分析SocialFi賽道新項目TOMO和New Bitcoin City

2023-10-21 00:10:18

Friend.tech 的持續爆火讓市場再一次注意到了 SocialFi 賽道。目前,各條鏈的Friend.tech 競品層出不窮,Linea 鏈的 TOMO 和 NOS 鏈的 New Bitcoin City 憑借自身創新,在短時間內其TVL均突破1百萬美元,成為 SocialFi 賽道新秀。

在此類 SocialFi 項目如火如荼地發展時,相關的安全風險受到了社區的廣泛關注。8月底 Friend.tech 因API訪問設計導致了隱私泄露;10月7日,Avalanche 鏈上的 Stars Arena 存在重入漏洞,黑客在其合約中重入調用0x5632b2e4函數,導致 sellShares 函數最終計算的結果異常大,協議損失約290萬美元。

此前,Beosin 對 Friend.tech 的設計機制和潛在安全風險進行了詳細地分析。今天 Beosin 安全團隊為大家分析新秀項目 TOMO 和 New Bitcoin City,幫助大家了解其中的潛在風險。

TOMO 介紹

TOMO是Linea二層網絡的Friend.tech競品,在Friend.tech的基礎上推出了“Vote”機制。Vote是推特用戶在 TOMO 注冊前的憑證,其他用戶可以直接交易未注冊用戶的Vote。在用戶注冊後,對應的 Vote 會轉為Key。

Vote的引入一定程度上避免了搶跑機器人的泛濫,無需監聽推特用戶進駐並濫發交易。同時交易Vote中5%的收益會分配給Vote對應的推特用戶,該用戶只要注冊 TOMO 便可領取該收益。這為推特用戶進駐 TOMO 提供了經濟激勵。

TOMO 風險分析

Beosin此前完成了對Linea公鏈上最大的衍生品交易所Tifo.trade的審計。本次我們通過 Beosin VaaS 工具掃描 TOMO 業務合約,結合 Beosin 安全審計專家的分析,發現 TOMO 存在以下風險:

1. 業務風險

TOMO 的業務合約已經开源,查看其合約代碼可以發現其基礎的定價模型與 Friend.tech 類似。若S為當前持有量,TOMO 的 Key 價格模型為S^2/43370,而Friend.tech 的價格模型為 S^2/16000。這讓 TOMO 的 Key 價格上漲得更加緩慢,一定程度上吸引更多用戶參與交易。

但實質並沒有改變,由於 Key 總量越大买價和賣價都越高,可能存在早期用戶購入大量 Key,後期的用戶購买的股權則可能產生虧損,參與投資需注意風險。

TOMO 的定價模型

Friend.tech 的定價模型

2. 中心化風險

與 Friend.tech 風險類似,TOMO 的中心化風險不可忽視。合約的 owner 可以無限制的調整手續費率,從而收取高昂的手續費,甚至可以設置100%的手續費讓用戶收不到賣出的錢,也可以設置超過100%的手續費率來暫停买入賣出功能。

3. 私鑰風險(ERC-4337錢包)

根據 TOMO 展示的資料,TOMO 對於用戶注冊後生成的錢包為ERC-4337錢包(账戶抽象錢包)。社區對於此類錢包的資產安全性提出了質疑。

首先 Friend.tech 及大部分競品如 Stars Arena 均使用 EOA 錢包,即普通的外部擁有錢包。EOA 錢包需要對發起的每筆交易都用私鑰進行籤名,交互應用時相對麻煩。同時用戶難以安全地保存私鑰,此前Deribit熱錢包被盜2800萬美元,Beosin對如何保障錢包安全進行了詳細地分享。

為解決以上種種問題,ERC-4337提案通過引入稱為“UserOperation”的交易對象來實現账戶抽象,用戶可以使用同時具備智能合約和 EOA 功能的單一錢包账戶(账戶抽象錢包)。不同的用戶將 UserOperation 對象發送到 UserOperation 內存池中。由 Bundler 打包交易並提交到以太坊內存池。被打包的交易會經由 Entry Point 合約進行驗證,然後調用特定的 Wallet 合約執行具體操作,隨後上鏈。流程如下圖所示:

通過ERC-4337的工作流程,我們可以知道账戶抽象錢包有以下潛在的風險點:

(1)合約風險

Entry Point 合約和 Wallet 合約需要由項目方自行實現,目前 TOMO 並未开源相關合約。Entry Point 合約負責驗證 Bundler 提交的交易的合法性,並根據交易調用特定的 Wallet 合約。如果 Entry Point 合約和 Wallet 合約存在業務邏輯漏洞,則黑客可以通過構造特定的交易進行攻擊。

(2)私鑰相關風險

在ERC-4337方案下,如果用戶遺忘私鑰,可能有其它解決方案恢復錢包(根據項目方的方案設計)。但私鑰被盜/泄漏給他人同樣有可能造成用戶的資產損失。10月18日,TOMO 开放了導出錢包私鑰的功能,用戶需導出私鑰並防止私鑰被盜取。

New Bitcoin City介紹

New Bitcoin City(或稱Alpha)是基於比特幣二層網絡 NOS 的類似於 Friend.tech 的社交應用,支持網頁端和移動端。用戶可以在 New Bitcoin City 中交易 New Bitcoin City 和 Friend.tech 的 Key。此前,New Bitcoin City 團隊還推出過 GameFi 項目 Mega Whales 和 DeFi 項目 New Bitcoin DEX。

New Bitcoin City風險分析

1. 業務風險

New Bitcoin City 也同樣採用了與 Friend.tech 類似的定價模型,代碼中的 PRICE_KEYS_DENOMINATOR為264000,NUMBER_UNIT_PER_ONE_ETHER為10。相比TOMO,價格增加得更加緩慢。

2. 網絡風險

除了和 TOMO 部分存在一樣的中心化風險外,根據 New Bitcoin City 團隊描述,NOS 使用 Trustless Computer Layer2 技術以運行其合約。而Trustless Computer 也是由 New Bitcoin City 團隊开發的,在執行層基於 OP Stack 开發兼容以太坊,在比特幣網絡完成數據驗證。

目前該網絡上只有 New Bitcoin City 的社交應用活躍,網絡的穩定性和安全性未經過檢驗。

3. 私鑰管理

New Bitcoin City 與 Friend.tech 類似,用戶在第一次用推特授權給應用後生成一個EOA錢包。但生成錢包是在 New Bitcoin City 後臺完成的,其私鑰生成和保管流程依然是未知的。

總結

Friend.tech 競品在 Friend.tech 的基礎上進行了改良和創新。核心的定價模型基本不變,在用戶交互方面進行了改進,但未能很好地解決用戶錢包私鑰的存儲問題。合約的中心化風險明顯,用戶在交互時需做好項目調研。

Beosin作為一家全球領先的區塊鏈安全公司,在全球10多個國家和地區設立了分部,業務涵蓋項目上线前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規KYT/AML等“一站式”區塊鏈安全產品+服務,目前已為全球3000多個區塊鏈企業提供安全技術服務,審計智能合約超過3000份。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Layer2 格局劇變:Base 生態有哪些關鍵亮點?

在激烈競爭的 L2 賽道中,原本穩坐釣魚臺的 Arbitrum 和 Optimism 似乎面臨着前...

加密泡泡啊
135 4個月前

XRP 漲至 7.5 美元?分析師告訴 XRP 大軍為純粹的煙火做好准備!

加密貨幣分析師 EGRAG 表示,XRP 即將迎來關鍵時刻,價格可能大幅上漲,這取決於能否突破關鍵...

加密泡泡啊
142 4個月前

以太坊ETF通過後 將推動山寨幣和整個加密生態大爆發

比特幣ETF通過後市場動蕩,以太坊ETF交易前景分析 比特幣ETF通過後,市場出現了先跌後漲的走勢...

加密泡泡啊
164 4個月前

ZRO為啥這么能漲?

ZRO概述 ZRO代幣,全稱為LayerZero,是LayerZero協議的本地代幣,旨在作為治理...

加密泡泡啊
122 4個月前

今晚ETH迎來暴漲時代 op、arb、metis等以太坊二層項目能否跑出百倍幣?

北京時間7月23日晚上美股开盤後 ETH 的ETF开始交易。ETH的裏程碑啊,新的時代开啓。突破前...

BNBCCC
142 4個月前

Mt Gox 轉移 28 億美元比特幣 加密貨幣下跌 ETH ETF 提前發行

2014 年倒閉的臭名昭著的比特幣交易所 Mt Gox 已向債權人轉移了大量比特幣 (BTC),作...

加密圈探長
129 4個月前