Nguồn gốc: Beosin

Sự phổ biến liên tục của Friend.tech một lần nữa khiến thị trường chú ý đến đường đua SocialFi. Hiện tại, các sản phẩm cạnh tranh của Friend.tech từ nhiều chuỗi khác nhau đang lần lượt xuất hiện. TOMO của chuỗi Linea và Thành phố Bitcoin mới của chuỗi NOS dựa vào những đổi mới của riêng họ và TVL của họ đã vượt quá 1 triệu đô la Mỹ trong một thời gian ngắn, trở thành những sản phẩm mới trên bài hát SocialFi.

Khi các dự án SocialFi như vậy đang phát triển rầm rộ thì những rủi ro bảo mật liên quan đã nhận được sự quan tâm rộng rãi của cộng đồng. cuối tháng TámRò rỉ quyền riêng tư của Friend.tech do thiết kế truy cập APINgày 7/10 xuất hiện lỗ hổng reentrancy trong Stars Arena trên chuỗi Avalanche, hacker vào lại và gọi hàm 0x 563 2b 2 e 4 trong hợp đồng khiến kết quả tính toán cuối cùng của hàm sellShares lớn bất thường và giao thức này bị mất khoảng 2,9 triệu USD.

Trước đây BeosinCơ chế thiết kế của Friend.tech và những nguy cơ bảo mật tiềm ẩnđược phân tích chi tiết. Hôm nay, nhóm bảo mật Beosin sẽ phân tích các dự án mới nổi TOMO và New Bitcoin City để giúp bạn hiểu những rủi ro tiềm ẩn liên quan.

Giới thiệu về TOMO

TOMO là đối thủ cạnh tranh của Friend.tech với mạng cấp 2 của Linea. Nó ra mắt cơ chế Bình chọn dựa trên Friend.tech. Vote là voucher dành cho người dùng Twitter trước khi họ đăng ký TOMO. Những người dùng khác có thể giao dịch trực tiếp Vote của người dùng chưa đăng ký. Sau khi người dùng đăng ký, Phiếu bầu tương ứng sẽ được chuyển thành Key.

Sự ra đời của Vote đã tránh được sự gia tăng của các bot chạy trước ở một mức độ nhất định, loại bỏ nhu cầu giám sát người dùng Twitter và các giao dịch spam. Đồng thời, 5% thu nhập từ giao dịch Vote sẽ được chia cho người dùng Twitter tương ứng với Vote, người dùng có thể nhận được thu nhập miễn là đăng ký TOMO. Điều này mang lại động lực tài chính cho người dùng Twitter tham gia TOMO.

Phân tích rủi ro TOMO

Beosin trước đây đã hoàn thànhKiểm toán Tifo.trade, sàn giao dịch phái sinh lớn nhất trên chuỗi công khai Linea. Lần này chúng tôi đã vượt quaBeosin VaaSCông cụ đã quét hợp đồng kinh doanh TOMO, kết hợp với phân tích của các chuyên gia kiểm toán bảo mật Beosin và nhận thấy TOMO có những rủi ro sau:

1.Rủi ro kinh doanh

Hợp đồng kinh doanh của TOMO là nguồn mở. Nhìn vào mã hợp đồng của nó, bạn có thể thấy rằng mô hình định giá cơ bản của nó tương tự như mô hình định giá của Friend.tech. Nếu S là khoản nắm giữ hiện tại thì mô hình giá chính của TOMO là S^ 2/43370, trong khi mô hình giá của Friend.tech là S^ 2/16000. Điều này khiến giá Key của TOMO tăng chậm hơn, thu hút nhiều người dùng tham gia giao dịch ở một mức độ nhất định.

Nhưng bản chất vẫn không thay đổi. Vì tổng số Chìa khóa càng lớn thì giá mua và bán càng cao, những người dùng đầu tiên có thể mua số lượng Chìa khóa lớn và những người dùng sau có thể bị lỗ khi mua cổ phần. khi tham gia đầu tư.

Mô hình định giá của TOMO

Mô hình định giá của Friend.tech

2. Rủi ro tập trung

Tương tự như rủi ro của Friend.tech, không thể bỏ qua rủi ro tập trung của TOMO. Chủ hợp đồng có thể điều chỉnh tỷ lệ xử lý không giới hạn, từ đó tính phí xử lý cao, thậm chí có thể đặt mức phí xử lý 100% để người dùng không nhận được số tiền họ bán hoặc có thể đặt tỷ lệ xử lý vượt quá 100% để tạm dừng mua hàng.Chức năng nhập và bán.

source: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8

3. Rủi ro khóa riêng (ví ERC-4337)

Theo thông tin được TOMO hiển thị, ví do TOMO tạo ra sau khi người dùng đăng ký là ví ERC-4337 (ví trừu tượng tài khoản). Cộng đồng đã đặt ra câu hỏi về tính bảo mật tài sản của những chiếc ví như vậy.

Trước hết, Friend.tech và hầu hết các sản phẩm cạnh tranh như Stars Arena đều sử dụng ví EOA, là loại ví thông thường thuộc sở hữu bên ngoài. Ví EOA cần ký từng giao dịch được bắt đầu bằng khóa riêng, điều này tương đối rắc rối khi sử dụng tương tác. Đồng thời, người dùng khó có thể lưu trữ khóa riêng một cách an toàn.28 triệu USD đã bị đánh cắp khỏi ví nóng Deribit và Beosin đã chia sẻ chi tiết cách đảm bảo tính bảo mật của ví.

Để giải quyết các vấn đề trên, đề xuất ERC-4337 triển khai tính năng trừu tượng hóa tài khoản bằng cách giới thiệu một đối tượng giao dịch có tên là UserOperation. Người dùng có thể sử dụng một tài khoản ví duy nhất (ví trừu tượng tài khoản) với cả hợp đồng thông minh và chức năng EOA. Những người dùng khác nhau gửi các đối tượng UserOperation tới vùng bộ nhớ UserOperation. Giao dịch được Bundler đóng gói và gửi tới nhóm bộ nhớ Ethereum. Giao dịch được đóng gói sẽ được xác minh bằng hợp đồng Điểm đầu vào và sau đó hợp đồng Ví cụ thể sẽ được gọi để thực hiện các hoạt động cụ thể và sau đó được tải lên chuỗi. Quá trình này được thể hiện trong hình dưới đây:

source: https://eips.ethereum.org/EIPS/eip-4337

Thông qua quy trình làm việc ERC-4337, chúng ta có thể biết rằng ví trừu tượng tài khoản có các điểm rủi ro tiềm ẩn sau:

(1) Rủi ro hợp đồng

Hợp đồng Entry Point và hợp đồng Wallet cần được bên dự án thực hiện. Hiện tại, TOMO không mở nguồn các hợp đồng liên quan. Hợp đồng Entry Point chịu trách nhiệm xác minh tính hợp pháp của các giao dịch do Bundler gửi và gọi các hợp đồng Ví cụ thể dựa trên các giao dịch. Nếu có lỗ hổng logic nghiệp vụ trong hợp đồng Entry Point và hợp đồng Wallet, tin tặc có thể tấn công bằng cách xây dựng các giao dịch cụ thể.

(2) Rủi ro liên quan đến khóa riêng

Theo sơ đồ ERC-4337, nếu người dùng quên khóa riêng, có thể có các giải pháp khác để khôi phục ví (dựa trên thiết kế sơ đồ của dự án). Tuy nhiên, việc đánh cắp/rò rỉ khóa riêng cho người khác cũng có thể gây mất tài sản của người dùng. Vào ngày 18/10, TOMO đã mở chức năng xuất khóa riêng của ví, người dùng cần xuất khóa riêng và đề phòng trường hợp khóa riêng bị đánh cắp.

Giới thiệu về Thành phố Bitcoin mới

New Bitcoin City (hoặc Alpha) là một ứng dụng xã hội tương tự như Friend.tech dựa trên mạng NOS lớp thứ hai của Bitcoin. Nó hỗ trợ các thiết bị đầu cuối web và di động. Người dùng có thể giao dịch Thành phố Bitcoin mới và Khóa Friend.tech tại Thành phố Bitcoin mới. Trước đây, nhóm New Bitcoin City cũng đã khởi động dự án GameFi Mega Whales và dự án DeFi New Bitcoin DEX.

link: https://pro.newbitcoincity.com/

Phân tích rủi ro thành phố Bitcoin mới

1.Rủi ro kinh doanh

Thành phố Bitcoin mới cũng sử dụng mô hình định giá tương tự như Friend.tech. PRICE_KEYS_DENOMINATOR trong mã là 264000 và NUMBER_UNIT_PER_ONE_ETHER là 10. So với TOMO thì giá tăng chậm hơn.

source: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs

2. Rủi ro mạng

Ngoài việc có rủi ro tập trung tương tự như TOMO, theo nhóm New Bitcoin City, NOS còn sử dụng công nghệ Trustless Computer Layer 2 để chạy các hợp đồng của mình. Trustless Computer cũng được phát triển bởi nhóm New Bitcoin City, lớp thực thi được phát triển dựa trên OP Stack và tương thích với Ethereum, đồng thời hoàn tất xác minh dữ liệu trên mạng Bitcoin.

source: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin

Hiện tại, chỉ có ứng dụng xã hội của New Bitcoin City đang hoạt động trên mạng và tính ổn định cũng như bảo mật của mạng chưa được kiểm tra.

3. Quản lý khóa riêng

Thành phố Bitcoin mới tương tự như Friend.tech ở chỗ người dùng tạo ví EOA sau khi cấp phép ứng dụng với Twitter lần đầu tiên. Tuy nhiên, việc tạo ví được hoàn thành trong phần phụ trợ của Thành phố Bitcoin mới và quy trình lưu trữ và tạo khóa riêng của nó vẫn chưa được biết.

Tóm tắt

Các sản phẩm cạnh tranh của Friend.tech đã được cải tiến và đổi mới trên nền tảng Friend.tech. Mô hình định giá cốt lõi về cơ bản vẫn không thay đổi và các cải tiến đã được thực hiện trong tương tác với người dùng, nhưng nó không giải quyết tốt vấn đề lưu trữ khóa riêng của ví người dùng. Rủi ro tập trung của hợp đồng là rõ ràng và người dùng cần tiến hành nghiên cứu dự án khi tương tác.