Devam eden Friend.tech patlaması, piyasayı bir kez daha SocialFi parkurunun dikkatine sundu. Şu anda, her zincirin Friend.tech rakibi birbiri ardına ortaya çıkıyor, Linea zincirinin TOMO'su ve NOS zincirinin New Bitcoin City'si kendi yenilikleriyle, TVL'leri kısa sürede 1 milyon doları aşarak SocialFi yolunda bir çaylak haline geldi.
Bu tür SocialFi projeleri tüm hızıyla devam ederken, ilgili güvenlik riskleri topluluktan büyük ilgi gördü. Ağustos sonu Friend.tech API erişim tasarımı nedeniyle gizlilik sızıntısı; 7 Ekim'de, Avalanche zincirindeki Stars Arena'da bir yeniden giriş güvenlik açığı vardı ve bilgisayar korsanları sözleşmelerinde çağrı 0x5632b2e4 işlevine yeniden girdiler, bu da sellShares işlevinin alışılmadık derecede büyük bir nihai hesaplamasına neden oldu ve protokol yaklaşık 2,9 milyon dolar kaybetti.
Daha önce Beosin, Friend.tech tasarım mekanizmalarının ve potansiyel güvenlik risklerinin ayrıntılı bir analizini yapmıştı. Bugün, Beosin güvenlik ekibi, potansiyel riskleri anlamanıza yardımcı olmak için ortaya çıkan TOMO ve New Bitcoin City projelerini analiz ediyor.
TOMO Tanıtımı
TOMO, Linea'nın Katman 2 ağına Friend.tech bir rakiptir ve Friend.tech dayalı bir "Oylama" mekanizması başlatmıştır. Oy, Twitter kullanıcılarının TOMO'ya kaydolmadan önceki kimlik bilgileridir ve diğer kullanıcılar, kayıtlı olmayan kullanıcıların Oylarını doğrudan takas edebilir. Kullanıcı kaydolduktan sonra, ilgili Oy Anahtara dönüştürülecektir.
Vote'un tanıtılması, acele eden robotların çoğalmasını bir dereceye kadar önleyerek, Twitter kullanıcılarının ayrım gözetmeksizin işlem yapmalarını ve yayınlamalarını izleme ihtiyacını ortadan kaldırıyor. Aynı zamanda, Trading Vote'dan elde edilen gelirin %5'i, TOMO'ya kaydolarak geliri alabilecek olan Vote'a karşılık gelen Twitter kullanıcısına dağıtılacaktır. Bu, Twitter kullanıcılarının TOMO'ya geçmeleri için ekonomik bir teşvik sağlar.
TOMO Risk Analizi
Beosin daha önce Linea'nın halka açık zincirindeki en büyük türev borsası olan Tifo.trade'in denetimini tamamlamıştı. Bu kez, Beosin güvenlik denetim uzmanlarının analiziyle birlikte Beosin VaaS aracıyla TOMO iş sözleşmelerini taradık ve TOMO'nun aşağıdaki risklere sahip olduğunu gördük:
1 İş Riski
TOMO'nun iş sözleşmesi açık kaynaklıdır ve sözleşme koduna bakıldığında, temel fiyatlandırma modelinin Friend.tech'ye benzer olduğu ortaya çıkar. Mevcut bekletme S ise, TOMO'nun Anahtar fiyat modeli S^2/43370 ve Friend.tech için fiyat modeli S^2/16000'dir. Bu, TOMO'nun Anahtar fiyatının daha yavaş yükselmesine neden olur ve bir dereceye kadar işleme katılmak için daha fazla kullanıcıyı çeker.
Ancak özü değişmedi, çünkü toplam Anahtar miktarı ne kadar büyükse, alış fiyatı o kadar yüksek ve satış fiyatı o kadar yüksek olur, çok sayıda Anahtar satın alan erken kullanıcılar olabilir ve daha sonraki kullanıcılar tarafından satın alınan öz sermaye zarara uğrayabilir ve yatırıma katılırken risklere dikkat etmeniz gerekir.
TOMO'nun fiyatlandırma modeli
Friend.tech'in fiyatlandırma modeli
2 Merkezileşme Riski
Friend.tech riskine benzer şekilde, TOMO'nun merkezi riski de göz ardı edilemez. Sözleşmenin sahibi, yüksek ücretler talep etmek için komisyon oranını süresiz olarak ayarlayabilir ve hatta kullanıcıların satıştan para alamamaları için %100'lük bir işlem ücreti belirleyebilir veya satın alma ve satış işlevini askıya almak için %100'den fazla bir işlem ücreti oranı belirleyebilir.
kaynak:
3 Özel Anahtar Riski (ERC-4337 Cüzdanı)
TOMO tarafından görüntülenen bilgilere göre, kullanıcı kaydından sonra TOMO tarafından oluşturulan cüzdan ERC-4337 cüzdanıdır (hesap özet cüzdanı). Topluluk, bu tür cüzdanların varlık güvenliği hakkında sorular sordu.
Her şeyden önce, Friend.tech ve Stars Arena gibi çoğu rakip, sıradan harici cüzdanlar olan EOA cüzdanlarını kullanır. EOA cüzdanları, başlatılan her işlemin, etkileşim kurmak için nispeten zahmetli olan özel bir anahtarla imzalanmasını gerektirir. Aynı zamanda, kullanıcıların özel anahtarları güvenli bir şekilde saklaması zordur ve Deribit sıcak cüzdanının 28 milyon dolar çalınmasının ardından Beosin, cüzdanın nasıl güvende tutulacağını ayrıntılı olarak paylaştı.
Bu sorunları çözmek için ERC-4337, kullanıcıların hem akıllı sözleşme hem de EOA işlevselliğine (hesap soyut cüzdanı) sahip tek bir cüzdan hesabı kullanabileceği "UserOperation" adlı bir işlem nesnesi sunarak hesap soyutlaması önerir. Farklı kullanıcılar UserOperation nesnelerini UserOperation bellek havuzuna gönderir. İşlemler paketleyiciler tarafından paketlenir ve Ethereum mempool'a gönderilir. Paketlenmiş işlem, Giriş Noktası sözleşmesi tarafından doğrulanır ve ardından belirli işlemleri gerçekleştirmek için belirli Cüzdan sözleşmesi çağrılır ve ardından zincire yüklenir. İşlem aşağıdaki şekilde gösterilmiştir:
kaynak:
ERC-4337'nin iş akışı sayesinde, hesap soyut cüzdanının aşağıdaki potansiyel risk noktalarına sahip olduğunu bilebiliriz:
(1) Sözleşme riski
Giriş Noktası sözleşmesi ve Cüzdan sözleşmesinin proje tarafı*** tarafından uygulanması gerekir ve TOMO şu anda açık kaynak ile ilgili sözleşmeler yapmamaktadır. **Giriş Noktası sözleşmesi, paketleyici tarafından gönderilen işlemlerin meşruiyetini doğrular ve işlemlere dayalı olarak belirli Cüzdan sözleşmelerini çağırır. Giriş Noktası sözleşmesinde ve Cüzdan sözleşmesinde iş mantığı güvenlik açıkları varsa, bilgisayar korsanları belirli işlemler oluşturarak saldırabilir.
(2) Özel anahtarlarla ilişkili riskler
ERC-4337 şeması kapsamında, kullanıcı özel anahtarı unutursa, cüzdanı kurtarmak için başka çözümler olabilir (proje tasarımına göre). Bununla birlikte, Özel anahtarın başkalarına çalınması/sızdırılması da kullanıcının varlık kaybına neden olabilir. 18 Ekim'de TOMO, cüzdan özel anahtarlarını dışa aktarma işlevini açtı, kullanıcıların özel anahtarları dışa aktarması ve özel anahtarların çalınmasını önlemesi gerekiyor.
Yeni Bitcoin Şehrine Giriş
New Bitcoin City (veya Alpha), hem web hem de mobili destekleyen, Bitcoin Layer 2 ağı NOS'a dayanan Friend.tech benzeri bir sosyal uygulamadır. Kullanıcılar, New Bitcoin City'nin anahtarlarını takas edebilir ve New Bitcoin City'de Friend.tech. Daha önce New Bitcoin City ekibi, GameFi projesi Mega Whales ve DeFi projesi New Bitcoin DEX'i de başlatmıştı.
bağlantı:
Yeni Bitcoin City Risk Analizi
1 İş Riski
New Bitcoin City, kodda 264000 PRICE_KEYS_DENOMINATOR ve 10 NUMBER_UNIT_PER_ONE_ETHER ile Friend.tech'ye benzer bir fiyatlandırma modeli kullanır. TOMO'ya kıyasla fiyatlar daha yavaş artıyor.
kaynak:
2 Siber Risk
New Bitcoin City ekibine göre, TOMO parçasıyla aynı merkezileşme risklerine ek olarak NOS, sözleşmelerini yürütmek için Trustless Computer Layer 2 teknolojisini kullanıyor. Trustless Computer da New Bitcoin City ekibi tarafından geliştirildi ve yürütme katmanı, uyumlu Ethereum geliştirmek ve Bitcoin ağında veri doğrulamasını tamamlamak için OP Stack'e dayanıyor.
kaynak:
Şu anda, ağda yalnızca New Bitcoin City'nin sosyal uygulamaları aktiftir ve ağın kararlılığı ve güvenliği test edilmemiştir.
3 Özel Anahtar Yönetimi
Yeni Bitcoin City, kullanıcıların Twitter ile bir uygulamayı ilk kez yetkilendirdikten sonra bir EOA cüzdanı oluşturması bakımından Friend.tech'a benzer. Bununla birlikte, cüzdan oluşturma işlemi New Bitcoin City arka planında yapılır ve özel anahtar oluşturma ve saklama süreci hala bilinmemektedir.
Özet
Friend.tech rakipler Friend.tech temelinde gelişti ve yenilik yaptı. Temel fiyatlandırma modeli, kullanıcı etkileşimindeki iyileştirmelerle büyük ölçüde değişmeden kalır, ancak özel anahtarların kullanıcı cüzdanlarında saklanması sorununu iyi çözmez. **Sözleşmenin merkezileşme riski açıktır ve kullanıcıların etkileşimde bulunurken proje araştırması yapmaları gerekir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
SocialFi parkuru TOMO ve New Bitcoin City'yi güvenlik perspektifinden analiz edin
Kaynak: Beosin
Devam eden Friend.tech patlaması, piyasayı bir kez daha SocialFi parkurunun dikkatine sundu. Şu anda, her zincirin Friend.tech rakibi birbiri ardına ortaya çıkıyor, Linea zincirinin TOMO'su ve NOS zincirinin New Bitcoin City'si kendi yenilikleriyle, TVL'leri kısa sürede 1 milyon doları aşarak SocialFi yolunda bir çaylak haline geldi.
Bu tür SocialFi projeleri tüm hızıyla devam ederken, ilgili güvenlik riskleri topluluktan büyük ilgi gördü. Ağustos sonu Friend.tech API erişim tasarımı nedeniyle gizlilik sızıntısı; 7 Ekim'de, Avalanche zincirindeki Stars Arena'da bir yeniden giriş güvenlik açığı vardı ve bilgisayar korsanları sözleşmelerinde çağrı 0x5632b2e4 işlevine yeniden girdiler, bu da sellShares işlevinin alışılmadık derecede büyük bir nihai hesaplamasına neden oldu ve protokol yaklaşık 2,9 milyon dolar kaybetti.
Daha önce Beosin, Friend.tech tasarım mekanizmalarının ve potansiyel güvenlik risklerinin ayrıntılı bir analizini yapmıştı. Bugün, Beosin güvenlik ekibi, potansiyel riskleri anlamanıza yardımcı olmak için ortaya çıkan TOMO ve New Bitcoin City projelerini analiz ediyor.
TOMO Tanıtımı
TOMO, Linea'nın Katman 2 ağına Friend.tech bir rakiptir ve Friend.tech dayalı bir "Oylama" mekanizması başlatmıştır. Oy, Twitter kullanıcılarının TOMO'ya kaydolmadan önceki kimlik bilgileridir ve diğer kullanıcılar, kayıtlı olmayan kullanıcıların Oylarını doğrudan takas edebilir. Kullanıcı kaydolduktan sonra, ilgili Oy Anahtara dönüştürülecektir.
Vote'un tanıtılması, acele eden robotların çoğalmasını bir dereceye kadar önleyerek, Twitter kullanıcılarının ayrım gözetmeksizin işlem yapmalarını ve yayınlamalarını izleme ihtiyacını ortadan kaldırıyor. Aynı zamanda, Trading Vote'dan elde edilen gelirin %5'i, TOMO'ya kaydolarak geliri alabilecek olan Vote'a karşılık gelen Twitter kullanıcısına dağıtılacaktır. Bu, Twitter kullanıcılarının TOMO'ya geçmeleri için ekonomik bir teşvik sağlar.
TOMO Risk Analizi
Beosin daha önce Linea'nın halka açık zincirindeki en büyük türev borsası olan Tifo.trade'in denetimini tamamlamıştı. Bu kez, Beosin güvenlik denetim uzmanlarının analiziyle birlikte Beosin VaaS aracıyla TOMO iş sözleşmelerini taradık ve TOMO'nun aşağıdaki risklere sahip olduğunu gördük:
1 İş Riski
TOMO'nun iş sözleşmesi açık kaynaklıdır ve sözleşme koduna bakıldığında, temel fiyatlandırma modelinin Friend.tech'ye benzer olduğu ortaya çıkar. Mevcut bekletme S ise, TOMO'nun Anahtar fiyat modeli S^2/43370 ve Friend.tech için fiyat modeli S^2/16000'dir. Bu, TOMO'nun Anahtar fiyatının daha yavaş yükselmesine neden olur ve bir dereceye kadar işleme katılmak için daha fazla kullanıcıyı çeker.
Ancak özü değişmedi, çünkü toplam Anahtar miktarı ne kadar büyükse, alış fiyatı o kadar yüksek ve satış fiyatı o kadar yüksek olur, çok sayıda Anahtar satın alan erken kullanıcılar olabilir ve daha sonraki kullanıcılar tarafından satın alınan öz sermaye zarara uğrayabilir ve yatırıma katılırken risklere dikkat etmeniz gerekir.
2 Merkezileşme Riski
Friend.tech riskine benzer şekilde, TOMO'nun merkezi riski de göz ardı edilemez. Sözleşmenin sahibi, yüksek ücretler talep etmek için komisyon oranını süresiz olarak ayarlayabilir ve hatta kullanıcıların satıştan para alamamaları için %100'lük bir işlem ücreti belirleyebilir veya satın alma ve satış işlevini askıya almak için %100'den fazla bir işlem ücreti oranı belirleyebilir.
3 Özel Anahtar Riski (ERC-4337 Cüzdanı)
TOMO tarafından görüntülenen bilgilere göre, kullanıcı kaydından sonra TOMO tarafından oluşturulan cüzdan ERC-4337 cüzdanıdır (hesap özet cüzdanı). Topluluk, bu tür cüzdanların varlık güvenliği hakkında sorular sordu.
Her şeyden önce, Friend.tech ve Stars Arena gibi çoğu rakip, sıradan harici cüzdanlar olan EOA cüzdanlarını kullanır. EOA cüzdanları, başlatılan her işlemin, etkileşim kurmak için nispeten zahmetli olan özel bir anahtarla imzalanmasını gerektirir. Aynı zamanda, kullanıcıların özel anahtarları güvenli bir şekilde saklaması zordur ve Deribit sıcak cüzdanının 28 milyon dolar çalınmasının ardından Beosin, cüzdanın nasıl güvende tutulacağını ayrıntılı olarak paylaştı.
Bu sorunları çözmek için ERC-4337, kullanıcıların hem akıllı sözleşme hem de EOA işlevselliğine (hesap soyut cüzdanı) sahip tek bir cüzdan hesabı kullanabileceği "UserOperation" adlı bir işlem nesnesi sunarak hesap soyutlaması önerir. Farklı kullanıcılar UserOperation nesnelerini UserOperation bellek havuzuna gönderir. İşlemler paketleyiciler tarafından paketlenir ve Ethereum mempool'a gönderilir. Paketlenmiş işlem, Giriş Noktası sözleşmesi tarafından doğrulanır ve ardından belirli işlemleri gerçekleştirmek için belirli Cüzdan sözleşmesi çağrılır ve ardından zincire yüklenir. İşlem aşağıdaki şekilde gösterilmiştir:
ERC-4337'nin iş akışı sayesinde, hesap soyut cüzdanının aşağıdaki potansiyel risk noktalarına sahip olduğunu bilebiliriz:
(1) Sözleşme riski
Giriş Noktası sözleşmesi ve Cüzdan sözleşmesinin proje tarafı*** tarafından uygulanması gerekir ve TOMO şu anda açık kaynak ile ilgili sözleşmeler yapmamaktadır. **Giriş Noktası sözleşmesi, paketleyici tarafından gönderilen işlemlerin meşruiyetini doğrular ve işlemlere dayalı olarak belirli Cüzdan sözleşmelerini çağırır. Giriş Noktası sözleşmesinde ve Cüzdan sözleşmesinde iş mantığı güvenlik açıkları varsa, bilgisayar korsanları belirli işlemler oluşturarak saldırabilir.
(2) Özel anahtarlarla ilişkili riskler
ERC-4337 şeması kapsamında, kullanıcı özel anahtarı unutursa, cüzdanı kurtarmak için başka çözümler olabilir (proje tasarımına göre). Bununla birlikte, Özel anahtarın başkalarına çalınması/sızdırılması da kullanıcının varlık kaybına neden olabilir. 18 Ekim'de TOMO, cüzdan özel anahtarlarını dışa aktarma işlevini açtı, kullanıcıların özel anahtarları dışa aktarması ve özel anahtarların çalınmasını önlemesi gerekiyor.
Yeni Bitcoin Şehrine Giriş
New Bitcoin City (veya Alpha), hem web hem de mobili destekleyen, Bitcoin Layer 2 ağı NOS'a dayanan Friend.tech benzeri bir sosyal uygulamadır. Kullanıcılar, New Bitcoin City'nin anahtarlarını takas edebilir ve New Bitcoin City'de Friend.tech. Daha önce New Bitcoin City ekibi, GameFi projesi Mega Whales ve DeFi projesi New Bitcoin DEX'i de başlatmıştı.
Yeni Bitcoin City Risk Analizi
1 İş Riski
New Bitcoin City, kodda 264000 PRICE_KEYS_DENOMINATOR ve 10 NUMBER_UNIT_PER_ONE_ETHER ile Friend.tech'ye benzer bir fiyatlandırma modeli kullanır. TOMO'ya kıyasla fiyatlar daha yavaş artıyor.
2 Siber Risk
New Bitcoin City ekibine göre, TOMO parçasıyla aynı merkezileşme risklerine ek olarak NOS, sözleşmelerini yürütmek için Trustless Computer Layer 2 teknolojisini kullanıyor. Trustless Computer da New Bitcoin City ekibi tarafından geliştirildi ve yürütme katmanı, uyumlu Ethereum geliştirmek ve Bitcoin ağında veri doğrulamasını tamamlamak için OP Stack'e dayanıyor.
Şu anda, ağda yalnızca New Bitcoin City'nin sosyal uygulamaları aktiftir ve ağın kararlılığı ve güvenliği test edilmemiştir.
3 Özel Anahtar Yönetimi
Yeni Bitcoin City, kullanıcıların Twitter ile bir uygulamayı ilk kez yetkilendirdikten sonra bir EOA cüzdanı oluşturması bakımından Friend.tech'a benzer. Bununla birlikte, cüzdan oluşturma işlemi New Bitcoin City arka planında yapılır ve özel anahtar oluşturma ve saklama süreci hala bilinmemektedir.
Özet
Friend.tech rakipler Friend.tech temelinde gelişti ve yenilik yaptı. Temel fiyatlandırma modeli, kullanıcı etkileşimindeki iyileştirmelerle büyük ölçüde değişmeden kalır, ancak özel anahtarların kullanıcı cüzdanlarında saklanması sorununu iyi çözmez. **Sözleşmenin merkezileşme riski açıktır ve kullanıcıların etkileşimde bulunurken proje araştırması yapmaları gerekir.