Продолжающийся взрыв Friend.tech в очередной раз привлек внимание к рынку трека SocialFi. В настоящее время один за другим появляются Friend.tech конкуренты каждой сети, TOMO сети Linea и New Bitcoin City сети NOS со своими собственными инновациями, их TVL превысил 1 миллион долларов за короткий промежуток времени, став новичком в треке SocialFi.
В то время как такие проекты SocialFi находятся в самом разгаре, связанные с ними риски безопасности привлекли большое внимание со стороны сообщества. Конец августа Friend.tech Утечка конфиденциальности из-за проектирования доступа к API; 7 октября в сети Stars Arena в сети Avalanche была обнаружена уязвимость повторного входа, и хакеры повторно ввели функцию вызова 0x5632b2e4 в ее контракт, что привело к необычно большому итоговому результату расчета функции sellShares, и протокол потерял около 2,9 миллиона долларов.
Ранее Beosin провела детальный анализ механизмов проектирования и потенциальных рисков безопасности Friend.tech. Сегодня команда безопасности Beosin анализирует новые проекты TOMO и New Bitcoin City, чтобы помочь вам понять потенциальные риски.
Введение в TOMO
TOMO является Friend.tech конкурентом сети Linea Layer 2 и запустила механизм «Голосование», основанный на Friend.tech. Vote — это учетные данные пользователей Twitter перед регистрацией в TOMO, и другие пользователи могут напрямую торговать голосами незарегистрированных пользователей. После того, как пользователь зарегистрируется, соответствующий Голос будет преобразован в Ключ.
Внедрение Vote в определенной степени позволяет избежать распространения спешащих роботов, устраняя необходимость следить за пользователями Twitter, входящими и без разбора совершающими транзакции. При этом 5% выручки от Trading Vote будет распределено пользователю Twitter, соответствующему Vote, который может получить доход, зарегистрировавшись в TOMO. Это создает экономический стимул для пользователей Twitter переходить в TOMO.
Анализ рисков ТОМО
Ранее Beosin завершила аудит Tifo.trade, крупнейшей биржи деривативов в публичной сети Linea. На этот раз мы просканировали бизнес-контракты TOMO с помощью инструмента Beosin VaaS в сочетании с анализом экспертов по аудиту безопасности Beosin и обнаружили, что TOMO имеет следующие риски:
Бизнес-контракт ТОМО имеет открытый исходный код, и взгляд на его контрактный код показывает, что его базовая модель ценообразования похожа на Friend.tech. Если S является текущим удержанием, ключевой ценовой моделью ТОМО является S^2/43370, а ценовой моделью для Friend.tech является S^2/16000. Это приводит к более медленному росту цены ключа TOMO, в некоторой степени привлекая больше пользователей к участию в сделке.
Однако суть не изменилась, ведь чем больше общая сумма Ключа, тем выше цена покупки и чем выше цена продажи, могут быть ранние пользователи, покупающие большое количество Ключей, а эквити, купленный более поздними пользователями, может понести убытки, и нужно обращать внимание на риски при участии в инвестировании.
! [Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) модель ценообразования для TOMO
! [Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech модель ценообразования
2. Риск централизации
Как и Friend.tech риск, централизованный риск ТОМО нельзя игнорировать. ** Владелец контракта может регулировать ставку комиссии без ограничений, чтобы взимать высокие комиссии, и даже может установить 100% комиссию за обработку, чтобы пользователи не могли получить деньги от продажи, или установить ставку комиссии более 100%, чтобы приостановить функцию покупки и продажи.
Согласно информации, отображаемой TOMO, кошелёк, сгенерированный TOMO после регистрации пользователя, является кошельком ERC-4337 (account abstract wallet). Сообщество подняло вопросы о безопасности активов таких кошельков.
Прежде всего, Friend.tech и большинство конкурентов, таких как Stars Arena, используют кошельки EOA, которые представляют собой обычные кошельки, принадлежащие внешним лицам. Кошельки EOA требуют, чтобы каждая инициированная транзакция была подписана закрытым ключом, с которым относительно сложно взаимодействовать. В то же время пользователям сложно надежно хранить приватные ключи, и после того, как горячий кошелек Deribit был украден на 28 миллионов долларов, Beosin подробно поделился тем, как сохранить кошелек в безопасности.
Для решения этих проблем ERC-4337 предлагает абстракцию учетной записи, вводя объект транзакции под названием «UserOperation», где пользователи могут использовать одну учетную запись кошелька как со смарт-контрактом, так и с функциональностью EOA (абстрактный кошелек учетной записи). Разные пользователи отправляют объекты UserOperation в пул памяти UserOperation. Транзакции упаковываются сборщиками и отправляются в мемпул Ethereum. Упакованная транзакция проверяется контрактом Entry Point, а затем вызывается конкретный контракт Wallet для выполнения определенных операций, а затем загружается в цепочку. Процесс показан на следующем рисунке:
Благодаря рабочему процессу ERC-4337 мы можем узнать, что абстрактный кошелек счета имеет следующие потенциальные точки риска:
Контрактный риск
Контракт точки входа и контракт кошелька должны быть реализованы самим проектом, и в настоящее время TOMO не открывает исходный код соответствующего контракта. Контракт Entry Point отвечает за проверку легитимности транзакций, отправленных бандлерами, и вызов конкретных контрактов кошелька на основе транзакций. Если в контракте Entry Point и контракте Wallet есть уязвимости бизнес-логики, хакеры могут атаковать, создавая определенные транзакции.
Риски, связанные с закрытым ключом
По схеме ERC-4337, если пользователь забыл приватный ключ, могут быть другие решения для восстановления кошелька (согласно дизайну проекта). Однако кража/утечка закрытого ключа другим лицам также может привести к потере активов пользователя. 18 октября TOMO открыла функцию экспорта приватных ключей кошельков, пользователям необходимо экспортировать приватные ключи и предотвратить кражу приватных ключей.
Знакомство с новым Биткоин-Сити
New Bitcoin City (или Alpha) — это социальное приложение, похожее на Friend.tech, основанное на сети Bitcoin Layer 2 NOS, поддерживающее как веб, так и мобильные устройства. Пользователи могут торговать ключами от Нью-Биткоин-Сити и Friend.tech в Нью-Биткоин-Сити. Ранее команда New Bitcoin City также запустила GameFi-проект Mega Whales и DeFi-проект New Bitcoin DEX.
New Bitcoin City также использует аналогичную модель ценообразования для Friend.tech, с PRICE_KEYS_DENOMINATOR равным 264000 в коде и NUMBER_UNIT_PER_ONE_ETHER равным 10. По сравнению с ТОМО цены растут медленнее.
В дополнение к тем же рискам централизации, что и часть TOMO, по словам команды New Bitcoin City, NOS использует технологию Trustless Computer Layer 2 для выполнения своих контрактов. Trustless Computer также был разработан командой New Bitcoin City, а уровень исполнения основан на OP Stack для разработки совместимого Ethereum и полной проверки данных в сети Bitcoin.
В настоящее время в сети активны только социальные приложения New Bitcoin City, а стабильность и безопасность сети не тестировались.
3. Управление закрытыми ключами
New Bitcoin City похож на Friend.tech в том, что пользователи генерируют кошелек EOA после первой авторизации приложения в Twitter. Тем не менее, генерация кошелька происходит на фоне Нового Биткоин-Сити, а процесс генерации и хранения закрытого ключа до сих пор неизвестен.
Резюме
Friend.tech конкуренты усовершенствовали и внедрили инновации на основе Friend.tech. Основная модель ценообразования в основном не изменилась, и были сделаны улучшения с точки зрения взаимодействия с пользователем, но она не решила проблему хранения приватных ключей в кошельках пользователей. Риск централизации контрактов очевиден, и при взаимодействии пользователям необходимо проводить проектные исследования.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City?
Продолжающийся взрыв Friend.tech в очередной раз привлек внимание к рынку трека SocialFi. В настоящее время один за другим появляются Friend.tech конкуренты каждой сети, TOMO сети Linea и New Bitcoin City сети NOS со своими собственными инновациями, их TVL превысил 1 миллион долларов за короткий промежуток времени, став новичком в треке SocialFi.
В то время как такие проекты SocialFi находятся в самом разгаре, связанные с ними риски безопасности привлекли большое внимание со стороны сообщества. Конец августа Friend.tech Утечка конфиденциальности из-за проектирования доступа к API; 7 октября в сети Stars Arena в сети Avalanche была обнаружена уязвимость повторного входа, и хакеры повторно ввели функцию вызова 0x5632b2e4 в ее контракт, что привело к необычно большому итоговому результату расчета функции sellShares, и протокол потерял около 2,9 миллиона долларов.
Ранее Beosin провела детальный анализ механизмов проектирования и потенциальных рисков безопасности Friend.tech. Сегодня команда безопасности Beosin анализирует новые проекты TOMO и New Bitcoin City, чтобы помочь вам понять потенциальные риски.
Введение в TOMO
TOMO является Friend.tech конкурентом сети Linea Layer 2 и запустила механизм «Голосование», основанный на Friend.tech. Vote — это учетные данные пользователей Twitter перед регистрацией в TOMO, и другие пользователи могут напрямую торговать голосами незарегистрированных пользователей. После того, как пользователь зарегистрируется, соответствующий Голос будет преобразован в Ключ.
Внедрение Vote в определенной степени позволяет избежать распространения спешащих роботов, устраняя необходимость следить за пользователями Twitter, входящими и без разбора совершающими транзакции. При этом 5% выручки от Trading Vote будет распределено пользователю Twitter, соответствующему Vote, который может получить доход, зарегистрировавшись в TOMO. Это создает экономический стимул для пользователей Twitter переходить в TOMO.
Анализ рисков ТОМО
Ранее Beosin завершила аудит Tifo.trade, крупнейшей биржи деривативов в публичной сети Linea. На этот раз мы просканировали бизнес-контракты TOMO с помощью инструмента Beosin VaaS в сочетании с анализом экспертов по аудиту безопасности Beosin и обнаружили, что TOMO имеет следующие риски:
! Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City?
1. Бизнес-риск
Бизнес-контракт ТОМО имеет открытый исходный код, и взгляд на его контрактный код показывает, что его базовая модель ценообразования похожа на Friend.tech. Если S является текущим удержанием, ключевой ценовой моделью ТОМО является S^2/43370, а ценовой моделью для Friend.tech является S^2/16000. Это приводит к более медленному росту цены ключа TOMO, в некоторой степени привлекая больше пользователей к участию в сделке.
Однако суть не изменилась, ведь чем больше общая сумма Ключа, тем выше цена покупки и чем выше цена продажи, могут быть ранние пользователи, покупающие большое количество Ключей, а эквити, купленный более поздними пользователями, может понести убытки, и нужно обращать внимание на риски при участии в инвестировании.
! [Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) модель ценообразования для TOMO
! [Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech модель ценообразования
2. Риск централизации
Как и Friend.tech риск, централизованный риск ТОМО нельзя игнорировать. ** Владелец контракта может регулировать ставку комиссии без ограничений, чтобы взимать высокие комиссии, и даже может установить 100% комиссию за обработку, чтобы пользователи не могли получить деньги от продажи, или установить ставку комиссии более 100%, чтобы приостановить функцию покупки и продажи.
! Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? источник:
3. Риск закрытого ключа (кошелек ERC-4337)
Согласно информации, отображаемой TOMO, кошелёк, сгенерированный TOMO после регистрации пользователя, является кошельком ERC-4337 (account abstract wallet). Сообщество подняло вопросы о безопасности активов таких кошельков.
Прежде всего, Friend.tech и большинство конкурентов, таких как Stars Arena, используют кошельки EOA, которые представляют собой обычные кошельки, принадлежащие внешним лицам. Кошельки EOA требуют, чтобы каждая инициированная транзакция была подписана закрытым ключом, с которым относительно сложно взаимодействовать. В то же время пользователям сложно надежно хранить приватные ключи, и после того, как горячий кошелек Deribit был украден на 28 миллионов долларов, Beosin подробно поделился тем, как сохранить кошелек в безопасности.
Для решения этих проблем ERC-4337 предлагает абстракцию учетной записи, вводя объект транзакции под названием «UserOperation», где пользователи могут использовать одну учетную запись кошелька как со смарт-контрактом, так и с функциональностью EOA (абстрактный кошелек учетной записи). Разные пользователи отправляют объекты UserOperation в пул памяти UserOperation. Транзакции упаковываются сборщиками и отправляются в мемпул Ethereum. Упакованная транзакция проверяется контрактом Entry Point, а затем вызывается конкретный контракт Wallet для выполнения определенных операций, а затем загружается в цепочку. Процесс показан на следующем рисунке:
! Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? источник:
Благодаря рабочему процессу ERC-4337 мы можем узнать, что абстрактный кошелек счета имеет следующие потенциальные точки риска:
Контрактный риск
Контракт точки входа и контракт кошелька должны быть реализованы самим проектом, и в настоящее время TOMO не открывает исходный код соответствующего контракта. Контракт Entry Point отвечает за проверку легитимности транзакций, отправленных бандлерами, и вызов конкретных контрактов кошелька на основе транзакций. Если в контракте Entry Point и контракте Wallet есть уязвимости бизнес-логики, хакеры могут атаковать, создавая определенные транзакции.
Риски, связанные с закрытым ключом
По схеме ERC-4337, если пользователь забыл приватный ключ, могут быть другие решения для восстановления кошелька (согласно дизайну проекта). Однако кража/утечка закрытого ключа другим лицам также может привести к потере активов пользователя. 18 октября TOMO открыла функцию экспорта приватных ключей кошельков, пользователям необходимо экспортировать приватные ключи и предотвратить кражу приватных ключей.
Знакомство с новым Биткоин-Сити
New Bitcoin City (или Alpha) — это социальное приложение, похожее на Friend.tech, основанное на сети Bitcoin Layer 2 NOS, поддерживающее как веб, так и мобильные устройства. Пользователи могут торговать ключами от Нью-Биткоин-Сити и Friend.tech в Нью-Биткоин-Сити. Ранее команда New Bitcoin City также запустила GameFi-проект Mega Whales и DeFi-проект New Bitcoin DEX.
! Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? ссылка:
Новый анализ рисков Биткоин-Сити
1. Бизнес-риск
New Bitcoin City также использует аналогичную модель ценообразования для Friend.tech, с PRICE_KEYS_DENOMINATOR равным 264000 в коде и NUMBER_UNIT_PER_ONE_ETHER равным 10. По сравнению с ТОМО цены растут медленнее.
! Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? источник:
2. Киберриск
В дополнение к тем же рискам централизации, что и часть TOMO, по словам команды New Bitcoin City, NOS использует технологию Trustless Computer Layer 2 для выполнения своих контрактов. Trustless Computer также был разработан командой New Bitcoin City, а уровень исполнения основан на OP Stack для разработки совместимого Ethereum и полной проверки данных в сети Bitcoin.
! Friend.tech Каковы потенциальные риски новой подделки TOMO и New Bitcoin City? источник:
В настоящее время в сети активны только социальные приложения New Bitcoin City, а стабильность и безопасность сети не тестировались.
3. Управление закрытыми ключами
New Bitcoin City похож на Friend.tech в том, что пользователи генерируют кошелек EOA после первой авторизации приложения в Twitter. Тем не менее, генерация кошелька происходит на фоне Нового Биткоин-Сити, а процесс генерации и хранения закрытого ключа до сих пор неизвестен.
Резюме
Friend.tech конкуренты усовершенствовали и внедрили инновации на основе Friend.tech. Основная модель ценообразования в основном не изменилась, и были сделаны улучшения с точки зрения взаимодействия с пользователем, но она не решила проблему хранения приватных ключей в кошельках пользователей. Риск централизации контрактов очевиден, и при взаимодействии пользователям необходимо проводить проектные исследования.