Триваюче бурхливе зростання Friend.tech знову привернуло увагу ринку до треку SocialFi. В даний час один за одним з'являються Friend.tech конкурентів кожного ланцюга, TOMO мережі Linea і New Bitcoin City мережі NOS зі своїми власними інноваціями, їх TVL перевищив 1 мільйон доларів за короткий проміжок часу, ставши новачком на треку SocialFi.
У той час як такі проекти SocialFi знаходяться в самому розпалі, пов'язані з ними ризики безпеки привернули багато уваги з боку спільноти. Кінець серпня Friend.tech Витік конфіденційності через дизайн доступу до API; 7 жовтня на Stars Arena в ланцюжку Avalanche була уразливість повторного входу, і хакери знову ввели функцію call 0x5632b2e4 в його контракт, що призвело до незвично великого кінцевого результату розрахунку функції sellShares, і протокол втратив близько $2,9 млн.
Раніше компанія Beosin провела детальний аналіз механізмів проектування та потенційних ризиків для безпеки Friend.tech. Сьогодні команда безпеки Beosin аналізує нові проекти TOMO і New Bitcoin City, щоб допомогти вам зрозуміти потенційні ризики.
Вступ до ТОМО
TOMO є Friend.tech конкурентом мережі Layer 2 від Linea і запустив механізм «Голосування» на основі Friend.tech. Голосування – це облікові дані користувачів Twitter перед реєстрацією в TOMO, а інші користувачі можуть безпосередньо торгувати голосами незареєстрованих користувачів. Після того, як користувач зареєструється, відповідний голос буде перетворено на ключ.
Впровадження Vote певною мірою дозволяє уникнути поширення поспішних роботів, усуваючи необхідність стежити за користувачами Twitter, які вводять і без розбору здійснюють транзакції. При цьому 5% доходів від Trading Vote буде розподілено між користувачем Twitter, що відповідає Vote, який може отримати дохід, зареєструвавшись у TOMO. Це дає економічний стимул для користувачів Twitter переходити в TOMO.
Аналіз ризиків ТОМО
Раніше Беосін завершив аудит Tifo.trade, найбільшої біржі деривативів у публічній мережі Linea. Цього разу ми просканували бізнес-контракти TOMO за допомогою інструменту Beosin VaaS у поєднанні з аналізом експертів з аудиту безпеки Beosin і виявили, що TOMO має такі ризики:
Бізнес-контракт TOMO має відкритий вихідний код, і якщо поглянути на його код контракту, можна побачити, що його базова модель ціноутворення схожа на Friend.tech. Якщо S є поточним утриманням, то ключовою ціновою моделлю TOMO є S^2/43370, а ціновою моделлю для Friend.tech є S^2/16000. Це змушує ціну TOMO Key зростати повільніше, залучаючи більше користувачів до участі в транзакції.
Однак суть не змінилася, адже чим більша загальна сума Key, тим вища ціна покупки та вища ціна продажу, можуть бути ранні користувачі, які купують велику кількість Key, а Equi, придбаний пізнішими користувачами, може зазнати збитків, і потрібно звертати увагу на ризики при участі в інвестуванні.
! [Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) модель ціноутворення для ТОМО
! [Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech модель ціноутворення
2. Ризик централізації
Подібно до Friend.tech ризику, централізований ризик ТОМО не можна ігнорувати. **Власник контракту може регулювати ставку комісії без обмежень, щоб стягувати високі комісії, і навіть може встановити 100% комісію за обробку, щоб користувачі не могли отримати гроші від продажу, або встановити ставку комісії понад 100%, щоб призупинити функцію купівлі-продажу.
Згідно з інформацією, яку відображає TOMO, гаманець, згенерований TOMO після реєстрації користувача, є гаманцем ERC-4337 (account abstract wallet). Спільнота підняла питання щодо безпеки активів таких гаманців.
Перш за все, Friend.tech і більшість конкурентів, таких як Stars Arena, використовують EOA-гаманці, які є звичайними гаманцями, що належать ззовні. Гаманці EOA вимагають, щоб кожна ініційована транзакція була підписана приватним ключем, який є відносно громіздким у взаємодії. У той же час користувачам складно надійно зберігати приватні ключі, і після того, як гарячий гаманець Deribit був вкрадений на $28 млн, Беосін докладно поділився, як зберегти гаманець у безпеці.
Щоб вирішити ці проблеми, ERC-4337 пропонує абстракцію облікового запису, вводячи об'єкт транзакції під назвою "UserOperation", де користувачі можуть використовувати єдиний обліковий запис гаманця як зі смарт-контрактом, так і з функціональністю EOA (account abstract wallet). Різні користувачі надсилають об'єкти UserOperation до пулу пам'яті UserOperation. Транзакції упаковуються бандлерами та надсилаються до мемпулу Ethereum. Упакована транзакція перевіряється контрактом Entry Point, а потім конкретний контракт Wallet викликається для виконання конкретних операцій, а потім завантажується в ланцюжок. Процес показаний на наступному малюнку:
Завдяки робочому процесу ERC-4337 ми можемо знати, що гаманець аккаунта має такі потенційні точки ризику:
Ризик контракту
Контракт точки входу та контракт гаманця повинні бути реалізовані самим проектом, а TOMO наразі не відкриває вихідний код відповідного контракту. Контракт Entry Point відповідає за перевірку легітимності транзакцій, поданих бандлерами, і виклик конкретних контрактів Wallet на основі транзакцій. Якщо в контракті Entry Point і контракті Wallet є вразливості бізнес-логіки, хакери можуть атакувати, конструюючи конкретні транзакції.
Ризики, пов'язані з приватним ключем
За схемою ERC-4337, якщо користувач забув закритий ключ, можуть бути інші рішення для відновлення гаманця (згідно з дизайном проекту). Однак крадіжка/витік приватного ключа іншим особам також може призвести до втрати активів користувача. 18 жовтня TOMO відкрив функцію експорту приватних ключів гаманця, користувачам необхідно експортувати приватні ключі та запобігти крадіжці приватних ключів.
Знайомство з новим біткойн-сіті
New Bitcoin City (або Alpha) — це Friend.tech-подібний соціальний додаток, заснований на мережі Bitcoin Layer 2 NOS, що підтримує як веб, так і мобільні пристрої. Користувачі можуть торгувати ключами до Нового Біткойн-Сіті та Friend.tech у Новому Біткойн-Сіті. Раніше команда New Bitcoin City також запустила GameFi-проєкт Mega Whales та DeFi-проєкт New Bitcoin DEX.
Новий Bitcoin City також використовує подібну модель ціноутворення для Friend.tech, з ЦІНОЮ_KEYS_DENOMINATOR 264000 у коді та ЧИСЛОМ_UNIT_PER_ONE_ETHER 10. У порівнянні з ТОМО ціни зростають повільніше.
На додаток до тих же ризиків централізації, що і частина TOMO, за словами команди New Bitcoin City, NOS використовує технологію Trustless Computer Layer 2 для виконання своїх контрактів. Trustless Computer також був розроблений командою New Bitcoin City, а рівень виконання заснований на OP Stack для розробки сумісного Ethereum і повної перевірки даних у мережі Bitcoin.
В даний час в мережі активні тільки соціальні додатки New Bitcoin City, а стабільність і безпеку мережі не перевірялися.
3. Керування приватними ключами
Новий Bitcoin City схожий на Friend.tech тим, що користувачі генерують гаманець EOA після першої авторизації програми в Twitter. Однак генерація гаманця здійснюється на фоні Нового біткойн-Сіті, а процес генерації та зберігання приватних ключів все ще невідомий.
Підсумки
Friend.tech конкуренти вдосконалювалися та впроваджували інновації на основі Friend.tech. Основна модель ціноутворення в основному не змінилася, і були зроблені поліпшення з точки зору взаємодії з користувачами, але це не вирішило проблему зберігання приватних ключів в гаманцях користувачів. Ризик централізації контрактів очевидний, і користувачам потрібно проводити дослідження проєктів під час взаємодії.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Friend.tech Які потенційні ризики нового підробки TOMO та New Bitcoin City?
Триваюче бурхливе зростання Friend.tech знову привернуло увагу ринку до треку SocialFi. В даний час один за одним з'являються Friend.tech конкурентів кожного ланцюга, TOMO мережі Linea і New Bitcoin City мережі NOS зі своїми власними інноваціями, їх TVL перевищив 1 мільйон доларів за короткий проміжок часу, ставши новачком на треку SocialFi.
У той час як такі проекти SocialFi знаходяться в самому розпалі, пов'язані з ними ризики безпеки привернули багато уваги з боку спільноти. Кінець серпня Friend.tech Витік конфіденційності через дизайн доступу до API; 7 жовтня на Stars Arena в ланцюжку Avalanche була уразливість повторного входу, і хакери знову ввели функцію call 0x5632b2e4 в його контракт, що призвело до незвично великого кінцевого результату розрахунку функції sellShares, і протокол втратив близько $2,9 млн.
Раніше компанія Beosin провела детальний аналіз механізмів проектування та потенційних ризиків для безпеки Friend.tech. Сьогодні команда безпеки Beosin аналізує нові проекти TOMO і New Bitcoin City, щоб допомогти вам зрозуміти потенційні ризики.
Вступ до ТОМО
TOMO є Friend.tech конкурентом мережі Layer 2 від Linea і запустив механізм «Голосування» на основі Friend.tech. Голосування – це облікові дані користувачів Twitter перед реєстрацією в TOMO, а інші користувачі можуть безпосередньо торгувати голосами незареєстрованих користувачів. Після того, як користувач зареєструється, відповідний голос буде перетворено на ключ.
Впровадження Vote певною мірою дозволяє уникнути поширення поспішних роботів, усуваючи необхідність стежити за користувачами Twitter, які вводять і без розбору здійснюють транзакції. При цьому 5% доходів від Trading Vote буде розподілено між користувачем Twitter, що відповідає Vote, який може отримати дохід, зареєструвавшись у TOMO. Це дає економічний стимул для користувачів Twitter переходити в TOMO.
Аналіз ризиків ТОМО
Раніше Беосін завершив аудит Tifo.trade, найбільшої біржі деривативів у публічній мережі Linea. Цього разу ми просканували бізнес-контракти TOMO за допомогою інструменту Beosin VaaS у поєднанні з аналізом експертів з аудиту безпеки Beosin і виявили, що TOMO має такі ризики:
! Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City?
1. Підприємницький ризик
Бізнес-контракт TOMO має відкритий вихідний код, і якщо поглянути на його код контракту, можна побачити, що його базова модель ціноутворення схожа на Friend.tech. Якщо S є поточним утриманням, то ключовою ціновою моделлю TOMO є S^2/43370, а ціновою моделлю для Friend.tech є S^2/16000. Це змушує ціну TOMO Key зростати повільніше, залучаючи більше користувачів до участі в транзакції.
Однак суть не змінилася, адже чим більша загальна сума Key, тим вища ціна покупки та вища ціна продажу, можуть бути ранні користувачі, які купують велику кількість Key, а Equi, придбаний пізнішими користувачами, може зазнати збитків, і потрібно звертати увагу на ризики при участі в інвестуванні.
! [Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-4337b0dda2-dd1a6f-69ad2a.webp) модель ціноутворення для ТОМО
! [Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-6066c7ea42-dd1a6f-69ad2a.webp)Friend.tech модель ціноутворення
2. Ризик централізації
Подібно до Friend.tech ризику, централізований ризик ТОМО не можна ігнорувати. **Власник контракту може регулювати ставку комісії без обмежень, щоб стягувати високі комісії, і навіть може встановити 100% комісію за обробку, щоб користувачі не могли отримати гроші від продажу, або встановити ставку комісії понад 100%, щоб призупинити функцію купівлі-продажу.
! Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? Джерело:
3. Ризик приватного ключа (гаманець ERC-4337)
Згідно з інформацією, яку відображає TOMO, гаманець, згенерований TOMO після реєстрації користувача, є гаманцем ERC-4337 (account abstract wallet). Спільнота підняла питання щодо безпеки активів таких гаманців.
Перш за все, Friend.tech і більшість конкурентів, таких як Stars Arena, використовують EOA-гаманці, які є звичайними гаманцями, що належать ззовні. Гаманці EOA вимагають, щоб кожна ініційована транзакція була підписана приватним ключем, який є відносно громіздким у взаємодії. У той же час користувачам складно надійно зберігати приватні ключі, і після того, як гарячий гаманець Deribit був вкрадений на $28 млн, Беосін докладно поділився, як зберегти гаманець у безпеці.
Щоб вирішити ці проблеми, ERC-4337 пропонує абстракцію облікового запису, вводячи об'єкт транзакції під назвою "UserOperation", де користувачі можуть використовувати єдиний обліковий запис гаманця як зі смарт-контрактом, так і з функціональністю EOA (account abstract wallet). Різні користувачі надсилають об'єкти UserOperation до пулу пам'яті UserOperation. Транзакції упаковуються бандлерами та надсилаються до мемпулу Ethereum. Упакована транзакція перевіряється контрактом Entry Point, а потім конкретний контракт Wallet викликається для виконання конкретних операцій, а потім завантажується в ланцюжок. Процес показаний на наступному малюнку:
! Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? джерело:
Завдяки робочому процесу ERC-4337 ми можемо знати, що гаманець аккаунта має такі потенційні точки ризику:
Ризик контракту
Контракт точки входу та контракт гаманця повинні бути реалізовані самим проектом, а TOMO наразі не відкриває вихідний код відповідного контракту. Контракт Entry Point відповідає за перевірку легітимності транзакцій, поданих бандлерами, і виклик конкретних контрактів Wallet на основі транзакцій. Якщо в контракті Entry Point і контракті Wallet є вразливості бізнес-логіки, хакери можуть атакувати, конструюючи конкретні транзакції.
Ризики, пов'язані з приватним ключем
За схемою ERC-4337, якщо користувач забув закритий ключ, можуть бути інші рішення для відновлення гаманця (згідно з дизайном проекту). Однак крадіжка/витік приватного ключа іншим особам також може призвести до втрати активів користувача. 18 жовтня TOMO відкрив функцію експорту приватних ключів гаманця, користувачам необхідно експортувати приватні ключі та запобігти крадіжці приватних ключів.
Знайомство з новим біткойн-сіті
New Bitcoin City (або Alpha) — це Friend.tech-подібний соціальний додаток, заснований на мережі Bitcoin Layer 2 NOS, що підтримує як веб, так і мобільні пристрої. Користувачі можуть торгувати ключами до Нового Біткойн-Сіті та Friend.tech у Новому Біткойн-Сіті. Раніше команда New Bitcoin City також запустила GameFi-проєкт Mega Whales та DeFi-проєкт New Bitcoin DEX.
! Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? посилання:
Новий аналіз ризиків Bitcoin City
1. Підприємницький ризик
Новий Bitcoin City також використовує подібну модель ціноутворення для Friend.tech, з ЦІНОЮ_KEYS_DENOMINATOR 264000 у коді та ЧИСЛОМ_UNIT_PER_ONE_ETHER 10. У порівнянні з ТОМО ціни зростають повільніше.
! Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? джерело:
2. Кіберризики
На додаток до тих же ризиків централізації, що і частина TOMO, за словами команди New Bitcoin City, NOS використовує технологію Trustless Computer Layer 2 для виконання своїх контрактів. Trustless Computer також був розроблений командою New Bitcoin City, а рівень виконання заснований на OP Stack для розробки сумісного Ethereum і повної перевірки даних у мережі Bitcoin.
! Friend.tech Які потенційні ризики нових підробок TOMO і New Bitcoin City? джерело:
В даний час в мережі активні тільки соціальні додатки New Bitcoin City, а стабільність і безпеку мережі не перевірялися.
3. Керування приватними ключами
Новий Bitcoin City схожий на Friend.tech тим, що користувачі генерують гаманець EOA після першої авторизації програми в Twitter. Однак генерація гаманця здійснюється на фоні Нового біткойн-Сіті, а процес генерації та зберігання приватних ключів все ще невідомий.
Підсумки
Friend.tech конкуренти вдосконалювалися та впроваджували інновації на основі Friend.tech. Основна модель ціноутворення в основному не змінилася, і були зроблені поліпшення з точки зору взаємодії з користувачами, але це не вирішило проблему зберігання приватних ключів в гаманцях користувачів. Ризик централізації контрактів очевидний, і користувачам потрібно проводити дослідження проєктів під час взаємодії.