Триваюче бурхливе зростання Friend.tech знову привернуло увагу ринку до треку SocialFi. В даний час один за одним з'являються Friend.tech конкурентів кожного ланцюга, TOMO мережі Linea і New Bitcoin City мережі NOS зі своїми власними інноваціями, їх TVL перевищив 1 мільйон доларів за короткий проміжок часу, ставши новачком на треку SocialFi.
У той час як такі проекти SocialFi знаходяться в самому розпалі, пов'язані з ними ризики безпеки привернули багато уваги з боку спільноти. Кінець серпня Friend.tech Витік конфіденційності через дизайн доступу до API; 7 жовтня на **Stars Arena в ланцюжку Avalanche виникла уразливість повторного входу, і хакери знову ввели функцію виклику 0x5632b2e4 у свій контракт, що призвело до незвично великого остаточного розрахунку функції sellShares, і протокол втратив близько $2,9 млн.
Раніше компанія Beosin провела детальний аналіз механізмів проектування та потенційних ризиків для безпеки Friend.tech. Сьогодні команда безпеки Beosin аналізує нові проекти TOMO і New Bitcoin City, щоб допомогти вам зрозуміти потенційні ризики.
Вступ до ТОМО
TOMO є Friend.tech конкурентом мережі Layer 2 від Linea і запустив механізм «Голосування» на основі Friend.tech. Голосування – це облікові дані користувачів Twitter перед реєстрацією в TOMO, а інші користувачі можуть безпосередньо торгувати голосами незареєстрованих користувачів. Після того, як користувач зареєструється, відповідний голос буде перетворено на ключ.
Впровадження Vote певною мірою дозволяє уникнути поширення поспішних роботів, усуваючи необхідність стежити за користувачами Twitter, які вводять і без розбору здійснюють транзакції. При цьому 5% доходів від Trading Vote буде розподілено між користувачем Twitter, що відповідає Vote, який може отримати дохід, зареєструвавшись у TOMO. Це дає економічний стимул для користувачів Twitter переходити в TOMO.
Аналіз ризиків TOMO
Раніше Беосін завершив аудит Tifo.trade, найбільшої біржі деривативів у публічній мережі Linea. Цього разу ми просканували бізнес-контракти TOMO за допомогою інструменту Beosin VaaS у поєднанні з аналізом експертів з аудиту безпеки Beosin і виявили, що TOMO має такі ризики:
1 Підприємницький ризик
Бізнес-контракт TOMO має відкритий вихідний код, і якщо поглянути на його код контракту, можна побачити, що його базова модель ціноутворення схожа на Friend.tech. Якщо S є поточним утриманням, то ключовою ціновою моделлю TOMO є S^2/43370, а ціновою моделлю для Friend.tech є S^2/16000. Це змушує ціну TOMO Key зростати повільніше, залучаючи більше користувачів до участі в транзакції.
Однак суть не змінилася, адже чим більша загальна сума Key, тим вища ціна покупки та вища ціна продажу, можуть бути ранні користувачі, які купують велику кількість Key, а Equi, придбаний пізнішими користувачами, може зазнати збитків, і потрібно звертати увагу на ризики при участі в інвестуванні.
Модель ціноутворення ТОМО
Модель ціноутворення Friend.tech
2 Ризик централізації
Подібно до Friend.tech ризику, централізований ризик ТОМО не можна ігнорувати. Власник контракту може регулювати ставку комісії на невизначений термін, щоб стягувати високі комісії, і навіть може встановити 100% комісію за обробку, щоб користувачі не могли отримати гроші від продажу, або встановити ставку комісії за обробку понад 100%, щоб призупинити функцію купівлі-продажу.
Target:
3 Ризик приватного ключа (гаманець ERC-4337)
Згідно з інформацією, яку відображає TOMO, гаманець, згенерований TOMO після реєстрації користувача, є гаманцем ERC-4337 (account abstract wallet). Спільнота підняла питання щодо безпеки активів таких гаманців.
Перш за все, Friend.tech і більшість конкурентів, таких як Stars Arena, використовують EOA-гаманці, які є звичайними гаманцями, що належать ззовні. Гаманці EOA вимагають, щоб кожна ініційована транзакція була підписана приватним ключем, який є відносно громіздким у взаємодії. У той же час користувачам складно надійно зберігати приватні ключі, і після того, як гарячий гаманець Deribit був вкрадений на $28 млн, Беосін докладно поділився, як зберегти гаманець у безпеці.
Щоб вирішити ці проблеми, ERC-4337 пропонує абстракцію облікового запису, вводячи об'єкт транзакції під назвою "UserOperation", де користувачі можуть використовувати єдиний обліковий запис гаманця як зі смарт-контрактом, так і з функціональністю EOA (account abstract wallet). Різні користувачі надсилають об'єкти UserOperation до пулу пам'яті UserOperation. Транзакції упаковуються бандлерами та надсилаються до мемпулу Ethereum. Упакована транзакція перевіряється контрактом Entry Point, а потім конкретний контракт Wallet викликається для виконання конкретних операцій, а потім завантажується в ланцюжок. Процес показаний на наступному малюнку:
Target:
Завдяки робочому процесу ERC-4337 ми можемо знати, що гаманець аккаунта має такі потенційні точки ризику:
(1) Контрактний ризик
Контракт точки входу та контракт гаманця повинні бути реалізовані стороною проекту**, і TOMO наразі не відкриває контракти, пов'язані з вихідним кодом. **Контракт Entry Point перевіряє легітимність транзакцій, поданих бандлером, і викликає конкретні контракти Wallet на основі транзакцій. Якщо в контракті Entry Point і контракті Wallet є вразливості бізнес-логіки, хакери можуть атакувати, конструюючи конкретні транзакції.
(2) Ризики, пов'язані з приватними ключами
За схемою ERC-4337, якщо користувач забув закритий ключ, можуть бути інші рішення для відновлення гаманця (згідно з дизайном проекту). Однак, Крадіжка/витік приватного ключа іншим особам також може призвести до втрати активів користувача. 18 жовтня TOMO відкрив функцію експорту приватних ключів гаманця, користувачам необхідно експортувати приватні ключі та запобігти крадіжці приватних ключів.
Знайомство з новим біткойн-містом
New Bitcoin City (або Alpha) — це Friend.tech-подібний соціальний додаток, заснований на мережі Bitcoin Layer 2 NOS, що підтримує як веб, так і мобільні пристрої. Користувачі можуть торгувати ключами до Нового Біткойн-Сіті та Friend.tech у Новому Біткойн-Сіті. Раніше команда New Bitcoin City також запустила GameFi-проєкт Mega Whales та DeFi-проєкт New Bitcoin DEX.
Посилання:
Новий аналіз ризиків Bitcoin City
1 Підприємницький ризик
Новий Bitcoin City також використовує подібну модель ціноутворення для Friend.tech, з ЦІНОЮ_KEYS_DENOMINATOR 264000 у коді та ЧИСЛОМ_UNIT_PER_ONE_ETHER 10. У порівнянні з ТОМО ціни зростають повільніше.
Target:
2 Кіберризики
На додаток до тих же ризиків централізації, що і частина TOMO, за словами команди New Bitcoin City, NOS використовує технологію Trustless Computer Layer 2 для виконання своїх контрактів. Trustless Computer також був розроблений командою New Bitcoin City, а рівень виконання заснований на OP Stack для розробки сумісного Ethereum і повної перевірки даних у мережі Bitcoin.
Target:
В даний час в мережі активні тільки соціальні додатки New Bitcoin City, а стабільність і безпеку мережі не перевірялися.
3 Керування приватними ключами
Новий Bitcoin City схожий на Friend.tech тим, що користувачі генерують гаманець EOA після першої авторизації програми в Twitter. Однак генерація гаманця здійснюється на фоні Нового біткойн-Сіті, а процес генерації та зберігання приватних ключів все ще невідомий.
Зведення
Friend.tech конкуренти вдосконалювалися та впроваджували інновації на основі Friend.tech. Основна модель ціноутворення залишається в основному незмінною, з поліпшенням взаємодії з користувачами, але погано вирішує проблему зберігання приватних ключів в гаманцях користувачів. **Ризик централізації контракту очевидний, і користувачам потрібно проводити дослідження проекту під час взаємодії.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Проаналізуйте відстеження SocialFi TOMO та New Bitcoin City з точки зору безпеки
Джерело: Beosin
Триваюче бурхливе зростання Friend.tech знову привернуло увагу ринку до треку SocialFi. В даний час один за одним з'являються Friend.tech конкурентів кожного ланцюга, TOMO мережі Linea і New Bitcoin City мережі NOS зі своїми власними інноваціями, їх TVL перевищив 1 мільйон доларів за короткий проміжок часу, ставши новачком на треку SocialFi.
У той час як такі проекти SocialFi знаходяться в самому розпалі, пов'язані з ними ризики безпеки привернули багато уваги з боку спільноти. Кінець серпня Friend.tech Витік конфіденційності через дизайн доступу до API; 7 жовтня на **Stars Arena в ланцюжку Avalanche виникла уразливість повторного входу, і хакери знову ввели функцію виклику 0x5632b2e4 у свій контракт, що призвело до незвично великого остаточного розрахунку функції sellShares, і протокол втратив близько $2,9 млн.
Раніше компанія Beosin провела детальний аналіз механізмів проектування та потенційних ризиків для безпеки Friend.tech. Сьогодні команда безпеки Beosin аналізує нові проекти TOMO і New Bitcoin City, щоб допомогти вам зрозуміти потенційні ризики.
Вступ до ТОМО
TOMO є Friend.tech конкурентом мережі Layer 2 від Linea і запустив механізм «Голосування» на основі Friend.tech. Голосування – це облікові дані користувачів Twitter перед реєстрацією в TOMO, а інші користувачі можуть безпосередньо торгувати голосами незареєстрованих користувачів. Після того, як користувач зареєструється, відповідний голос буде перетворено на ключ.
Впровадження Vote певною мірою дозволяє уникнути поширення поспішних роботів, усуваючи необхідність стежити за користувачами Twitter, які вводять і без розбору здійснюють транзакції. При цьому 5% доходів від Trading Vote буде розподілено між користувачем Twitter, що відповідає Vote, який може отримати дохід, зареєструвавшись у TOMO. Це дає економічний стимул для користувачів Twitter переходити в TOMO.
Аналіз ризиків TOMO
Раніше Беосін завершив аудит Tifo.trade, найбільшої біржі деривативів у публічній мережі Linea. Цього разу ми просканували бізнес-контракти TOMO за допомогою інструменту Beosin VaaS у поєднанні з аналізом експертів з аудиту безпеки Beosin і виявили, що TOMO має такі ризики:
1 Підприємницький ризик
Бізнес-контракт TOMO має відкритий вихідний код, і якщо поглянути на його код контракту, можна побачити, що його базова модель ціноутворення схожа на Friend.tech. Якщо S є поточним утриманням, то ключовою ціновою моделлю TOMO є S^2/43370, а ціновою моделлю для Friend.tech є S^2/16000. Це змушує ціну TOMO Key зростати повільніше, залучаючи більше користувачів до участі в транзакції.
Однак суть не змінилася, адже чим більша загальна сума Key, тим вища ціна покупки та вища ціна продажу, можуть бути ранні користувачі, які купують велику кількість Key, а Equi, придбаний пізнішими користувачами, може зазнати збитків, і потрібно звертати увагу на ризики при участі в інвестуванні.
2 Ризик централізації
Подібно до Friend.tech ризику, централізований ризик ТОМО не можна ігнорувати. Власник контракту може регулювати ставку комісії на невизначений термін, щоб стягувати високі комісії, і навіть може встановити 100% комісію за обробку, щоб користувачі не могли отримати гроші від продажу, або встановити ставку комісії за обробку понад 100%, щоб призупинити функцію купівлі-продажу.
3 Ризик приватного ключа (гаманець ERC-4337)
Згідно з інформацією, яку відображає TOMO, гаманець, згенерований TOMO після реєстрації користувача, є гаманцем ERC-4337 (account abstract wallet). Спільнота підняла питання щодо безпеки активів таких гаманців.
Перш за все, Friend.tech і більшість конкурентів, таких як Stars Arena, використовують EOA-гаманці, які є звичайними гаманцями, що належать ззовні. Гаманці EOA вимагають, щоб кожна ініційована транзакція була підписана приватним ключем, який є відносно громіздким у взаємодії. У той же час користувачам складно надійно зберігати приватні ключі, і після того, як гарячий гаманець Deribit був вкрадений на $28 млн, Беосін докладно поділився, як зберегти гаманець у безпеці.
Щоб вирішити ці проблеми, ERC-4337 пропонує абстракцію облікового запису, вводячи об'єкт транзакції під назвою "UserOperation", де користувачі можуть використовувати єдиний обліковий запис гаманця як зі смарт-контрактом, так і з функціональністю EOA (account abstract wallet). Різні користувачі надсилають об'єкти UserOperation до пулу пам'яті UserOperation. Транзакції упаковуються бандлерами та надсилаються до мемпулу Ethereum. Упакована транзакція перевіряється контрактом Entry Point, а потім конкретний контракт Wallet викликається для виконання конкретних операцій, а потім завантажується в ланцюжок. Процес показаний на наступному малюнку:
Завдяки робочому процесу ERC-4337 ми можемо знати, що гаманець аккаунта має такі потенційні точки ризику:
(1) Контрактний ризик
Контракт точки входу та контракт гаманця повинні бути реалізовані стороною проекту**, і TOMO наразі не відкриває контракти, пов'язані з вихідним кодом. **Контракт Entry Point перевіряє легітимність транзакцій, поданих бандлером, і викликає конкретні контракти Wallet на основі транзакцій. Якщо в контракті Entry Point і контракті Wallet є вразливості бізнес-логіки, хакери можуть атакувати, конструюючи конкретні транзакції.
(2) Ризики, пов'язані з приватними ключами
За схемою ERC-4337, якщо користувач забув закритий ключ, можуть бути інші рішення для відновлення гаманця (згідно з дизайном проекту). Однак, Крадіжка/витік приватного ключа іншим особам також може призвести до втрати активів користувача. 18 жовтня TOMO відкрив функцію експорту приватних ключів гаманця, користувачам необхідно експортувати приватні ключі та запобігти крадіжці приватних ключів.
Знайомство з новим біткойн-містом
New Bitcoin City (або Alpha) — це Friend.tech-подібний соціальний додаток, заснований на мережі Bitcoin Layer 2 NOS, що підтримує як веб, так і мобільні пристрої. Користувачі можуть торгувати ключами до Нового Біткойн-Сіті та Friend.tech у Новому Біткойн-Сіті. Раніше команда New Bitcoin City також запустила GameFi-проєкт Mega Whales та DeFi-проєкт New Bitcoin DEX.
Новий аналіз ризиків Bitcoin City
1 Підприємницький ризик
Новий Bitcoin City також використовує подібну модель ціноутворення для Friend.tech, з ЦІНОЮ_KEYS_DENOMINATOR 264000 у коді та ЧИСЛОМ_UNIT_PER_ONE_ETHER 10. У порівнянні з ТОМО ціни зростають повільніше.
2 Кіберризики
На додаток до тих же ризиків централізації, що і частина TOMO, за словами команди New Bitcoin City, NOS використовує технологію Trustless Computer Layer 2 для виконання своїх контрактів. Trustless Computer також був розроблений командою New Bitcoin City, а рівень виконання заснований на OP Stack для розробки сумісного Ethereum і повної перевірки даних у мережі Bitcoin.
В даний час в мережі активні тільки соціальні додатки New Bitcoin City, а стабільність і безпеку мережі не перевірялися.
3 Керування приватними ключами
Новий Bitcoin City схожий на Friend.tech тим, що користувачі генерують гаманець EOA після першої авторизації програми в Twitter. Однак генерація гаманця здійснюється на фоні Нового біткойн-Сіті, а процес генерації та зберігання приватних ключів все ще невідомий.
Зведення
Friend.tech конкуренти вдосконалювалися та впроваджували інновації на основі Friend.tech. Основна модель ціноутворення залишається в основному незмінною, з поліпшенням взаємодії з користувачами, але погано вирішує проблему зберігання приватних ключів в гаманцях користувачів. **Ризик централізації контракту очевидний, і користувачам потрібно проводити дослідження проекту під час взаємодії.