A popularidade contínua do Friend.tech mais uma vez fez o mercado prestar atenção ao segmento SocialFi. Atualmente, os produtos concorrentes da Friend.tech de várias redes estão surgindo um após o outro, o TOMO da rede Linea e a New Bitcoin City da rede NOS contaram com suas próprias inovações para ultrapassar 1 milhão de dólares americanos em TVL em um curto período de tempo, tornando-se um recém-chegado. a faixa SocialFi.
À medida que tais projectos SocialFi se desenvolvem a todo vapor, os riscos de segurança associados têm recebido ampla atenção da comunidade. No final de agosto, Friend.tech causou um vazamento de privacidade devido ao design de acesso à API. Em 7 de outubro, Stars Arena na cadeia Avalanche teve uma vulnerabilidade de reentrada. Um hacker entrou novamente e chamou a função 0x5632b2e4 em seu contrato. fazendo com que o resultado final do cálculo da função sellShares fosse anormalmente grande, o acordo resultou em uma perda de aproximadamente US$ 2,9 milhões.
Anteriormente, a Beosin realizou uma análise detalhada dos mecanismos de design e dos potenciais riscos de segurança da Friend.tech. Hoje, a equipe de segurança da Beosin analisa os projetos emergentes TOMO e New Bitcoin City para ajudar você a entender seus potenciais riscos.
Sobre a TOMO
A TOMO é concorrente da Friend.tech, da Linea, uma rede de segunda camada. Com base na Friend.tech, a TOMO introduziu um mecanismo de "Voto". Um Voto é um token de usuário do Twitter antes do registro na TOMO. Outros usuários podem negociar diretamente o Voto de usuários não registrados. Após o registro, o Voto correspondente é convertido em uma Chave.
A introdução do Vote mitigou, em certa medida, a proliferação de bots front-running, eliminando a necessidade de monitorar os usuários do Twitter em busca de transações recebidas e spam. Além disso, 5% da receita das transações do Vote é distribuída ao usuário do Twitter que votou, que pode reivindicar essa receita simplesmente registrando-se no TOMO. Isso proporciona um incentivo econômico para que os usuários do Twitter participem do TOMO.
Análise de Risco TOMO
A Beosin já havia auditado a Tifo.trade, a maior corretora de derivativos na blockchain Linea. Desta vez, analisamos os contratos comerciais da TOMO usando a ferramenta VaaS da Beosin. Combinados com a análise dos especialistas em auditoria de segurança da Beosin, descobrimos os seguintes riscos na TOMO:
1. Riscos comerciais
O contrato comercial da TOMO agora é de código aberto. Uma análise do código do contrato revela que seu modelo de precificação subjacente é semelhante ao da Friend.tech. Se S representa os ativos atuais, o preço-chave da TOMO é S^2/43370, enquanto o modelo da Friend.tech é S^2/16000. Isso permite que o preço-chave da TOMO suba mais lentamente, potencialmente atraindo mais usuários para participar das negociações.
No entanto, a essência não mudou. Como quanto maior o número total de chaves, maiores os preços de compra e venda, os primeiros usuários podem adquirir um grande número de chaves, enquanto os usuários posteriores podem sofrer perdas com o patrimônio adquirido. Esteja ciente dos riscos ao investir.
Modelo de Precificação 2 da Friend.tech. Risco de Centralização
Semelhante ao risco da Friend.tech, o risco de centralização da TOMO não pode ser ignorado. Os proprietários dos contratos podem ajustar a taxa de comissão sem limites, cobrando taxas exorbitantes. Eles podem até mesmo definir uma taxa de 100%, impedindo os usuários de receber qualquer receita de vendas. Eles também podem definir uma taxa superior a 100% para suspender transações de compra e venda.
Fonte: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8 3. Risco de Chave Privada (Carteira ERC-4337)
De acordo com a documentação do TOMO, a carteira gerada para o registro do usuário é uma carteira ERC-4337 (carteira de abstração de conta). A comunidade levantou preocupações sobre a segurança dos ativos nesse tipo de carteira.
Primeiro, a Friend.tech e a maioria dos concorrentes, como a Stars Arena, usam carteiras EOA, que são carteiras padrão de propriedade externa. As carteiras EOA exigem a assinatura de cada transação com uma chave privada, o que as torna relativamente complexas para uso interativo. Além disso, é difícil para os usuários armazenarem suas chaves privadas com segurança. No caso recente do roubo de US$ 28 milhões da carteira ativa da Deribit, Beosin compartilhou informações detalhadas sobre como garantir a segurança da carteira.
Para resolver essas questões, a proposta ERC-4337 implementa a abstração de contas introduzindo um objeto de transação chamado "UserOperation". Isso permite que os usuários utilizem uma única carteira (uma carteira de abstração de contas) que combina a funcionalidade de contrato inteligente e EOA. Diferentes usuários enviam objetos UserOperation para o pool de memória UserOperation. O Bundler empacota as transações e as envia para o pool de memória Ethereum. Essas transações são então verificadas pelo contrato do Ponto de Entrada, que então chama um contrato específico da Carteira para executar as operações específicas antes de serem carregadas na blockchain. O processo é ilustrado abaixo:
fonte: https://eips.ethereum.org/EIPS/eip-4337
Por meio do fluxo de trabalho ERC-4337, podemos ver que as carteiras de abstração de contas apresentam os seguintes riscos potenciais:
(1) Risco contratual
Os contratos de Ponto de Entrada e Carteira devem ser implementados pelo próprio projeto, e o TOMO ainda não tornou esses contratos de código aberto. O contrato de Ponto de Entrada é responsável por verificar a legitimidade das transações enviadas pelo Bundler e invocar um contrato de Carteira específico com base na transação. Se os contratos de Ponto de Entrada e Carteira contiverem vulnerabilidades de lógica de negócios, hackers podem explorá-las construindo transações especializadas.
(2) Riscos relacionados com a chave privada
De acordo com o protocolo ERC-4337, caso um usuário esqueça sua chave privada, pode haver outras soluções para recuperar sua carteira (dependendo do design do projeto). No entanto, o roubo ou a divulgação de chaves privadas a terceiros também pode resultar em perda de ativos. Em 18 de outubro, a TOMO lançou a capacidade de exportar chaves privadas de carteiras. Os usuários devem exportar suas chaves privadas e evitar que sejam roubadas.
Descrição da Nova Cidade Bitcoin
O New Bitcoin City (também conhecido como Alpha) é um aplicativo social semelhante ao Friend.tech, baseado na rede de segunda camada do Bitcoin, a NOS. Ele suporta plataformas web e mobile. Os usuários podem negociar chaves do New Bitcoin City e do Friend.tech dentro do New Bitcoin City. Anteriormente, a equipe do New Bitcoin City também lançou o projeto GameFi Mega Whales e o projeto DeFi New Bitcoin DEX.
link: https://pro.newbitcoincity.com/ Análise de Risco da New Bitcoin City
1. Riscos comerciais
A New Bitcoin City também usa um modelo de preços semelhante ao Friend.tech, com um PRICE_KEYS_DENOMINATOR de 264000 e um NUMBER_UNIT_PER_ONE_ETHER de 10. Comparado ao TOMO, o preço aumenta mais lentamente.
fonte: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs 2. Risco de rede
Além dos mesmos riscos de centralização que o TOMO, de acordo com a equipe da New Bitcoin City, a NOS utiliza a tecnologia Trustless Computer Layer 2 para executar seus contratos. O Trustless Computer, também desenvolvido pela equipe da New Bitcoin City, é baseado no OP Stack e é compatível com Ethereum na camada de execução, realizando a verificação de dados na rede Bitcoin.
fonte: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin
Atualmente, apenas o aplicativo social New Bitcoin City está ativo na rede, e a estabilidade e a segurança da rede não foram testadas.
3. Gerenciamento de Chave Privada
O New Bitcoin City, semelhante ao Friend.tech, gera uma carteira EOA após os usuários autorizarem o aplicativo pela primeira vez usando o Twitter. No entanto, a geração da carteira é feita no backend do New Bitcoin City, e o processo de geração e armazenamento da chave privada permanece desconhecido.
Resumir
Os produtos concorrentes da Friend.tech aprimoraram e inovaram em relação à Friend.tech. Embora o modelo de precificação principal permaneça praticamente inalterado, melhorias foram feitas na interação com o usuário. No entanto, essas melhorias não abordam adequadamente o armazenamento das chaves privadas da carteira do usuário. O risco de centralização do contrato é significativo, portanto, os usuários devem realizar uma pesquisa completa do projeto antes de interagir com a plataforma.
A Beosin, empresa líder global em segurança de blockchain, possui escritórios em mais de 10 países e regiões. Nossos serviços abrangem auditorias de segurança de código pré-lançamento, monitoramento de riscos de segurança em tempo de execução, alerta antecipado e bloqueio, recuperação de criptomoedas roubadas e conformidade com KYT/AML, oferecendo um conjunto abrangente de produtos e serviços de segurança de blockchain. Atualmente, fornecemos serviços técnicos de segurança para mais de 3.000 empresas de blockchain em todo o mundo e já auditamos mais de 3.000 contratos inteligentes. Deixe uma mensagem em nossa conta oficial para entrarmos em contato.