Friend.tech の継続的な人気により、市場は再び SocialFi トラックに注目するようになりました。現在、Friend.tech と競合するさまざまなチェーンの製品が次々と登場しており、Linea チェーンの TOMO と NOS チェーンの New Bitcoin City は、独自のイノベーションに頼って短期間で TVL で 100 万ドルを超え、業界の新参者となりました。 SocialFi トラック。
このような SocialFi プロジェクトが本格的に発展するにつれて、関連するセキュリティ リスクがコミュニティから広く注目されるようになりました。 8 月末には、Friend.tech が API アクセスの設計によりプライバシー漏洩を引き起こし、10 月 7 日には、Avalanche チェーンの Stars Arena に再入の脆弱性があり、そのコントラクトにある 0x5632b2e4 関数を呼び出しました。これにより、sellShares 関数の最終計算結果が異常に大きくなり、契約により約 290 万ドルが損失されました。
以前、Beosin は Friend.tech の設計メカニズムと潜在的なセキュリティ リスクの詳細な分析を実施しました。本日、Beosin セキュリティ チームは、関連する潜在的なリスクを理解するために、新興プロジェクト TOMO と New Bitcoin City を分析します。
TOMOの紹介
TOMO は、Linea の第 2 層ネットワークに対する Friend.tech の競合企業であり、Friend.tech に基づいた「投票」メカニズムを開始します。投票は、TOMO に登録する前の Twitter ユーザー向けのクーポンであり、他のユーザーは未登録ユーザーの投票を直接取引できます。ユーザーが登録すると、対応する Vote が Key に変換されます。
Vote の導入により、フロントランニングボットの蔓延がある程度回避され、Twitter ユーザーやスパムトランザクションを監視する必要がなくなりました。同時に、Voteの取引による収益の5%が、TOMOに登録している限り、Voteに応じたTwitterユーザーに分配されます。これにより、Twitter ユーザーが TOMO に参加するための金銭的インセンティブが得られます。
TOMOリスク分析
Beosinは以前、Lineaパブリックチェーン最大のデリバティブ取引所であるTifo.tradeの監査を完了している。今回、私たちは Beosin VaaS ツールを通じて TOMO ビジネス契約をスキャンし、Beosin セキュリティ監査専門家の分析と組み合わせることで、TOMO には次のリスクがあることがわかりました。
1. 事業上のリスク
TOMO のビジネス契約はオープンソース化されており、その契約コードを見ると、基本的な価格モデルが Friend.tech に似ていることがわかります。 S が現在の保有株である場合、TOMO のキー価格モデルは S^2/43370 ですが、Friend.tech の価格モデルは S^2/16000 です。これにより、TOMO のキー価格の上昇がより緩やかになり、より多くのユーザーがある程度の取引に参加するようになります。
ただし本質は変わりません。キーの総数が多くなるほど売買価格が高くなるため、初期のユーザーは大量のキーを購入する可能性があり、後のユーザーは株式の購入で損失を被る可能性がありますのでご注意ください。投資に伴うリスク。
Friend.tech の価格モデル 2. 集中化のリスク
Friend.tech のリスクと同様に、TOMO の集中化リスクも無視できません。契約者は手数料を無制限に調整して高額な手数料を請求することもでき、手数料を100%に設定してユーザーが販売代金を受け取れないようにしたり、100%を超える手数料を設定して停止したりすることもできる。購入機能と販売機能。
出典: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8 3. 秘密鍵のリスク (ERC-4337 ウォレット)
TOMOが表示する情報によると、ユーザー登録後にTOMOが生成するウォレットはERC-4337ウォレット(アカウント抽象ウォレット)です。コミュニティでは、そのようなウォレットの資産セキュリティについて疑問の声が上がっています。
まず、Friend.tech や Stars Arena などのほとんどの競合企業は、通常の外部所有のウォレットである EOA ウォレットを使用しています。 EOA ウォレットは、開始された各トランザクションに秘密キーで署名する必要がありますが、対話的に使用するには比較的面倒です。同時に、ユーザーが秘密鍵を安全に保管することは困難です。Deribit ホットウォレットは以前に 2,800 万米ドルで盗まれました。その方法については、ウォレットのセキュリティを確保する方法が詳しく説明されています。
上記の問題を解決するために、ERC-4337提案では、「UserOperation」と呼ばれるトランザクションオブジェクトを導入することでアカウントの抽象化を実装し、ユーザーはスマートコントラクトとEOAの両方の機能を備えた単一のウォレットアカウント(アカウント抽象ウォレット)を使用できます。さまざまなユーザーが UserOperation オブジェクトを UserOperation メモリ プールに送信します。トランザクションは Bundler によってパッケージ化され、Ethereum メモリ プールに送信されます。パッケージ化されたトランザクションはエントリー ポイント コントラクトによって検証され、その後、特定のウォレット コントラクトが呼び出されて特定の操作が実行され、チェーンにアップロードされます。プロセスを次の図に示します。
出典: https://eips.ethereum.org/EIPS/eip-4337
ERC-4337 のワークフローを通じて、アカウント抽象ウォレットには次の潜在的なリスク ポイントがあることがわかります。
(1) 契約リスク
エントリー ポイント コントラクトとウォレット コントラクトは、現在、プロジェクト側で実装する必要があります。TOMO は関連するコントラクトをオープンソース化していません。エントリーポイントコントラクトは、バンドラーによって送信されたトランザクションの合法性を検証し、トランザクションに基づいて特定のウォレットコントラクトを呼び出す責任があります。エントリー ポイント コントラクトとウォレット コントラクトにビジネス ロジックの脆弱性がある場合、ハッカーは特定のトランザクションを構築して攻撃する可能性があります。
(2) 秘密鍵に関するリスク
ERC-4337 スキームでは、ユーザーが秘密キーを忘れた場合、ウォレットを復元するための他の解決策が存在する可能性があります (プロジェクトのスキーム設計に基づく)。ただし、秘密鍵が他人に盗難・漏洩すると、ユーザーの資産が損失する可能性があります。 TOMOは10月18日、ウォレットの秘密鍵をエクスポートして、秘密鍵の盗難を防ぐ機能をオープンした。
新しいビットコインシティの紹介
New Bitcoin City (または Alpha) は、Bitcoin の第 2 層ネットワーク NOS をベースにした Friend.tech に似たソーシャル アプリケーションで、Web およびモバイル端末をサポートします。ユーザーは、New Bitcoin City と New Bitcoin City の Friend.tech からキーを交換できます。以前、New Bitcoin City チームは GameFi プロジェクト Mega Whales と DeFi プロジェクト New Bitcoin DEX も立ち上げました。
リンク: https://pro.newbitcoincity.com/ 新しいビットコインシティのリスク分析
1. 事業上のリスク
新しい Bitcoin City も Friend.tech と同様の価格モデルを使用しており、コード内の PRICE_KEYS_DENOMINATOR は 264000、NUMBER_UNIT_PER_ONE_ETHER は 10 です。 TOMOに比べて価格の上昇が緩やかです。
出典: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs 2. サイバーリスク
New Bitcoin City チームによると、TOMO と同じ集中化リスクがあることに加えて、NOS は契約の実行に Trustless Computer Layer2 テクノロジーを使用しています。 Trustless ComputerもNew Bitcoin Cityチームによって開発されており、実行層はOP Stackに基づいて開発されており、イーサリアムと互換性があり、ビットコインネットワーク上でデータ検証を完了します。
出典: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin
現在、ネットワーク上では New Bitcoin City のソーシャル アプリケーションのみがアクティブであり、ネットワークの安定性とセキュリティはテストされていません。
3. 秘密鍵の管理
New Bitcoin City は、ユーザーが初めて Twitter でアプリケーションを認証した後に EOA ウォレットを生成するという点で Friend.tech に似ています。ただし、ウォレットの生成は New Bitcoin City バックエンドで完了し、その秘密鍵の生成と保管プロセスはまだ不明です。
要約する
Friend.tech の競合製品は、Friend.tech に基づいて改良および革新されています。中核となる価格モデルは基本的に変更されておらず、ユーザーの操作性が改善されていますが、ユーザーのウォレット秘密鍵のストレージ問題はうまく解決できません。契約による集中化のリスクは明らかであり、ユーザーは対話時にプロジェクトの調査を行う必要があります。
Beosin は、世界をリードするブロックチェーン セキュリティ企業として、世界中の 10 以上の国と地域に支社を設立しており、その事業は、プロジェクトがオンラインになる前のコード セキュリティ監査、セキュリティ リスクの監視、早期警告とブロック、プロジェクト運用中の仮想通貨をカバーしています。盗まれた資産の回収、セキュリティコンプライアンスKYT/AMLなどの「ワンストップ」ブロックチェーンセキュリティ製品+サービス。現在、世界中の3,000社以上のブロックチェーン企業にセキュリティ技術サービスを提供し、3,000件以上のスマートコントラクトを監査しています。公式アカウントのメッセージボックスをクリックしてご連絡ください。