分析SocialFi賽道新項目TOMO和New Bitcoin City

2023-10-21 00:10:18

Friend.tech 的持續爆火讓市場再一次注意到了 SocialFi 賽道。目前，各條鏈的Friend.tech 競品層出不窮，Linea 鏈的 TOMO 和 NOS 鏈的 New Bitcoin City 憑借自身創新，在短時間內其TVL均突破1百萬美元，成為 SocialFi 賽道新秀。

在此類 SocialFi 項目如火如荼地發展時，相關的安全風險受到了社區的廣泛關注。8月底 Friend.tech 因API訪問設計導致了隱私泄露；10月7日，Avalanche 鏈上的 Stars Arena 存在重入漏洞，黑客在其合約中重入調用0x5632b2e4函數，導致 sellShares 函數最終計算的結果異常大，協議損失約290萬美元。

此前，Beosin 對 Friend.tech 的設計機制和潛在安全風險進行了詳細地分析。今天 Beosin 安全團隊為大家分析新秀項目 TOMO 和 New Bitcoin City，幫助大家了解其中的潛在風險。

TOMO 介紹

TOMO是Linea二層網絡的Friend.tech競品，在Friend.tech的基礎上推出了“Vote”機制。Vote是推特用戶在 TOMO 注冊前的憑證，其他用戶可以直接交易未注冊用戶的Vote。在用戶注冊後，對應的 Vote 會轉為Key。

Vote的引入一定程度上避免了搶跑機器人的泛濫，無需監聽推特用戶進駐並濫發交易。同時交易Vote中5%的收益會分配給Vote對應的推特用戶，該用戶只要注冊 TOMO 便可領取該收益。這為推特用戶進駐 TOMO 提供了經濟激勵。

TOMO 風險分析

Beosin此前完成了對Linea公鏈上最大的衍生品交易所Tifo.trade的審計。本次我們通過 Beosin VaaS 工具掃描 TOMO 業務合約，結合 Beosin 安全審計專家的分析，發現 TOMO 存在以下風險：

1. 業務風險

TOMO 的業務合約已經开源，查看其合約代碼可以發現其基礎的定價模型與 Friend.tech 類似。若S為當前持有量，TOMO 的 Key 價格模型為S^2/43370，而Friend.tech 的價格模型為 S^2/16000。這讓 TOMO 的 Key 價格上漲得更加緩慢，一定程度上吸引更多用戶參與交易。

但實質並沒有改變，由於 Key 總量越大买價和賣價都越高，可能存在早期用戶購入大量 Key，後期的用戶購买的股權則可能產生虧損，參與投資需注意風險。

TOMO 的定價模型

Friend.tech 的定價模型

2. 中心化風險

與 Friend.tech 風險類似，TOMO 的中心化風險不可忽視。合約的 owner 可以無限制的調整手續費率，從而收取高昂的手續費，甚至可以設置100%的手續費讓用戶收不到賣出的錢，也可以設置超過100%的手續費率來暫停买入賣出功能。

3. 私鑰風險（ERC-4337錢包）

根據 TOMO 展示的資料，TOMO 對於用戶注冊後生成的錢包為ERC-4337錢包（账戶抽象錢包）。社區對於此類錢包的資產安全性提出了質疑。

首先 Friend.tech 及大部分競品如 Stars Arena 均使用 EOA 錢包，即普通的外部擁有錢包。EOA 錢包需要對發起的每筆交易都用私鑰進行籤名，交互應用時相對麻煩。同時用戶難以安全地保存私鑰，此前Deribit熱錢包被盜2800萬美元，Beosin對如何保障錢包安全進行了詳細地分享。

為解決以上種種問題，ERC-4337提案通過引入稱為“UserOperation”的交易對象來實現账戶抽象，用戶可以使用同時具備智能合約和 EOA 功能的單一錢包账戶（账戶抽象錢包）。不同的用戶將 UserOperation 對象發送到 UserOperation 內存池中。由 Bundler 打包交易並提交到以太坊內存池。被打包的交易會經由 Entry Point 合約進行驗證，然後調用特定的 Wallet 合約執行具體操作，隨後上鏈。流程如下圖所示：

通過ERC-4337的工作流程，我們可以知道账戶抽象錢包有以下潛在的風險點：

（1）合約風險

Entry Point 合約和 Wallet 合約需要由項目方自行實現，目前 TOMO 並未开源相關合約。Entry Point 合約負責驗證 Bundler 提交的交易的合法性，並根據交易調用特定的 Wallet 合約。如果 Entry Point 合約和 Wallet 合約存在業務邏輯漏洞，則黑客可以通過構造特定的交易進行攻擊。

（2）私鑰相關風險

在ERC-4337方案下，如果用戶遺忘私鑰，可能有其它解決方案恢復錢包（根據項目方的方案設計）。但私鑰被盜/泄漏給他人同樣有可能造成用戶的資產損失。10月18日，TOMO 开放了導出錢包私鑰的功能，用戶需導出私鑰並防止私鑰被盜取。

New Bitcoin City介紹

New Bitcoin City（或稱Alpha）是基於比特幣二層網絡 NOS 的類似於 Friend.tech 的社交應用，支持網頁端和移動端。用戶可以在 New Bitcoin City 中交易 New Bitcoin City 和 Friend.tech 的 Key。此前，New Bitcoin City 團隊還推出過 GameFi 項目 Mega Whales 和 DeFi 項目 New Bitcoin DEX。

New Bitcoin City風險分析

1. 業務風險

New Bitcoin City 也同樣採用了與 Friend.tech 類似的定價模型，代碼中的 PRICE_KEYS_DENOMINATOR為264000，NUMBER_UNIT_PER_ONE_ETHER為10。相比TOMO，價格增加得更加緩慢。

2. 網絡風險

除了和 TOMO 部分存在一樣的中心化風險外，根據 New Bitcoin City 團隊描述，NOS 使用 Trustless Computer Layer2 技術以運行其合約。而Trustless Computer 也是由 New Bitcoin City 團隊开發的，在執行層基於 OP Stack 开發兼容以太坊，在比特幣網絡完成數據驗證。

目前該網絡上只有 New Bitcoin City 的社交應用活躍，網絡的穩定性和安全性未經過檢驗。

3. 私鑰管理

New Bitcoin City 與 Friend.tech 類似，用戶在第一次用推特授權給應用後生成一個EOA錢包。但生成錢包是在 New Bitcoin City 後臺完成的，其私鑰生成和保管流程依然是未知的。

總結

Friend.tech 競品在 Friend.tech 的基礎上進行了改良和創新。核心的定價模型基本不變，在用戶交互方面進行了改進，但未能很好地解決用戶錢包私鑰的存儲問題。合約的中心化風險明顯，用戶在交互時需做好項目調研。

Beosin作為一家全球領先的區塊鏈安全公司，在全球10多個國家和地區設立了分部，業務涵蓋項目上线前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規KYT/AML等“一站式”區塊鏈安全產品+服務，目前已為全球3000多個區塊鏈企業提供安全技術服務，審計智能合約超過3000份。