원본출처 : 버신

Friend.tech의 지속적인 인기로 인해 시장은 다시 한번 SocialFi 트랙에 주목하게 되었습니다. 현재 다양한 체인의 Friend.tech 경쟁 제품이 속속 등장하고 있으며, Linea 체인의 TOMO 및 NOS 체인의 New Bitcoin City는 자체 혁신을 통해 짧은 기간에 100만 달러 이상의 TVL을 달성하여 신인이 되었습니다. SocialFi 트랙에서.

이러한 SocialFi 프로젝트가 본격적으로 개발되면서 관련 보안 위험이 커뮤니티로부터 광범위한 관심을 받았습니다. 8월말API 액세스 설계로 인한 Friend.tech 개인정보 유출; 10월 7일 Avalanche 체인의 Stars Arena에 재진입 취약점이 발생하여 해커가 재진입하여 계약에서 0x 563 2b 2 e 4 함수를 호출하여 SellShares 함수의 최종 계산 결과가 비정상적으로 커지는 현상이 발생했습니다. , 프로토콜은 약 290만 달러의 손실을 입었습니다.

예전에는 버신Friend.tech의 설계 메커니즘과 잠재적인 보안 위험자세히 분석했습니다. 오늘 Beosin 보안팀은 TOMO 및 New Bitcoin City의 신흥 프로젝트를 분석하여 관련된 잠재적 위험을 이해하는 데 도움을 드릴 것입니다.

토모 소개

TOMO는 Linea의 2차 네트워크에 대한 Friend.tech의 경쟁업체로, Friend.tech를 기반으로 한 투표 메커니즘을 시작합니다. Vote는 TOMO에 등록하기 전 Twitter 사용자를 위한 바우처이며, 다른 사용자는 등록되지 않은 사용자의 Vote를 직접 거래할 수 있습니다. 사용자가 등록한 후 해당 투표는 키로 변환됩니다.

Vote의 도입으로 선두 봇의 확산을 어느 정도 방지하여 트위터 사용자 및 스팸 거래를 모니터링할 필요가 없어졌습니다. 동시에 투표 거래 수익의 5%는 투표에 해당하는 트위터 사용자에게 분배되며, 사용자는 TOMO에 등록하는 한 수익을 받을 수 있습니다. 이는 트위터 사용자가 TOMO에 참여하도록 재정적 인센티브를 제공합니다.

TOMO 위험 분석

버신은 이전에Linea 퍼블릭 체인의 최대 파생상품 거래소인 Tifo.trade 감사. 이번에는 패스했어요Beosin VaaS이 도구는 Beosin 보안 감사 전문가의 분석과 결합하여 TOMO 비즈니스 계약을 스캔한 결과 TOMO에 다음과 같은 위험이 있음을 발견했습니다.

1.사업상의 위험

TOMO의 비즈니스 계약은 오픈소스로 공개되어 있으며 계약 코드를 보면 기본 가격 책정 모델이 Friend.tech와 유사하다는 것을 알 수 있습니다. S가 현재 보유중인 경우 TOMO의 핵심 가격 모델은 S^ 2/43370이고 Friend.tech의 가격 모델은 S^ 2/16000입니다. 이로 인해 TOMO의 주요 가격이 더 느리게 상승하여 어느 정도 더 많은 사용자가 거래에 참여하도록 유도합니다.

하지만 본질은 변하지 않았으며, Key의 총 개수가 많을수록 매매 가격이 높아지므로 초기 사용자는 많은 Key를 구매할 수 있으며, 이후 사용자는 자산 구매 시 손실을 입을 수 있으므로 위험을 감수하시기 바랍니다. 투자에 참여할 때.

TOMO의 가격 모델

Friend.tech의 가격 모델

2. 중앙화 위험

Friend.tech의 위험과 마찬가지로 TOMO의 중앙화 위험도 무시할 수 없습니다. 계약 소유자는 취급 비율을 무제한으로 조정하여 높은 취급 수수료를 부과할 수 있으며, 사용자가 판매한 돈을 받을 수 없도록 취급 수수료를 100%로 설정할 수도 있고, 100%를 초과하는 취급 비율을 설정할 수도 있습니다. 매수중단, 진입 및 매도 기능

source: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8

3. 개인키 위험(ERC-4337 지갑)

TOMO가 표시하는 정보에 따르면 사용자 등록 후 TOMO가 생성한 지갑은 ERC-4337 지갑(계정 추상 지갑)입니다. 커뮤니티에서는 이러한 지갑의 자산 보안에 대해 의문을 제기했습니다.

우선 Friend.tech과 스타즈 아레나 등 대부분의 경쟁 제품은 일반 외부 소유 지갑인 EOA 지갑을 사용합니다. EOA 지갑은 개인 키로 시작된 각 거래에 서명해야 하는데, 이는 대화식으로 사용하기가 비교적 까다롭습니다. 동시에 사용자가 개인 키를 안전하게 저장하는 것도 어렵습니다.데리빗 핫월렛에서 2,800만 달러가 도난당했는데, 버신은 지갑의 보안을 확보하는 방법을 자세히 공유했다.

위의 문제를 해결하기 위해 ERC-4337 제안에서는 UserOperation이라는 트랜잭션 개체를 도입하여 계정 추상화를 구현하며, 사용자는 스마트 계약과 EOA 기능을 모두 갖춘 단일 지갑 계정(계정 추상 지갑)을 사용할 수 있습니다. 다양한 사용자가 UserOperation 객체를 UserOperation 메모리 풀로 보냅니다. 트랜잭션은 Bundler에 의해 패키징되어 Ethereum 메모리 풀에 제출됩니다. 패키지된 거래는 Entry Point 계약에 의해 검증된 후 특정 Wallet 계약이 호출되어 특정 작업을 수행한 다음 체인에 업로드됩니다. 프로세스는 아래 그림에 나와 있습니다.

source: https://eips.ethereum.org/EIPS/eip-4337

ERC-4337 워크플로우를 통해 우리는 계정 추상 지갑에 다음과 같은 잠재적인 위험 요소가 있음을 알 수 있습니다.

(1) 계약위험

Entry Point 계약과 Wallet 계약은 프로젝트 당사자가 구현해야 하며, 현재 TOMO는 관련 계약을 오픈소스화하지 않습니다. Entry Point 계약은 Bundler가 제출한 거래의 합법성을 확인하고 거래를 기반으로 특정 Wallet 계약을 호출하는 역할을 담당합니다. Entry Point 계약과 Wallet 계약에 비즈니스 로직 취약점이 있는 경우 해커가 특정 트랜잭션을 구성하여 공격할 수 있습니다.

(2) 개인키 관련 위험

ERC-4337 체계에 따라 사용자가 개인 키를 잊어버린 경우 (프로젝트 체계 설계에 따라) 지갑을 복원할 수 있는 다른 솔루션이 있을 수 있습니다. 그러나 개인키가 타인에게 도난/유출될 경우에도 사용자의 자산 손실이 발생할 수 있습니다. 10월 18일 TOMO는 지갑 개인 키 내보내기 기능을 열었습니다. 사용자는 개인 키를 내보내고 개인 키가 도난당하는 것을 방지해야 합니다.

새로운 비트코인 ​​시티 소개

New Bitcoin City(또는 Alpha)는 Bitcoin 2차 네트워크 NOS를 기반으로 하는 Friend.tech와 유사한 소셜 애플리케이션으로 웹 및 모바일 단말기를 지원합니다. 사용자는 새로운 비트코인 ​​시티에서 새로운 비트코인 ​​시티와 Friend.tech 키를 거래할 수 있습니다. 이전에 New Bitcoin City 팀은 GameFi 프로젝트 Mega Whales와 DeFi 프로젝트 New Bitcoin DEX도 출시했습니다.

link: https://pro.newbitcoincity.com/

새로운 비트코인 ​​도시 위험 분석

1.사업상의 위험

New Bitcoin City는 또한 Friend.tech와 유사한 가격 모델을 사용합니다. 코드의 PRICE_KEYS_DENOMINATOR는 264000이고 NUMBER_UNIT_PER_ONE_ETHER은 10입니다. TOMO에 비해 가격이 더 천천히 상승합니다.

source: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs

2. 사이버 위험

New Bitcoin City 팀에 따르면 NOS는 TOMO와 동일한 중앙 집중화 위험이 있다는 점 외에도 Trustless Computer Layer 2 기술을 사용하여 계약을 실행합니다. Trustless Computer도 New Bitcoin City 팀에서 개발했으며, 실행 계층은 OP Stack을 기반으로 개발되었으며 Ethereum과 호환되며 Bitcoin 네트워크에서 데이터 검증을 완료합니다.

source: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin

현재 네트워크에서는 New Bitcoin City의 소셜 애플리케이션만 활성화되어 있으며 네트워크의 안정성과 보안은 테스트되지 않았습니다.

3. 개인키 관리

New Bitcoin City는 사용자가 처음으로 Twitter로 애플리케이션을 인증한 후 EOA 지갑을 생성한다는 점에서 Friend.tech와 유사합니다. 그러나 New Bitcoin City 백엔드에서 지갑 생성이 완료되었으며 개인 키 생성 및 저장 프로세스는 아직 알려지지 않았습니다.

요약하다

Friend.tech의 경쟁 제품은 Friend.tech를 기반으로 개선되고 혁신되었습니다. 핵심 가격 책정 모델은 기본적으로 변경되지 않고 사용자 상호 작용이 개선되었지만 사용자 지갑 개인 키의 저장 문제를 제대로 해결하지 못했습니다. 계약의 중앙화 위험은 명백하며 사용자는 상호 작용할 때 프로젝트 조사를 수행해야 합니다.