リスク警告:「仮想通貨」「ブロックチェーン」の名のもとでの違法な資金調達のリスクに注意してください。—銀行保険監督管理委員会など5部門
情報
発見
検索
ログイン
简中
繁中
English
日本語
한국어
ภาษาไทย
Tiếng Việt
BTC
ETH
HTX
SOL
BNB
View Market
SocialFiの新プロジェクトTOMOとNew Bitcoin Cityをセキュリティの観点から分析
星球君的朋友们
Odaily资深作者
2023-10-20 03:00
この記事は約1802文字で、全文を読むには約3分かかります
潜在的なリスクは何ですか?

出典: Beosin

Friend.tech の継続的な人気により、市場は再び SocialFi トラックに注目するようになりました。現在、各チェーンのFriend.tech競合製品が続々と登場しており、LineaチェーンのTOMOチェーンやNOSチェーンのNew Bitcoin Cityは、独自のイノベーションに頼って短期間でTVL100万ドル以上を達成し、新規参入者となった。 SocialFi トラックで。

このような SocialFi プロジェクトが本格的に開発されると、関連するセキュリティ リスクがコミュニティから広く注目されるようになります。 8月末API アクセス設計による Friend.tech のプライバシー漏洩; 10 月 7 日、Avalanche チェーンの Stars Arena に再入可能性の脆弱性が存在しました。ハッカーが再侵入してコントラクト内の 0x 563 2b 2 e 4 関数を呼び出した結果、sellShares 関数の最終計算結果が異常に大きくなりました。 、そしてプロトコルは約290万米ドルを失いました。

以前はベオシンFriend.tech の設計メカニズムと潜在的なセキュリティ リスク詳しく分析しました。本日、Beosin セキュリティ チームは、関連する潜在的なリスクを理解するために、新興プロジェクト TOMO と New Bitcoin City を分析します。

TOMOの紹介

TOMO は Linea の第 2 層ネットワークに対する Friend.tech の競合企業であり、Friend.tech に基づいた「投票」メカニズムを開始しています。投票はTOMOに登録する前のTwitterユーザー向けのバウチャーであり、他のユーザーは未登録ユーザーの投票を直接交換することができます。ユーザーが登録すると、対応する Vote が Key に変換されます。

Vote の導入により、フロントランニングボットの蔓延がある程度回避され、Twitter ユーザーやスパムトランザクションを監視する必要がなくなりました。同時に、Voteのトレードによる収益の5%が、TOMOに登録している限り、Voteに応じたTwitterユーザーに分配されます。これにより、Twitter ユーザーが TOMO に参加するための金銭的インセンティブが得られます。

TOMOリスク分析

Beosin は以前にLinea パブリックチェーン最大のデリバティブ取引所である Tifo.trade の監査。今回はパスしましたBeosin VaaSこのツールは TOMO ビジネス契約をスキャンし、Beosin セキュリティ監査専門家の分析と組み合わせて、TOMO に次のリスクがあることが判明しました。

1.事業上のリスク

TOMO のビジネス契約はオープンソース化されており、その契約コードを見ると、基本的な価格モデルが Friend.tech のモデルと似ていることがわかります。 S が現在の保有株である場合、TOMO のキー価格モデルは S^ 2/43370 ですが、Friend.tech の価格モデルは S^ 2/16000 です。これにより、TOMO のキー価格の上昇が緩やかになり、より多くのユーザーがある程度取引に参加できるようになります。

ただし、本質は変わっておりません、Keyの総数が多くなるほど売買価格が高くなるため、初期のユーザーは大量のKeyを購入し、後のユーザーは株式購入で損失を被る可能性がありますので、リスクにご注意ください。投資に参加するとき。

TOMO の価格モデル

Friend.tech の価格モデル

2. 集中化​​のリスク

Friend.tech のリスクと同様に、TOMO の集中化リスクも無視できません。契約者は手数料を無制限に調整して高額な手数料を請求したり、手数料を100%に設定してユーザーが販売したお金を受け取れないようにしたり、100%を超える手数料を設定したりすることもできます。買いを一時停止し、売り機能を入力します。

source: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8

3. 秘密鍵のリスク (ERC-4337 ウォレット)

TOMOが表示する情報によると、ユーザー登録後にTOMOが生成するウォレットはERC-4337ウォレット(アカウント抽象ウォレット)です。コミュニティでは、そのようなウォレットの資産セキュリティについて疑問の声が上がっています。

まず、Friend.tech や Stars Arena などのほとんどの競合製品は、通常の外部所有のウォレットである EOA ウォレットを使用しています。 EOA ウォレットは、開始された各トランザクションに秘密キーで署名する必要がありますが、対話的に使用するには比較的面倒です。同時に、ユーザーが秘密鍵を安全に保管することは困難です。Deribit ホットウォレットから 2,800 万ドルが盗まれましたが、Beosin はウォレットのセキュリティを確保する方法を詳細に共有しました。

上記の問題を解決するために、ERC-4337提案では「UserOperation」と呼ばれるトランザクションオブジェクトを導入することでアカウント抽象化を実現し、ユーザーは単一のウォレットアカウント(アカウント抽象ウォレット)でスマートコントラクトとEOAの両方の機能を利用できるようになります。さまざまなユーザーが UserOperation オブジェクトを UserOperation メモリ プールに送信します。トランザクションは Bundler によってパッケージ化され、Ethereum メモリ プールに送信されます。パッケージ化されたトランザクションはエントリー ポイント コントラクトによって検証され、その後、特定のウォレット コントラクトが呼び出されて特定の操作が実行され、チェーンにアップロードされます。プロセスを次の図に示します。

source: https://eips.ethereum.org/EIPS/eip-4337

ERC-4337 ワークフローを通じて、アカウント抽象ウォレットには次の潜在的なリスク ポイントがあることがわかります。

(1) 契約リスク

Entry Point 契約と Wallet 契約はプロジェクト当事者によって実装される必要がありますが、現在 TOMO は関連する契約をオープンソース化していません。エントリーポイントコントラクトは、バンドラーによって送信されたトランザクションの合法性を検証し、トランザクションに基づいて特定のウォレットコントラクトを呼び出す責任があります。エントリー ポイント コントラクトとウォレット コントラクトにビジネス ロジックの脆弱性がある場合、ハッカーは特定のトランザクションを構築して攻撃する可能性があります。

(2) 秘密鍵に関するリスク

ERC-4337 スキームでは、ユーザーが秘密キーを忘れた場合、ウォレットを復元するための他の解決策が存在する可能性があります (プロジェクトのスキーム設計に基づく)。ただし、秘密鍵が他人に盗難・漏洩すると、ユーザーの資産が損失する可能性があります。 TOMOは10月18日、ユーザーが秘密鍵をエクスポートして秘密鍵の盗難を防ぐためのウォレット秘密鍵のエクスポート機能をオープンした。

新しいビットコインシティの紹介

New Bitcoin City (または Alpha) は、ビットコインの第 2 層ネットワーク NOS をベースにした Friend.tech と同様のソーシャル アプリケーションであり、Web およびモバイル端末をサポートします。ユーザーは、New Bitcoin City と Friend.tech キーを New Bitcoin City で取引できます。以前、New Bitcoin City チームは GameFi プロジェクト Mega Whales と DeFi プロジェクト New Bitcoin DEX も立ち上げました。

link: https://pro.newbitcoincity.com/

新しいビットコイン都市リスク分析

1.事業上のリスク

New Bitcoin City も Friend.tech と同様の価格モデルを使用しており、コード内の PRICE_KEYS_DENOMINATOR は 264000、NUMBER_UNIT_PER_ONE_ETHER は 10 です。 TOMOに比べて価格の上昇が緩やかです。

source: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs

2. サイバーリスク

New Bitcoin City チームによると、TOMO と同じ集中化リスクがあることに加えて、NOS はトラストレス コンピュータ レイヤ 2 テクノロジーを使用して契約を実行しています。 Trustless ComputerもNew Bitcoin Cityチームによって開発されており、実行層はOP Stackをベースに開発され、イーサリアムと互換性があり、ビットコインネットワーク上でデータ検証を完了します。

source: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin

現在、ネットワーク上では New Bitcoin City のソーシャル アプリケーションのみがアクティブであり、ネットワークの安定性とセキュリティはテストされていません。

3. 秘密鍵の管理

New Bitcoin City は、ユーザーが初めて Twitter でアプリケーションを認証した後に EOA ウォレットを生成するという点で Friend.tech に似ています。ただし、ウォレットの生成は New Bitcoin City バックエンドで完了し、その秘密鍵の生成と保管プロセスはまだ不明です。

要約する

Friend.tech の競合製品は、Friend.tech に基づいて改良され、革新されています。中核となる価格モデルは基本的に変更されておらず、ユーザーの操作性が改善されていますが、ユーザーのウォレット秘密鍵のストレージ問題はうまく解決できません。契約による集中化のリスクは明らかであり、ユーザーは対話時にプロジェクトの調査を行う必要があります。

安全性
SocialFi
Odaily公式コミュニティへの参加を歓迎します
購読グループ
https://t.me/Odaily_News
チャットグループ
https://t.me/Odaily_CryptoPunk
公式アカウント
https://twitter.com/OdailyChina
チャットグループ
https://t.me/Odaily_CryptoPunk
おすすめ記事
2025年香港デジタル資産フォーラムが成功裏に終了し、SNZが主導するイーサリアムHKハブが立ち上げられました。
GMPayer: AIエージェント向けクロスチェーンx402決済ハブ
DEX は死んでいません。CEX はただその波に乗っているだけです。
AI要約
トップに戻る
潜在的なリスクは何ですか?
著者ライブラリ
星球君的朋友们
$PINGは1日で8倍に増加しました。x402の話題は「刻印ブーム」を再現するのでしょうか?
Psyプロトコルがパブリックテストネットを正式に開始、インターネットレベルのスケールとスピードとビットコインレベルのセキュリティを融合
独占分析 | LBankの1億ドルの利益を支えるプラットフォーム戦略を紐解く
記事ホットランキング
Daily
Weekly
この状況が続けば、誰も暗号通貨を取引しなくなるでしょう。
この状況が続けば、誰も暗号通貨を取引しなくなるでしょう。
ビットコインホワイトペーパー17周年:半分は海、半分は炎
17年経った今でもビットコインが必要なのはなぜでしょうか?
徹底的な分解: X402 はインターネットの「支払いギャップ」を解消しようとしましたが、また同じ落とし穴に陥ってしまいました。
Gate Research: BTC は安値から反発して安定し、小型株と中型株のテーマが熱くなり、プライバシーと AI セクターが投資の焦点になります。
Odailyプラネットデイリーアプリをダウンロード
一部の人々にまずWeb3.0を理解させよう
IOS
Android