Die anhaltende Beliebtheit von Friend.tech hat den Markt erneut dazu gebracht, dem SocialFi-Track Aufmerksamkeit zu schenken. Gegenwärtig tauchen nacheinander konkurrierende Produkte von Friend.tech aus verschiedenen Ketten auf. TOMO der Linea-Kette und New Bitcoin City der NOS-Kette verließen sich auf ihre eigenen Innovationen, um in kurzer Zeit einen TVL von über 1 Million US-Dollar zu erzielen und sich zu einem Neuling zu entwickeln der SocialFi-Track.
Während sich solche SocialFi-Projekte in vollem Gange entwickeln, haben die damit verbundenen Sicherheitsrisiken in der Community große Aufmerksamkeit erregt. Ende August verursachte Friend.tech aufgrund des API-Zugriffsdesigns ein Datenschutzleck; am 7. Oktober hatte Stars Arena in der Avalanche-Kette eine Wiedereintrittslücke und rief die Funktion 0x5632b2e4 in ihrem Vertrag auf. Da das endgültige Berechnungsergebnis der Funktion „sellShares“ ungewöhnlich groß war, führte die Vereinbarung zu einem Verlust von etwa 2,9 Millionen US-Dollar.
Zuvor führte Beosin eine detaillierte Analyse des Designmechanismus von Friend.tech und potenzieller Sicherheitsrisiken durch. Heute wird das Beosin-Sicherheitsteam die aufstrebenden Projekte TOMO und New Bitcoin City analysieren, um Ihnen zu helfen, die damit verbundenen potenziellen Risiken zu verstehen.
TOMO-Zusammenfassung
TOMO ist ein Konkurrent von Friend.tech zum zweitrangigen Netzwerk von Linea. Es führt den auf Friend.tech basierenden „Vote“-Mechanismus ein. Vote ist der Gutschein für Twitter-Nutzer vor der Registrierung bei TOMO. Andere Nutzer können die Vote von nicht registrierten Nutzern direkt eintauschen. Nachdem sich der Benutzer registriert hat, wird die entsprechende Stimme in einen Schlüssel umgewandelt.
Durch die Einführung von Vote wird die Verbreitung vorderster Bots bis zu einem gewissen Grad verhindert, wodurch die Überwachung von Twitter-Benutzern und Spam-Transaktionen entfällt. Gleichzeitig werden 5 % der Einnahmen aus dem Vote-Handel an den der Vote entsprechenden Twitter-Nutzer ausgeschüttet. Der Nutzer kann die Einnahmen erhalten, solange er sich bei TOMO registriert. Dies stellt einen finanziellen Anreiz für Twitter-Nutzer dar, TOMO beizutreten.
TOMO-Risikoanalyse
Beosin hat zuvor eine Prüfung von Tifo.trade, der größten Derivatebörse der öffentlichen Kette Linea, abgeschlossen. Dieses Mal haben wir den TOMO-Geschäftsvertrag mit dem Beosin VaaS-Tool gescannt und in Kombination mit der Analyse der Beosin-Sicherheitsprüfungsexperten festgestellt, dass TOMO die folgenden Risiken birgt:
1. Geschäftsrisiken
Der Geschäftsvertrag von TOMO ist Open Source. Wenn Sie sich den Vertragscode ansehen, können Sie feststellen, dass das grundlegende Preismodell dem von Friend.tech ähnelt. Wenn S der aktuelle Bestand ist, ist das Schlüsselpreismodell von TOMO S^2/43370, während das Preismodell von Friend.tech S^2/16000 ist. Dadurch steigt der TOMO-Schlüsselpreis langsamer und lockt bis zu einem gewissen Grad mehr Benutzer zur Teilnahme an Transaktionen.
Aber das Wesentliche hat sich nicht geändert: Je größer die Gesamtzahl der Schlüssel, desto höher die Kauf- und Verkaufspreise. Daher kann es sein, dass frühe Benutzer eine große Anzahl von Schlüsseln kaufen und spätere Benutzer möglicherweise Verluste beim erworbenen Eigenkapital erleiden der Risiken bei der Beteiligung an Investitionen.
Preismodell von Friend.tech 2. Zentralisierungsrisiko
Ähnlich wie das Risiko von Friend.tech kann auch das Zentralisierungsrisiko von TOMO nicht ignoriert werden. Der Vertragsinhaber kann die Bearbeitungsgebühr unbegrenzt anpassen und dabei hohe Bearbeitungsgebühren erheben. Er kann sogar eine Bearbeitungsgebühr von 100 % festlegen, sodass Benutzer das verkaufte Geld nicht erhalten können, oder er kann eine Bearbeitungsgebühr von mehr als 100 % festlegen Kauf aussetzen. Eingabe- und Verkaufsfunktion.
Quelle: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8 3. Risiko des privaten Schlüssels (ERC-4337-Wallet)
Den von TOMO angezeigten Informationen zufolge handelt es sich bei dem von TOMO nach der Benutzerregistrierung generierten Wallet um ein ERC-4337-Wallet (Account Abstract Wallet). Die Community hat Fragen zur Vermögenssicherheit solcher Wallets aufgeworfen.
Erstens verwenden Friend.tech und die meisten Konkurrenten wie Stars Arena EOA-Wallets, bei denen es sich um gewöhnliche externe Wallets handelt. Das EOA-Wallet muss jede initiierte Transaktion mit einem privaten Schlüssel signieren, was bei der interaktiven Verwendung relativ mühsam ist. Gleichzeitig ist es für Benutzer schwierig, private Schlüssel sicher aufzubewahren. Deribit-Hot-Wallet wurde zuvor für 28 Millionen US-Dollar gestohlen. Beosin teilte detailliert mit, wie die Wallet-Sicherheit gewährleistet werden kann.
Um die oben genannten Probleme zu lösen, implementiert der ERC-4337-Vorschlag die Kontoabstraktion durch die Einführung eines Transaktionsobjekts namens „UserOperation“. Benutzer können ein einzelnes Wallet-Konto (Account Abstract Wallet) sowohl mit Smart Contract- als auch mit EOA-Funktionen verwenden. Verschiedene Benutzer senden UserOperation-Objekte an den UserOperation-Speicherpool. Die Transaktion wird von Bundler gepackt und an den Ethereum-Speicherpool übermittelt. Die verpackte Transaktion wird durch den Entry Point-Vertrag überprüft. Anschließend wird der spezifische Wallet-Vertrag aufgerufen, um bestimmte Vorgänge auszuführen, und dann in die Kette hochgeladen. Der Vorgang ist in der folgenden Abbildung dargestellt:
Quelle: https://eips.ethereum.org/EIPS/eip-4337
Durch den Workflow von ERC-4337 können wir erkennen, dass die abstrakte Brieftasche des Kontos die folgenden potenziellen Risikopunkte aufweist:
(1) Vertragsrisiko
Der Entry Point-Vertrag und der Wallet-Vertrag müssen von der Projektseite implementiert werden. Derzeit stellt TOMO die relevanten Verträge nicht als Open Source zur Verfügung. Der Entry Point-Vertrag ist dafür verantwortlich, die Rechtmäßigkeit der von Bundler übermittelten Transaktionen zu überprüfen und auf der Grundlage der Transaktionen spezifische Wallet-Verträge aufzurufen. Wenn der Entry Point-Vertrag und der Wallet-Vertrag Schwachstellen in der Geschäftslogik aufweisen, können Hacker angreifen, indem sie bestimmte Transaktionen konstruieren.
(2) Risiken im Zusammenhang mit privaten Schlüsseln
Wenn der Benutzer im Rahmen des ERC-4337-Schemas den privaten Schlüssel vergisst, gibt es möglicherweise andere Lösungen zur Wiederherstellung des Wallets (basierend auf dem Schemadesign des Projekts). Allerdings kann der Diebstahl/die Weitergabe des privaten Schlüssels an andere auch zum Vermögensverlust des Benutzers führen. Am 18. Oktober hat TOMO die Funktion zum Exportieren privater Wallet-Schlüssel eröffnet. Benutzer müssen die privaten Schlüssel exportieren und verhindern, dass die privaten Schlüssel gestohlen werden.
Einführung in New Bitcoin City
New Bitcoin City (oder Alpha) ist eine soziale Anwendung ähnlich Friend.tech, die auf dem Bitcoin-Second-Layer-Netzwerk NOS basiert. Sie unterstützt Web- und mobile Endgeräte. Benutzer können Schlüssel von New Bitcoin City und Friend.tech in New Bitcoin City handeln. Zuvor startete das New Bitcoin City-Team auch das GameFi-Projekt Mega Whales und das DeFi-Projekt New Bitcoin DEX.
Link: https://pro.newbitcoincity.com/ Neue Bitcoin City-Risikoanalyse
1. Geschäftsrisiken
New Bitcoin City verwendet auch ein ähnliches Preismodell wie Friend.tech. Der PRICE_KEYS_DENOMINATOR im Code ist 264000 und der NUMBER_UNIT_PER_ONE_ETHER ist 10. Im Vergleich zu TOMO steigt der Preis langsamer.
Quelle: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs 2. Cyber-Risiko
Nach Angaben des New Bitcoin City-Teams weist NOS nicht nur das gleiche Zentralisierungsrisiko wie TOMO auf, sondern nutzt auch die Trustless Computer Layer2-Technologie zur Ausführung seiner Verträge. Trustless Computer wurde ebenfalls vom New Bitcoin City-Team entwickelt. Die Ausführungsschicht basiert auf OP Stack, ist mit Ethereum kompatibel und führt die Datenüberprüfung im Bitcoin-Netzwerk durch.
Quelle: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin
Derzeit ist nur die soziale Anwendung von New Bitcoin City im Netzwerk aktiv und die Stabilität und Sicherheit des Netzwerks wurden nicht getestet.
3. Verwaltung privater Schlüssel
New Bitcoin City ähnelt Friend.tech darin, dass Benutzer eine EOA-Wallet erstellen, nachdem sie die Anwendung zum ersten Mal bei Twitter autorisiert haben. Allerdings ist die Wallet-Generierung im New Bitcoin City-Backend abgeschlossen und der Prozess zur Generierung und Speicherung des privaten Schlüssels ist noch unbekannt.
Zusammenfassen
Die konkurrierenden Produkte von Friend.tech werden auf der Grundlage von Friend.tech verbessert und innoviert. Das Kernpreismodell bleibt im Wesentlichen unverändert und es wurden Verbesserungen bei der Benutzerinteraktion vorgenommen, das Speicherproblem der privaten Schlüssel der Benutzerbrieftasche kann jedoch nicht gut gelöst werden. Das Zentralisierungsrisiko des Vertrags liegt auf der Hand, und Benutzer müssen bei der Interaktion Projektrecherchen durchführen.
Als weltweit führendes Blockchain-Sicherheitsunternehmen hat Beosin Niederlassungen in mehr als 10 Ländern und Regionen auf der ganzen Welt gegründet. Sein Geschäft umfasst Code-Sicherheitsprüfungen, bevor Projekte online gehen, Sicherheitsrisikoüberwachung, Frühwarnung und Blockierung sowie virtuelle Währung während des Projektbetriebs . „One-Stop“-Blockchain-Sicherheitsprodukte + -Dienste wie Wiederbeschaffung gestohlener Vermögenswerte, Sicherheits-Compliance KYT/AML usw. Derzeit hat das Unternehmen Sicherheitstechnologiedienste für mehr als 3.000 Blockchain-Unternehmen auf der ganzen Welt bereitgestellt und mehr als 3.000 Smart Contracts geprüft. Klicken Sie gerne auf das Nachrichtenfeld des offiziellen Kontos, um Kontakt mit uns aufzunehmen.