Friend.tech 的持續爆火讓市場再一次注意到了 SocialFi 賽道。目前,各條鏈的Friend.tech 競品層出不窮,Linea 鏈的 TOMO 和 NOS 鏈的 New Bitcoin City 憑藉自身創新,在短時間內其TVL均突破1百萬美元,成爲 SocialFi 賽道新秀。
在此類 SocialFi 項目如火如荼地發展時,相關的安全風險受到了社區的廣泛關注。8月底 Friend.tech 因API訪問設計導致了隱私泄漏;10月7日,Avalanche 鏈上的 Stars Arena 存在重入漏洞,黑客在其合約中重入調用0x5632b2e4函數,導致 sellShares 函數最終計算的結果異常大,協議損失約290萬美元。
此前,Beosin 對 Friend.tech 的設計機制和潛在安全風險進行了詳細地分析。今天 Beosin 安全團隊爲大家分析新秀項目 TOMO 和 New Bitcoin City,幫助大家瞭解其中的潛在風險。
TOMO 介紹
TOMO是Linea二層網絡的Friend.tech競品,在Friend.tech的基礎上推出了“Vote”機制。Vote是推特用戶在 TOMO 註冊前的憑證,其他用戶可以直接交易未註冊用戶的Vote。在用戶註冊後,對應的 Vote 會轉爲Key。
Vote的引入一定程度上避免了搶跑機器人的泛濫,無需監聽推特用戶進駐並濫發交易。同時交易Vote中5%的收益會分配給Vote對應的推特用戶,該用戶只要註冊 TOMO 便可領取該收益。這爲推特用戶進駐 TOMO 提供了經濟激勵。
TOMO 風險分析
Beosin此前完成了對Linea公鏈上最大的衍生品交易所Tifo.trade的審計。本次我們通過 Beosin VaaS 工具掃描 TOMO 業務合約,結合 Beosin 安全審計專家的分析,發現 TOMO 存在以下風險:
1. 業務風險
TOMO 的業務合約已經開源,查看其合約代碼可以發現其基礎的定價模型與 Friend.tech 類似。若S爲當前持有量,TOMO 的 Key 價格模型爲S^2/43370,而Friend.tech 的價格模型爲 S^2/16000。這讓 TOMO 的 Key 價格上漲得更加緩慢,一定程度上吸引更多用戶參與交易。
但實質並沒有改變,由於 Key 總量越大買價和賣價都越高,可能存在早期用戶購入大量 Key,後期的用戶購買的股權則可能產生虧損,參與投資需注意風險。
Friend.tech 的定價模型 2. 中心化風險
與 Friend.tech 風險類似,TOMO 的中心化風險不可忽視。合約的 owner 可以無限制的調整手續費率,從而收取高昂的手續費,甚至可以設置100%的手續費讓用戶收不到賣出的錢,也可以設置超過100%的手續費率來暫停買入賣出功能。
source: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8 3. 私鑰風險(ERC-4337錢包)
根據 TOMO 展示的資料,TOMO 對於用戶註冊後生成的錢包爲ERC-4337錢包(賬戶抽象錢包)。社區對於此類錢包的資產安全性提出了質疑。
首先 Friend.tech 及大部分競品如 Stars Arena 均使用 EOA 錢包,即普通的外部擁有錢包。EOA 錢包需要對發起的每筆交易都用私鑰進行簽名,交互應用時相對麻煩。同時用戶難以安全地保存私鑰,此前Deribit熱錢包被盜2800萬美元,Beosin對如何保障錢包安全進行了詳細地分享。
爲解決以上種種問題,ERC-4337提案通過引入稱爲“UserOperation”的交易對象來實現賬戶抽象,用戶可以使用同時具備智能合約和 EOA 功能的單一錢包賬戶(賬戶抽象錢包)。不同的用戶將 UserOperation 對象發送到 UserOperation 內存池中。由 Bundler 打包交易並提交到以太坊內存池。被打包的交易會經由 Entry Point 合約進行驗證,然後調用特定的 Wallet 合約執行具體操作,隨後上鍊。流程如下圖所示:
source: https://eips.ethereum.org/EIPS/eip-4337
通過ERC-4337的工作流程,我們可以知道賬戶抽象錢包有以下潛在的風險點:
(1)合約風險
Entry Point 合約和 Wallet 合約需要由項目方自行實現,目前 TOMO 並未開源相關合約。Entry Point 合約負責驗證 Bundler 提交的交易的合法性,並根據交易調用特定的 Wallet 合約。如果 Entry Point 合約和 Wallet 合約存在業務邏輯漏洞,則黑客可以通過構造特定的交易進行攻擊。
(2)私鑰相關風險
在ERC-4337方案下,如果用戶遺忘私鑰,可能有其它解決方案恢復錢包(根據項目方的方案設計)。但私鑰被盜/泄漏給他人同樣有可能造成用戶的資產損失。10月18日,TOMO 開放了導出錢包私鑰的功能,用戶需導出私鑰並防止私鑰被盜取。
New Bitcoin City介紹
New Bitcoin City(或稱Alpha)是基於比特幣二層網絡 NOS 的類似於 Friend.tech 的社交應用,支持網頁端和移動端。用戶可以在 New Bitcoin City 中交易 New Bitcoin City 和 Friend.tech 的 Key。此前,New Bitcoin City 團隊還推出過 GameFi 項目 Mega Whales 和 DeFi 項目 New Bitcoin DEX。
link: https://pro.newbitcoincity.com/ New Bitcoin City風險分析
1. 業務風險
New Bitcoin City 也同樣採用了與 Friend.tech 類似的定價模型,代碼中的 PRICE_KEYS_DENOMINATOR爲264000,NUMBER_UNIT_PER_ONE_ETHER爲10。相比TOMO,價格增加得更加緩慢。
source: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs 2. 網絡風險
除了和 TOMO 部分存在一樣的中心化風險外,根據 New Bitcoin City 團隊描述,NOS 使用 Trustless Computer Layer2 技術以運行其合約。而Trustless Computer 也是由 New Bitcoin City 團隊開發的,在執行層基於 OP Stack 開發兼容以太坊,在比特幣網絡完成數據驗證。
source: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin
目前該網絡上只有 New Bitcoin City 的社交應用活躍,網絡的穩定性和安全性未經過檢驗。
3. 私鑰管理
New Bitcoin City 與 Friend.tech 類似,用戶在第一次用推特授權給應用後生成一個EOA錢包。但生成錢包是在 New Bitcoin City 後臺完成的,其私鑰生成和保管流程依然是未知的。
總結
Friend.tech 競品在 Friend.tech 的基礎上進行了改良和創新。核心的定價模型基本不變,在用戶交互方面進行了改進,但未能很好地解決用戶錢包私鑰的存儲問題。合約的中心化風險明顯,用戶在交互時需做好項目調研。
Beosin作爲一家全球領先的區塊鏈安全公司,在全球10多個國家和地區設立了分部,業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規KYT/AML等“一站式”區塊鏈安全產品+服務,目前已爲全球3000多個區塊鏈企業提供安全技術服務,審計智能合約超過3000份。歡迎點擊公衆號留言框,與我們聯繫。
