ที่มา: Beosin

ความนิยมอย่างต่อเนื่องของ Friend.tech ทำให้ตลาดหันมาให้ความสนใจกับเส้นทาง SocialFi อีกครั้ง ปัจจุบัน ผลิตภัณฑ์คู่แข่งของ Friend.tech จากเครือข่ายต่างๆ กำลังเกิดขึ้นทีละรายการ TOMO ของ Linea chain และ New Bitcoin City ของเครือข่าย NOS อาศัยนวัตกรรมของตนเองเพื่อให้บรรลุ TVL มากกว่า 1 ล้านเหรียญสหรัฐในช่วงเวลาสั้น ๆ และกลายเป็นผู้มาใหม่ บนเส้นทาง SocialFi

เมื่อโครงการ SocialFi ดังกล่าวกำลังพัฒนาอย่างเต็มที่ ความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องก็ได้รับความสนใจอย่างกว้างขวางจากชุมชน ปลายเดือนสิงหาคมความเป็นส่วนตัวของ Friend.tech รั่วไหลเนื่องจากการออกแบบการเข้าถึง API; เมื่อวันที่ 7 ตุลาคม เกิดช่องโหว่ในการกลับมาอีกครั้งใน Stars Arena บน Avalanche chain แฮกเกอร์กลับเข้ามาใหม่และเรียกฟังก์ชัน 0x 563 2b 2 e 4 ในสัญญา ทำให้ผลการคำนวณขั้นสุดท้ายของฟังก์ชัน sellShares มีขนาดใหญ่ผิดปกติ และโปรโตคอลสูญเสียไปประมาณ 2.9 ล้านดอลลาร์สหรัฐ

เมื่อก่อนเบซินกลไกการออกแบบของ Friend.tech และความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นวิเคราะห์อย่างละเอียด วันนี้ ทีมรักษาความปลอดภัยของ Beosin จะวิเคราะห์โครงการที่เกิดขึ้นใหม่อย่าง TOMO และ New Bitcoin City เพื่อช่วยให้คุณเข้าใจความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้อง

ข้อมูลเบื้องต้นเกี่ยวกับโทโมะ

TOMO เป็นคู่แข่งของ Friend.tech ของเครือข่ายระดับสองของ Linea เปิดตัวกลไก โหวต โดยอิงจาก Friend.tech Vote คือบัตรกำนัลสำหรับผู้ใช้ Twitter ก่อนที่จะลงทะเบียนใน TOMO ผู้ใช้รายอื่นสามารถแลกเปลี่ยน Vote ของผู้ใช้ที่ไม่ได้ลงทะเบียนได้โดยตรง หลังจากที่ผู้ใช้ลงทะเบียนแล้ว คะแนนโหวตที่เกี่ยวข้องจะถูกแปลงเป็นคีย์

การเปิดตัว Vote ช่วยหลีกเลี่ยงการแพร่ขยายของบอตที่ทำงานส่วนหน้าในระดับหนึ่ง โดยไม่จำเป็นต้องตรวจสอบผู้ใช้ Twitter และธุรกรรมสแปม ในเวลาเดียวกัน 5% ของรายได้จากการซื้อขาย Vote จะถูกแจกจ่ายให้กับผู้ใช้ Twitter ที่สอดคล้องกับการ Vote ผู้ใช้สามารถรับรายได้ได้ตราบใดที่เขาลงทะเบียนกับ TOMO นี่เป็นสิ่งจูงใจทางการเงินสำหรับผู้ใช้ Twitter เพื่อเข้าสู่ TOMO

การวิเคราะห์ความเสี่ยงของโทโมะ

Beosin สำเร็จการศึกษาไปแล้วก่อนหน้านี้การตรวจสอบของ Tifo.trade ซึ่งเป็นการแลกเปลี่ยนอนุพันธ์ที่ใหญ่ที่สุดบนเครือข่ายสาธารณะ Linea. ครั้งนี้เราผ่านไปแล้วBeosin VaaSเครื่องมือนี้สแกนสัญญาธุรกิจของ TOMO รวมกับการวิเคราะห์ของผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยของ Beosin และพบว่า TOMO มีความเสี่ยงดังต่อไปนี้:

1.ความเสี่ยงทางธุรกิจ

สัญญาธุรกิจของ TOMO เป็นแบบโอเพ่นซอร์ส เมื่อดูรหัสสัญญา คุณจะพบว่ารูปแบบการกำหนดราคาพื้นฐานคล้ายกับของ Friend.tech หาก S คือการถือครองในปัจจุบัน โมเดลราคาหลักของ TOMO คือ S^ 2/43370 ในขณะที่รูปแบบราคาของ Friend.tech คือ S^ 2/16000 สิ่งนี้ทำให้ราคาคีย์ของ TOMO เพิ่มขึ้นช้าลง และดึงดูดผู้ใช้ให้เข้าร่วมในการทำธุรกรรมมากขึ้นในระดับหนึ่ง

แต่สาระสำคัญไม่เปลี่ยนแปลง เนื่องจากยิ่งจำนวน Keys รวมมากขึ้น ราคาซื้อและขายก็จะยิ่งสูงขึ้น ผู้ใช้ในช่วงแรกอาจซื้อ Keys จำนวนมาก และผู้ใช้ในภายหลังอาจประสบกับความสูญเสียจากการซื้อหุ้นของตน โปรดระวังความเสี่ยง เมื่อเข้าร่วมลงทุน

รูปแบบการกำหนดราคาของ TOMO

รูปแบบการกำหนดราคาของ Friend.tech

2. ความเสี่ยงจากการรวมศูนย์

เช่นเดียวกับความเสี่ยงของ Friend.tech ความเสี่ยงในการรวมศูนย์ของ TOMO ไม่สามารถละเลยได้ เจ้าของสัญญาสามารถปรับอัตราการจัดการได้โดยไม่มีขีดจำกัด จึงเรียกเก็บค่าธรรมเนียมการจัดการที่สูง เขายังสามารถกำหนดค่าธรรมเนียมการจัดการ 100% เพื่อให้ผู้ใช้ไม่สามารถรับเงินที่ขายได้ หรือเขาสามารถกำหนดอัตราการจัดการที่เกิน 100% เป็น ระงับการซื้อ เข้าและขายฟังก์ชัน

source: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8

3. ความเสี่ยงคีย์ส่วนตัว (กระเป๋าเงิน ERC-4337)

ตามข้อมูลที่แสดงโดย TOMO กระเป๋าเงินที่สร้างโดย TOMO หลังจากการลงทะเบียนผู้ใช้คือกระเป๋าเงิน ERC-4337 (กระเป๋าเงินนามธรรมของบัญชี) ชุมชนได้ตั้งคำถามเกี่ยวกับความปลอดภัยของทรัพย์สินของกระเป๋าเงินดังกล่าว

ก่อนอื่น Friend.tech และผลิตภัณฑ์คู่แข่งส่วนใหญ่ เช่น Stars Arena ใช้กระเป๋าเงิน EOA ซึ่งเป็นกระเป๋าเงินธรรมดาที่เป็นเจ้าของภายนอก กระเป๋าเงิน EOA จำเป็นต้องลงนามแต่ละธุรกรรมที่เริ่มต้นด้วยรหัสส่วนตัว ซึ่งค่อนข้างยุ่งยากในการใช้งานแบบโต้ตอบ ในขณะเดียวกันก็เป็นเรื่องยากสำหรับผู้ใช้ในการจัดเก็บคีย์ส่วนตัวอย่างปลอดภัย ก่อนหน้านี้เงินจำนวน 28 ล้านดอลลาร์ถูกขโมยไปจากกระเป๋าเงินร้อน Deribit และ Beosin ได้แชร์รายละเอียดวิธีการรับรองความปลอดภัยของกระเป๋าเงินดังกล่าว

เพื่อที่จะแก้ไขปัญหาข้างต้น ข้อเสนอ ERC-4337 จะนำ Account Abstraction ไปใช้โดยการแนะนำออบเจ็กต์ธุรกรรมที่เรียกว่า UserOperation ผู้ใช้สามารถใช้บัญชี Wallet เดียว (Account Abstract Wallet) กับทั้งฟังก์ชัน Smart Contract และ EOA ผู้ใช้ที่แตกต่างกันส่งวัตถุ UserOperation ไปยังพูลหน่วยความจำ UserOperation ธุรกรรมนี้จัดทำแพ็กเกจโดย Bundler และส่งไปยังพูลหน่วยความจำ Ethereum ธุรกรรมที่จัดแพคเกจจะได้รับการตรวจสอบโดยสัญญา Entry Point จากนั้นสัญญา Wallet เฉพาะเจาะจงจะถูกเรียกให้ดำเนินการเฉพาะ จากนั้นอัปโหลดไปยังห่วงโซ่ กระบวนการนี้แสดงในรูปด้านล่าง:

source: https://eips.ethereum.org/EIPS/eip-4337

ด้วยขั้นตอนการทำงาน ERC-4337 เราสามารถทราบได้ว่ากระเป๋าสตางค์ที่เป็นนามธรรมของบัญชีมีจุดเสี่ยงที่อาจเกิดขึ้นดังต่อไปนี้:

(1) ความเสี่ยงจากสัญญา

สัญญา Entry Point และสัญญา Wallet จำเป็นต้องดำเนินการโดยฝ่ายของโครงการ ปัจจุบัน TOMO ไม่ได้เป็นโอเพนซอร์สสัญญาที่เกี่ยวข้อง สัญญา Entry Point มีหน้าที่รับผิดชอบในการตรวจสอบความถูกต้องตามกฎหมายของธุรกรรมที่ส่งโดย Bundler และการเรียกสัญญา Wallet เฉพาะตามธุรกรรม หากมีช่องโหว่ด้านตรรกะทางธุรกิจในสัญญา Entry Point และสัญญา Wallet แฮกเกอร์สามารถโจมตีโดยสร้างธุรกรรมเฉพาะได้

(2) ความเสี่ยงที่เกี่ยวข้องกับคีย์ส่วนตัว

ภายใต้โครงการ ERC-4337 หากผู้ใช้ลืมรหัสส่วนตัว อาจมีวิธีแก้ไขปัญหาอื่นๆ ในการกู้คืนกระเป๋าเงิน (ขึ้นอยู่กับการออกแบบโครงการของโครงการ) อย่างไรก็ตาม การขโมย/การรั่วไหลของคีย์ส่วนตัวให้กับผู้อื่นอาจทำให้ทรัพย์สินของผู้ใช้สูญหายได้ เมื่อวันที่ 18 ตุลาคม TOMO ได้เปิดฟังก์ชันการส่งออกคีย์ส่วนตัวของ Wallet ผู้ใช้จำเป็นต้องส่งออกคีย์ส่วนตัวและป้องกันไม่ให้คีย์ส่วนตัวถูกขโมย

บทนำสู่เมือง Bitcoin ใหม่

New Bitcoin City (หรือ Alpha) เป็นแอปพลิเคชั่นโซเชียลที่คล้ายกับ Friend.tech ซึ่งใช้ NOS เครือข่ายชั้นสองของ Bitcoin รองรับเว็บและเทอร์มินัลมือถือ ผู้ใช้สามารถแลกเปลี่ยน New Bitcoin City และ Friend.tech Keys ใน New Bitcoin City ก่อนหน้านี้ ทีม New Bitcoin City ยังได้เปิดตัวโครงการ GameFi Mega Whales และโครงการ DeFi New Bitcoin DEX

link: https://pro.newbitcoincity.com/

การวิเคราะห์ความเสี่ยง Bitcoin City ใหม่

1.ความเสี่ยงทางธุรกิจ

New Bitcoin City ยังใช้รูปแบบการกำหนดราคาที่คล้ายกับ Friend.tech PRICE_KEYS_DENOMINATOR ในรหัสคือ 264000 และ NUMBER_UNIT_PER_ONE_ETHER คือ 10 เมื่อเทียบกับ TOMO ราคาจะเพิ่มขึ้นช้ากว่า

source: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs

2. ความเสี่ยงทางไซเบอร์

นอกเหนือจากการมีความเสี่ยงในการรวมศูนย์เช่นเดียวกับ TOMO ตามรายงานของทีม New Bitcoin City แล้ว NOS ยังใช้เทคโนโลยี Trustless Computer Layer 2 เพื่อดำเนินการตามสัญญา Trustless Computer ยังได้รับการพัฒนาโดยทีมงาน New Bitcoin City เลเยอร์การดำเนินการได้รับการพัฒนาโดยใช้ OP Stack และเข้ากันได้กับ Ethereum และทำการตรวจสอบข้อมูลบนเครือข่าย Bitcoin ให้เสร็จสมบูรณ์

source: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin

ขณะนี้มีเพียงแอปพลิเคชันโซเชียลของ New Bitcoin City เท่านั้นที่ทำงานบนเครือข่าย และยังไม่ได้ทดสอบความเสถียรและความปลอดภัยของเครือข่าย

3. การจัดการคีย์ส่วนตัว

New Bitcoin City นั้นคล้ายคลึงกับ Friend.tech โดยที่ผู้ใช้สร้างกระเป๋าเงิน EOA หลังจากอนุญาตแอปพลิเคชันด้วย Twitter เป็นครั้งแรก อย่างไรก็ตาม การสร้างกระเป๋าเงินจะเสร็จสมบูรณ์ในแบ็กเอนด์ New Bitcoin City และยังไม่ทราบกระบวนการสร้างและจัดเก็บคีย์ส่วนตัว

สรุป

ผลิตภัณฑ์คู่แข่งของ Friend.tech ได้รับการปรับปรุงและสร้างสรรค์บนพื้นฐานของ Friend.tech รูปแบบการกำหนดราคาหลักยังคงไม่เปลี่ยนแปลงโดยพื้นฐาน และมีการปรับปรุงในการโต้ตอบของผู้ใช้ แต่ไม่สามารถแก้ปัญหาการจัดเก็บคีย์ส่วนตัวของกระเป๋าสตางค์ผู้ใช้ได้ดี ความเสี่ยงในการรวมศูนย์ของสัญญานั้นชัดเจน และผู้ใช้จำเป็นต้องดำเนินการวิจัยโครงการเมื่อมีการโต้ตอบ