Sự bùng nổ liên tục của Friend.tech đã một lần nữa đưa thị trường đến sự chú ý của đường đua SocialFi. Hiện tại, các đối thủ cạnh tranh Friend.tech của mỗi chuỗi đang lần lượt nổi lên, TOMO của chuỗi Linea và Thành phố Bitcoin mới của chuỗi NOS với sự đổi mới của riêng họ, TVL của họ đã vượt quá 1 triệu đô la trong một khoảng thời gian ngắn, trở thành tân binh trong đường đua SocialFi.
Trong khi các dự án SocialFi như vậy đang phát triển mạnh mẽ, các rủi ro bảo mật liên quan đã nhận được rất nhiều sự chú ý từ cộng đồng. Cuối tháng 8 Friend.tech Rò rỉ quyền riêng tư do thiết kế truy cập API; Vào ngày 7 tháng 10, đã có một lỗ hổng reentrancy trong **Stars Arena trên chuỗi Avalanche ** và tin tặc đã nhập lại chức năng 0x5632b2e4 cuộc gọi trong hợp đồng của họ, dẫn đến tính toán cuối cùng lớn bất thường của chức năng sellShares và giao thức mất khoảng 2,9 triệu đô la.
Trước đó, Beosin đã tiến hành phân tích chi tiết các cơ chế thiết kế và các rủi ro bảo mật tiềm ẩn của Friend.tech. Hôm nay, nhóm bảo mật Beosin phân tích các dự án mới nổi TOMO và New Bitcoin City để giúp bạn hiểu những rủi ro tiềm ẩn.
Giới thiệu TOMO
TOMO là đối thủ cạnh tranh Friend.tech với mạng Layer 2 của Linea, và đã đưa ra cơ chế "Vote" dựa trên Friend.tech. Bình chọn là thông tin đăng nhập của người dùng Twitter trước khi đăng ký với TOMO và những người dùng khác có thể trực tiếp giao dịch Bình chọn của người dùng chưa đăng ký. Sau khi người dùng đăng ký, Bình chọn tương ứng sẽ được chuyển đổi thành Khóa.
Sự ra đời của Vote tránh sự gia tăng của các robot vội vã ở một mức độ nhất định, loại bỏ nhu cầu giám sát người dùng Twitter vào và phát hành giao dịch bừa bãi. Đồng thời, 5% số tiền thu được từ Trading Vote sẽ được phân phối cho người dùng Twitter tương ứng với Vote, người có thể nhận thu nhập bằng cách đăng ký TOMO. Điều này cung cấp một động lực kinh tế cho người dùng Twitter chuyển sang TOMO.
Phân tích rủi ro TOMO
Beosin trước đây đã hoàn thành kiểm toán Tifo.trade, sàn giao dịch phái sinh lớn nhất trên chuỗi công khai của Linea. Lần này, chúng tôi đã quét các hợp đồng kinh doanh TOMO thông qua công cụ Beosin VaaS, kết hợp với phân tích của các chuyên gia kiểm toán bảo mật Beosin và nhận thấy TOMO có những rủi ro sau:
1 Rủi ro kinh doanh
Hợp đồng kinh doanh của TOMO là nguồn mở và nhìn vào mã hợp đồng của nó cho thấy mô hình định giá cơ bản của nó tương tự như Friend.tech. Nếu S là mức giữ hiện tại, mô hình giá Key của TOMO là S ^ 2 / 43370 và mô hình giá cho Friend.tech là S ^ 2 / 16000. Điều này khiến giá Key của TOMO tăng chậm hơn, thu hút nhiều người dùng tham gia giao dịch ở một mức độ nào đó.
Tuy nhiên, bản chất không thay đổi, bởi tổng số lượng Key càng lớn thì giá mua càng cao và giá bán càng cao, có thể có những người dùng sớm mua một số lượng lớn Key, và vốn chủ sở hữu mà người dùng sau mua có thể bị lỗ, và bạn cần chú ý đến những rủi ro khi tham gia đầu tư.
Mô hình định giá của TOMO
Mô hình định giá của Friend.tech
2 Rủi ro tập trung
Tương tự như rủi ro Friend.tech, rủi ro tập trung của TOMO không thể bỏ qua. Chủ sở hữu hợp đồng có thể điều chỉnh tỷ lệ hoa hồng vô thời hạn, để tính phí cao, thậm chí có thể đặt phí xử lý 100% để người dùng không thể nhận tiền từ việc bán, hoặc đặt mức phí xử lý trên 100% để tạm ngừng chức năng mua bán.
nguồn:
**3 Rủi ro khóa riêng (Ví ERC-4337) **
Theo thông tin mà TOMO hiển thị, ví được TOMO tạo ra sau khi đăng ký người dùng là ví ERC-4337 (ví tóm tắt tài khoản). Cộng đồng đã đặt ra câu hỏi về bảo mật tài sản của các ví như vậy.
Trước hết, Friend.tech và hầu hết các đối thủ cạnh tranh như Stars Arena đều sử dụng ví EOA, là ví thông thường thuộc sở hữu bên ngoài. Ví EOA yêu cầu mỗi giao dịch được bắt đầu phải được ký bằng một khóa riêng, tương đối cồng kềnh để tương tác. Đồng thời, người dùng khó giữ khóa riêng tư một cách an toàn và sau khi ví nóng Deribit bị đánh cắp 28 triệu USD, Beosin đã chia sẻ chi tiết cách giữ an toàn cho ví.
Để giải quyết những vấn đề này, ERC-4337 đề xuất trừu tượng hóa tài khoản bằng cách giới thiệu một đối tượng giao dịch có tên là "UserOperation", nơi người dùng có thể sử dụng một tài khoản ví duy nhất với cả hợp đồng thông minh và chức năng EOA (ví trừu tượng tài khoản). Người dùng khác nhau gửi các đối tượng UserOperation đến nhóm bộ nhớ UserOperation. Các giao dịch được đóng gói bởi các gói và được gửi đến mempool Ethereum. Giao dịch được đóng gói được xác minh bằng hợp đồng Điểm nhập cảnh, và sau đó hợp đồng Ví cụ thể được gọi để thực hiện các hoạt động cụ thể và sau đó được tải lên chuỗi. Quá trình này được thể hiện trong hình sau:
nguồn:
Thông qua quy trình làm việc của ERC-4337, chúng ta có thể biết rằng ví tóm tắt tài khoản có các điểm rủi ro tiềm ẩn sau:
(1) Rủi ro hợp đồng
Hợp đồng Entry Point và hợp đồng Wallet cần được thực hiện bởi bên dự án**, và TOMO hiện không mở các hợp đồng liên quan đến nguồn mở. **Hợp đồng Entry Point xác minh tính hợp pháp của các giao dịch được gửi bởi bundler và gọi các hợp đồng Ví cụ thể dựa trên các giao dịch. Nếu có lỗ hổng logic kinh doanh trong hợp đồng Entry Point và hợp đồng Ví, tin tặc có thể tấn công bằng cách xây dựng các giao dịch cụ thể.
(2) Rủi ro liên quan đến khóa riêng
Theo sơ đồ ERC-4337, nếu người dùng quên khóa riêng, có thể có các giải pháp khác để khôi phục ví (theo thiết kế dự án). Tuy nhiên, ** Việc đánh cắp / rò rỉ khóa riêng cho người khác cũng có thể gây mất tài sản của người dùng **. Ngày 18/10, TOMO mở chức năng xuất khóa riêng ví, người dùng cần xuất khóa riêng và ngăn chặn khóa riêng bị đánh cắp.
**Giới thiệu về Thành phố Bitcoin mới **
New Bitcoin City (hay Alpha) là một ứng dụng xã hội giống Friend.tech dựa trên mạng Bitcoin Layer 2 NOS, hỗ trợ cả web và di động. Người dùng có thể giao dịch chìa khóa cho Thành phố Bitcoin mới và Friend.tech trong Thành phố Bitcoin mới. Trước đó, nhóm New Bitcoin City cũng đã ra mắt dự án GameFi Mega Whales và dự án DeFi New Bitcoin DEX.
liên kết:
** Phân tích rủi ro thành phố Bitcoin mới **
1 Rủi ro kinh doanh
New Bitcoin City cũng sử dụng mô hình định giá tương tự như Friend.tech, với PRICE \ _KEYS \ _DENOMINATOR là 264000 trong mã và NUMBER \ _UNIT \ _PER \ _ONE _ETHER là 10. So với TOMO, giá tăng chậm hơn.
nguồn:
2 Rủi ro mạng
Ngoài các rủi ro tập trung tương tự như phần TOMO, theo nhóm New Bitcoin City, NOS sử dụng công nghệ Trustless Computer Layer 2 để chạy các hợp đồng của mình. Máy tính không tin cậy cũng được phát triển bởi nhóm New Bitcoin City và lớp thực thi dựa trên OP Stack để phát triển Ethereum tương thích và hoàn thành xác minh dữ liệu trên mạng Bitcoin.
nguồn:
Hiện tại, chỉ có các ứng dụng xã hội của New Bitcoin City đang hoạt động trên mạng và tính ổn định và bảo mật của mạng vẫn chưa được kiểm tra.
3 Quản lý khóa cá nhân
Thành phố Bitcoin mới tương tự như Friend.tech ở chỗ người dùng tạo ví EOA sau khi ủy quyền cho một ứng dụng với Twitter lần đầu tiên. Tuy nhiên, việc tạo ví được thực hiện trong nền tảng Thành phố Bitcoin mới và quá trình tạo và lưu ký khóa riêng vẫn chưa được biết.
Tóm tắt
Friend.tech đối thủ cạnh tranh đã cải tiến và đổi mới trên cơ sở Friend.tech. Mô hình định giá cốt lõi phần lớn vẫn không thay đổi, với những cải tiến trong tương tác của người dùng, nhưng không giải quyết tốt vấn đề lưu trữ khóa riêng trong ví của người dùng. ** Rủi ro tập trung hợp đồng là rõ ràng và người dùng cần thực hiện nghiên cứu dự án khi tương tác.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Phân tích bản nhạc SocialFi TOMO và New Bitcoin City từ góc độ bảo mật
Nguồn: Beosin
Sự bùng nổ liên tục của Friend.tech đã một lần nữa đưa thị trường đến sự chú ý của đường đua SocialFi. Hiện tại, các đối thủ cạnh tranh Friend.tech của mỗi chuỗi đang lần lượt nổi lên, TOMO của chuỗi Linea và Thành phố Bitcoin mới của chuỗi NOS với sự đổi mới của riêng họ, TVL của họ đã vượt quá 1 triệu đô la trong một khoảng thời gian ngắn, trở thành tân binh trong đường đua SocialFi.
Trong khi các dự án SocialFi như vậy đang phát triển mạnh mẽ, các rủi ro bảo mật liên quan đã nhận được rất nhiều sự chú ý từ cộng đồng. Cuối tháng 8 Friend.tech Rò rỉ quyền riêng tư do thiết kế truy cập API; Vào ngày 7 tháng 10, đã có một lỗ hổng reentrancy trong **Stars Arena trên chuỗi Avalanche ** và tin tặc đã nhập lại chức năng 0x5632b2e4 cuộc gọi trong hợp đồng của họ, dẫn đến tính toán cuối cùng lớn bất thường của chức năng sellShares và giao thức mất khoảng 2,9 triệu đô la.
Trước đó, Beosin đã tiến hành phân tích chi tiết các cơ chế thiết kế và các rủi ro bảo mật tiềm ẩn của Friend.tech. Hôm nay, nhóm bảo mật Beosin phân tích các dự án mới nổi TOMO và New Bitcoin City để giúp bạn hiểu những rủi ro tiềm ẩn.
Giới thiệu TOMO
TOMO là đối thủ cạnh tranh Friend.tech với mạng Layer 2 của Linea, và đã đưa ra cơ chế "Vote" dựa trên Friend.tech. Bình chọn là thông tin đăng nhập của người dùng Twitter trước khi đăng ký với TOMO và những người dùng khác có thể trực tiếp giao dịch Bình chọn của người dùng chưa đăng ký. Sau khi người dùng đăng ký, Bình chọn tương ứng sẽ được chuyển đổi thành Khóa.
Sự ra đời của Vote tránh sự gia tăng của các robot vội vã ở một mức độ nhất định, loại bỏ nhu cầu giám sát người dùng Twitter vào và phát hành giao dịch bừa bãi. Đồng thời, 5% số tiền thu được từ Trading Vote sẽ được phân phối cho người dùng Twitter tương ứng với Vote, người có thể nhận thu nhập bằng cách đăng ký TOMO. Điều này cung cấp một động lực kinh tế cho người dùng Twitter chuyển sang TOMO.
Phân tích rủi ro TOMO
Beosin trước đây đã hoàn thành kiểm toán Tifo.trade, sàn giao dịch phái sinh lớn nhất trên chuỗi công khai của Linea. Lần này, chúng tôi đã quét các hợp đồng kinh doanh TOMO thông qua công cụ Beosin VaaS, kết hợp với phân tích của các chuyên gia kiểm toán bảo mật Beosin và nhận thấy TOMO có những rủi ro sau:
1 Rủi ro kinh doanh
Hợp đồng kinh doanh của TOMO là nguồn mở và nhìn vào mã hợp đồng của nó cho thấy mô hình định giá cơ bản của nó tương tự như Friend.tech. Nếu S là mức giữ hiện tại, mô hình giá Key của TOMO là S ^ 2 / 43370 và mô hình giá cho Friend.tech là S ^ 2 / 16000. Điều này khiến giá Key của TOMO tăng chậm hơn, thu hút nhiều người dùng tham gia giao dịch ở một mức độ nào đó.
Tuy nhiên, bản chất không thay đổi, bởi tổng số lượng Key càng lớn thì giá mua càng cao và giá bán càng cao, có thể có những người dùng sớm mua một số lượng lớn Key, và vốn chủ sở hữu mà người dùng sau mua có thể bị lỗ, và bạn cần chú ý đến những rủi ro khi tham gia đầu tư.
2 Rủi ro tập trung
Tương tự như rủi ro Friend.tech, rủi ro tập trung của TOMO không thể bỏ qua. Chủ sở hữu hợp đồng có thể điều chỉnh tỷ lệ hoa hồng vô thời hạn, để tính phí cao, thậm chí có thể đặt phí xử lý 100% để người dùng không thể nhận tiền từ việc bán, hoặc đặt mức phí xử lý trên 100% để tạm ngừng chức năng mua bán.
**3 Rủi ro khóa riêng (Ví ERC-4337) **
Theo thông tin mà TOMO hiển thị, ví được TOMO tạo ra sau khi đăng ký người dùng là ví ERC-4337 (ví tóm tắt tài khoản). Cộng đồng đã đặt ra câu hỏi về bảo mật tài sản của các ví như vậy.
Trước hết, Friend.tech và hầu hết các đối thủ cạnh tranh như Stars Arena đều sử dụng ví EOA, là ví thông thường thuộc sở hữu bên ngoài. Ví EOA yêu cầu mỗi giao dịch được bắt đầu phải được ký bằng một khóa riêng, tương đối cồng kềnh để tương tác. Đồng thời, người dùng khó giữ khóa riêng tư một cách an toàn và sau khi ví nóng Deribit bị đánh cắp 28 triệu USD, Beosin đã chia sẻ chi tiết cách giữ an toàn cho ví.
Để giải quyết những vấn đề này, ERC-4337 đề xuất trừu tượng hóa tài khoản bằng cách giới thiệu một đối tượng giao dịch có tên là "UserOperation", nơi người dùng có thể sử dụng một tài khoản ví duy nhất với cả hợp đồng thông minh và chức năng EOA (ví trừu tượng tài khoản). Người dùng khác nhau gửi các đối tượng UserOperation đến nhóm bộ nhớ UserOperation. Các giao dịch được đóng gói bởi các gói và được gửi đến mempool Ethereum. Giao dịch được đóng gói được xác minh bằng hợp đồng Điểm nhập cảnh, và sau đó hợp đồng Ví cụ thể được gọi để thực hiện các hoạt động cụ thể và sau đó được tải lên chuỗi. Quá trình này được thể hiện trong hình sau:
Thông qua quy trình làm việc của ERC-4337, chúng ta có thể biết rằng ví tóm tắt tài khoản có các điểm rủi ro tiềm ẩn sau:
(1) Rủi ro hợp đồng
Hợp đồng Entry Point và hợp đồng Wallet cần được thực hiện bởi bên dự án**, và TOMO hiện không mở các hợp đồng liên quan đến nguồn mở. **Hợp đồng Entry Point xác minh tính hợp pháp của các giao dịch được gửi bởi bundler và gọi các hợp đồng Ví cụ thể dựa trên các giao dịch. Nếu có lỗ hổng logic kinh doanh trong hợp đồng Entry Point và hợp đồng Ví, tin tặc có thể tấn công bằng cách xây dựng các giao dịch cụ thể.
(2) Rủi ro liên quan đến khóa riêng
Theo sơ đồ ERC-4337, nếu người dùng quên khóa riêng, có thể có các giải pháp khác để khôi phục ví (theo thiết kế dự án). Tuy nhiên, ** Việc đánh cắp / rò rỉ khóa riêng cho người khác cũng có thể gây mất tài sản của người dùng **. Ngày 18/10, TOMO mở chức năng xuất khóa riêng ví, người dùng cần xuất khóa riêng và ngăn chặn khóa riêng bị đánh cắp.
**Giới thiệu về Thành phố Bitcoin mới **
New Bitcoin City (hay Alpha) là một ứng dụng xã hội giống Friend.tech dựa trên mạng Bitcoin Layer 2 NOS, hỗ trợ cả web và di động. Người dùng có thể giao dịch chìa khóa cho Thành phố Bitcoin mới và Friend.tech trong Thành phố Bitcoin mới. Trước đó, nhóm New Bitcoin City cũng đã ra mắt dự án GameFi Mega Whales và dự án DeFi New Bitcoin DEX.
** Phân tích rủi ro thành phố Bitcoin mới **
1 Rủi ro kinh doanh
New Bitcoin City cũng sử dụng mô hình định giá tương tự như Friend.tech, với PRICE \ _KEYS \ _DENOMINATOR là 264000 trong mã và NUMBER \ _UNIT \ _PER \ _ONE _ETHER là 10. So với TOMO, giá tăng chậm hơn.
2 Rủi ro mạng
Ngoài các rủi ro tập trung tương tự như phần TOMO, theo nhóm New Bitcoin City, NOS sử dụng công nghệ Trustless Computer Layer 2 để chạy các hợp đồng của mình. Máy tính không tin cậy cũng được phát triển bởi nhóm New Bitcoin City và lớp thực thi dựa trên OP Stack để phát triển Ethereum tương thích và hoàn thành xác minh dữ liệu trên mạng Bitcoin.
Hiện tại, chỉ có các ứng dụng xã hội của New Bitcoin City đang hoạt động trên mạng và tính ổn định và bảo mật của mạng vẫn chưa được kiểm tra.
3 Quản lý khóa cá nhân
Thành phố Bitcoin mới tương tự như Friend.tech ở chỗ người dùng tạo ví EOA sau khi ủy quyền cho một ứng dụng với Twitter lần đầu tiên. Tuy nhiên, việc tạo ví được thực hiện trong nền tảng Thành phố Bitcoin mới và quá trình tạo và lưu ký khóa riêng vẫn chưa được biết.
Tóm tắt
Friend.tech đối thủ cạnh tranh đã cải tiến và đổi mới trên cơ sở Friend.tech. Mô hình định giá cốt lõi phần lớn vẫn không thay đổi, với những cải tiến trong tương tác của người dùng, nhưng không giải quyết tốt vấn đề lưu trữ khóa riêng trong ví của người dùng. ** Rủi ro tập trung hợp đồng là rõ ràng và người dùng cần thực hiện nghiên cứu dự án khi tương tác.