第三财经网
首页 > 区块链 > 文章正文

从安全视角分析SocialFi赛道新项目TOMO和New Bitcoin City

第三财经网 2024-11-17 04:21 0

Friend.tech的持续爆火让市场再一次注意到了SocialFi赛道。目前,各条链的Friend.tech竞品层出不穷,Linea链的TOMO和NOS链的NewBitcoinCity凭借自身创新,在短时间内其TVL均突破1百万美元,成为SocialFi赛道新秀。

在此类SocialFi项目如火如荼地发展时,相关的安全风险受到了社区的广泛关注。8月底Friend.tech因API访问设计导致了隐私泄漏;10月7日,Avalanche链上的StarsArena存在重入漏洞,黑客在其合约中重入调用0x5632b2e4函数,导致sellShares函数最终计算的结果异常大,协议损失约290万美元。

此前,Beosin对Friend.tech的设计机制和潜在安全风险进行了详细地分析。今天Beosin安全团队为大家分析新秀项目TOMO和NewBitcoinCity,帮助大家了解其中的潜在风险。

TOMO介绍

TOMO是Linea二层网络的Friend.tech竞品,在Friend.tech的基础上推出了“Vote”机制。Vote是推特用户在TOMO注册前的凭证,其他用户可以直接交易未注册用户的Vote。在用户注册后,对应的Vote会转为Key。

Vote的引入一定程度上避免了抢跑机器人的泛滥,无需监听推特用户进驻并滥发交易。同时交易Vote中5%的收益会分配给Vote对应的推特用户,该用户只要注册TOMO便可领取该收益。这为推特用户进驻TOMO提供了经济激励。

TOMO风险分析

Beosin此前完成了对Linea公链上最大的衍生品交易所Tifo.trade的审计。本次我们通过BeosinVaaS工具扫描TOMO业务合约,结合Beosin安全审计专家的分析,发现TOMO存在以下风险:

1.业务风险

TOMO的业务合约已经开源,查看其合约代码可以发现其基础的定价模型与Friend.tech类似。若S为当前持有量,TOMO的Key价格模型为S^2/43370,而Friend.tech的价格模型为S^2/16000。这让TOMO的Key价格上涨得更加缓慢,一定程度上吸引更多用户参与交易。

但实质并没有改变,由于Key总量越大买价和卖价都越高,可能存在早期用户购入大量Key,后期的用户购买的股权则可能产生亏损,参与投资需注意风险。

2.中心化风险

与Friend.tech风险类似,TOMO的中心化风险不可忽视。合约的owner可以无限制的调整手续费率,从而收取高昂的手续费,甚至可以设置100%的手续费让用户收不到卖出的钱,也可以设置超过100%的手续费率来暂停买入卖出功能。

3.私钥风险(ERC-4337钱包)

根据TOMO展示的资料,TOMO对于用户注册后生成的钱包为ERC-4337钱包(账户抽象钱包)。社区对于此类钱包的资产安全性提出了质疑。

首先Friend.tech及大部分竞品如StarsArena均使用EOA钱包,即普通的外部拥有钱包。EOA钱包需要对发起的每笔交易都用私钥进行签名,交互应用时相对麻烦。同时用户难以安全地保存私钥,此前Deribit热钱包被盗2800万美元,Beosin对如何保障钱包安全进行了详细地分享。

为解决以上种种问题,ERC-4337提案通过引入称为“UserOperation”的交易对象来实现账户抽象,用户可以使用同时具备智能合约和EOA功能的单一钱包账户(账户抽象钱包)。不同的用户将UserOperation对象发送到UserOperation内存池中。由Bundler打包交易并提交到以太坊内存池。被打包的交易会经由EntryPoint合约进行验证,然后调用特定的Wallet合约执行具体操作,随后上链。流程如下图所示:

通过ERC-4337的工作流程,我们可以知道账户抽象钱包有以下潜在的风险点:

(1)合约风险

EntryPoint合约和Wallet合约需要由项目方自行实现,目前TOMO并未开源相关合约。EntryPoint合约负责验证Bundler提交的交易的合法性,并根据交易调用特定的Wallet合约。如果EntryPoint合约和Wallet合约存在业务逻辑漏洞,则黑客可以通过构造特定的交易进行攻击。

(2)私钥相关风险

在ERC-4337方案下,如果用户遗忘私钥,可能有其它解决方案恢复钱包(根据项目方的方案设计)。但私钥被盗/泄漏给他人同样有可能造成用户的资产损失。10月18日,TOMO开放了导出钱包私钥的功能,用户需导出私钥并防止私钥被盗取。

NewBitcoinCity介绍

NewBitcoinCity(或称Alpha)是基于比特币二层网络NOS的类似于Friend.tech的社交应用,支持网页端和移动端。用户可以在NewBitcoinCity中交易NewBitcoinCity和Friend.tech的Key。此前,NewBitcoinCity团队还推出过GameFi项目MegaWhales和DeFi项目NewBitcoinDEX。

1.业务风险

NewBitcoinCity也同样采用了与Friend.tech类似的定价模型,代码中的PRICE_KEYS_DENOMINATOR为264000,NUMBER_UNIT_PER_ONE_ETHER为10。相比TOMO,价格增加得更加缓慢。

2.网络风险

除了和TOMO部分存在一样的中心化风险外,根据NewBitcoinCity团队描述,NOS使用TrustlessComputerLayer2技术以运行其合约。而TrustlessComputer也是由NewBitcoinCity团队开发的,在执行层基于OPStack开发兼容以太坊,在比特币网络完成数据验证。

目前该网络上只有NewBitcoinCity的社交应用活跃,网络的稳定性和安全性未经过检验。

3.私钥管理

NewBitcoinCity与Friend.tech类似,用户在第一次用推特授权给应用后生成一个EOA钱包。但生成钱包是在NewBitcoinCity后台完成的,其私钥生成和保管流程依然是未知的。

总结

Friend.tech竞品在Friend.tech的基础上进行了改良和创新。核心的定价模型基本不变,在用户交互方面进行了改进,但未能很好地解决用户钱包私钥的存储问题。合约的中心化风险明显,用户在交互时需做好项目调研。