduzindo um objeto de transação chamado "UserOperation", onde os usuários podem usar uma única conta de carteira com contrato inteligente e funcionalidade EOA (carteira abstrata de conta). Usuários diferentes enviam objetos UserOperation para o pool de memória UserOperation. As transações são empacotadas por bundlers e enviadas para o mempool Ethereum. A transação empacotada é verificada pelo contrato do Ponto de Entrada e, em seguida, o contrato específico da Carteira é chamado para executar operações específicas e, em seguida, carregado na cadeia. O processo é mostrado na figura a seguir:
Através do fluxo de trabalho do ERC-4337, podemos saber que a carteira abstrata da conta tem os seguintes pontos de risco potenciais:
(1) Risco contratual
O contrato de Ponto de Entrada e o contrato de Carteira precisam ser implementados pela parte do projeto**, e a TOMO não tem contratos relacionados a código aberto no momento. **O contrato de Ponto de Entrada verifica a legitimidade das transações enviadas pelo empacotador e chama contratos de Carteira específicos com base nas transações. Se houver vulnerabilidades de lógica de negócios no contrato do Ponto de Entrada e no contrato da Carteira, os hackers podem atacar construindo transações específicas.
(2) Riscos associados às chaves privadas
Sob o esquema ERC-4337, se o usuário esquecer a chave privada, pode haver outras soluções para recuperar a carteira (de acordo com o design do projeto). No entanto, O roubo/vazamento da chave privada para outras pessoas também pode causar a perda de ativos do usuário. Em 18 de outubro, TOMO abriu a função de exportar chaves privadas da carteira, os usuários precisam exportar chaves privadas e evitar que as chaves privadas sejam roubadas.
Introdução à Nova Cidade Bitcoin
New Bitcoin City (ou Alpha) é uma aplicação social semelhante a Friend.tech baseada na rede Bitcoin Layer 2 NOS, suportando tanto web como mobile. Os usuários podem negociar chaves para New Bitcoin City e Friend.tech em New Bitcoin City. Anteriormente, a equipe New Bitcoin City também lançou o projeto GameFi Mega Whales e o projeto DeFi New Bitcoin DEX.
Nova Análise de Risco da Cidade Bitcoin
1 Risco do Negócio
New Bitcoin City também usa um modelo de preços semelhante ao Friend.tech, com um PRICE_KEYS_DENOMINATOR de 264000 no código e um NUMBER_UNIT_PER_ONE_ETHER de 10. Em comparação com o TOMO, os preços aumentam mais lentamente.
2 Risco Cibernético
Além dos mesmos riscos de centralização que a parte TOMO, de acordo com a equipe New Bitcoin City, a NOS usa a tecnologia Trustless Computer Layer 2 para executar seus contratos. O Trustless Computer também foi desenvolvido pela equipe New Bitcoin City, e a camada de execução é baseada em OP Stack para desenvolver Ethereum compatível e verificação completa de dados na rede Bitcoin.
Atualmente, apenas os aplicativos sociais da New Bitcoin City estão ativos na rede, e a estabilidade e segurança da rede não foram testadas.
3 Gestão de Chaves Privadas
New Bitcoin City é semelhante a Friend.tech em que os usuários geram uma carteira EOA depois de autorizar um aplicativo com o Twitter pela primeira vez. No entanto, a geração da carteira é feita no fundo da Nova Cidade Bitcoin, e o processo de geração e custódia de chaves privadas ainda é desconhecido.
Resumo
Friend.tech concorrentes melhoraram e inovaram com base em Friend.tech. O modelo de preços central permanece praticamente inalterado, com melhorias na interação do usuário, mas não resolve bem o problema de armazenar chaves privadas nas carteiras dos usuários. **O risco de centralização do contrato é óbvio, e os usuários precisam fazer pesquisas de projeto ao interagir.