从安全视角分析SocialFi赛道新项目TOMO和New Bitcoin City

来源：Beosin

Friend.tech 的持续爆火让市场再一次留意到了 SocialFi 赛道。现在，各条链的Friend.tech 竞品层出不穷，Linea 链的 TOMO 和 NOS 链的 New Bitcoin City 凭借自身立异，在短时间内其TVL均打破1百万美元，成为 SocialFi 赛道新秀。

在此类 SocialFi 项目如火如荼地开展时，相关的安全危险受到了社区的广泛重视。8月底 Friend.tech 因API访问设计导致了隐私走漏；10月7日，Avalanche 链上的 Stars Arena 存在重入缝隙，黑客在其合约中重入调用0x5632b2e4函数，导致 sellShares 函数终究计算的结果反常大，协议损践约290万美元。

此前，Beosin 对 Friend.tech 的设计机制和潜在安全危险进行了具体地剖析。今天 Beosin 安全团队为咱们剖析新秀项目 TOMO 和 New Bitcoin City，协助咱们了解其中的潜在危险。

TOMO 介绍

TOMO是Linea二层网络的Friend.tech竞品，在Friend.tech的基础上推出了“Vote”机制。Vote是推特用户在 TOMO 注册前的凭据，其他用户能够直接买卖未注册用户的Vote。在用户注册后，对应的 Vote 会转为Key。

Vote的引入必定程度上避免了抢跑机器人的泛滥，无需监听推特用户进驻并滥发买卖。一起买卖Vote中5%的收益会分配给Vote对应的推特用户，该用户只要注册 TOMO 便可领取该收益。这为推特用户进驻 TOMO 供给了经济鼓励。

TOMO 危险剖析

Beosin此前完结了对Linea公链上最大的衍生品买卖所Tifo.trade的审计。本次咱们经过 Beosin VaaS 东西扫描 TOMO 事务合约，结合 Beosin 安全审计专家的剖析，发现 TOMO 存在以下危险：

1.  事务危险

TOMO 的事务合约现已开源，检查其合约代码能够发现其基础的定价模型与 Friend.tech 相似。若S为当前持有量，TOMO 的 Key 价格模型为S^2/43370，而Friend.tech 的价格模型为 S^2/16000。这让 TOMO 的 Key 价格上涨得愈加缓慢，必定程度上吸引更多用户参与买卖。

但本质并没有改动，由于 Key 总量越大买价和卖价都越高，或许存在早期用户购入很多 Key，后期的用户购买的股权则或许产生亏本，参与出资需留意危险。

TOMO 的定价模型

Friend.tech 的定价模型

2.  中心化危险

与 Friend.tech 危险相似，TOMO 的中心化危险不行忽视。合约的 owner 能够无限制的调整手续费率，然后收取高昂的手续费，甚至能够设置100%的手续费让用户收不到卖出的钱，也能够设置超越100%的手续费率来暂停买入卖出功用。

source: https://lineascan.build/address/0x9e813d7661d7b56cbcd3f73e958039b208925ef8

3.  私钥危险（ERC-4337钱包）

依据 TOMO 展现的资料，TOMO 对于用户注册后生成的钱包为ERC-4337钱包（账户笼统钱包）。社区对于此类钱包的资产安全性提出了质疑。

首要 Friend.tech 及大部分竞品如 Stars Arena 均运用 EOA 钱包，即一般的外部具有钱包。EOA 钱包需要对发起的每笔买卖都用私钥进行签名，交互使用时相对费事。一起用户难以安全地保存私钥，此前Deribit热钱包被盗2800万美元，Beosin对怎么保证钱包安全进行了具体地共享。

为处理以上种种问题，ERC-4337提案经过引入称为“UserOperation”的买卖目标来完结账户笼统，用户能够运用一起具备智能合约和 EOA 功用的单一钱包账户（账户笼统钱包）。不同的用户将 UserOperation 目标发送到 UserOperation 内存池中。由 Bundler 打包买卖并提交到以太坊内存池。被打包的买卖会经由 Entry Point 合约进行验证，然后调用特定的 Wallet 合约履行具体操作，随后上链。流程如下图所示：

source: https://eips.ethereum.org/EIPS/eip-4337

经过ERC-4337的作业流程，咱们能够知道账户笼统钱包有以下潜在的危险点：

（1）合约危险

Entry Point 合约和 Wallet 合约需要由项目方自行完结，现在 TOMO 并未开源相关合约。Entry Point 合约负责验证 Bundler 提交的买卖的合法性，并依据买卖调用特定的 Wallet 合约。假如 Entry Point 合约和 Wallet 合约存在事务逻辑缝隙，则黑客能够经过构造特定的买卖进行攻击。

（2）私钥相关危险

在ERC-4337方案下，假如用户忘记私钥，或许有其它处理方案恢复钱包（依据项目方的方案设计）。但私钥被盗/走漏给别人同样有或许造成用户的资产损失。10月18日，TOMO 开放了导出钱包私钥的功用，用户需导出私钥并防止私钥被盗取。

New Bitcoin City介绍

New Bitcoin City（或称Alpha）是根据比特币二层网络 NOS 的相似于 Friend.tech 的社交使用，支撑网页端和移动端。用户能够在 New Bitcoin City 中买卖 New Bitcoin City 和 Friend.tech 的 Key。此前，New Bitcoin City 团队还推出过 GameFi 项目 Mega Whales 和 DeFi 项目 New Bitcoin DEX。

link: https://pro.newbitcoincity.com/

New Bitcoin City危险剖析

1.  事务危险

New Bitcoin City 也同样采用了与 Friend.tech 相似的定价模型，代码中的 PRICE_KEYS_DENOMINATOR为264000，NUMBER_UNIT_PER_ONE_ETHER为10。比较TOMO，价格增加得愈加缓慢。

source: https://explorer.l2.trustless.computer/address/0x9b5A4a3cF82F6860fB26c2626b0278071e7997a9/contracts#address-tabs

2.  网络危险

除了和 TOMO 部分存在一样的中心化危险外，依据 New Bitcoin City 团队描述，NOS 运用 Trustless Computer Layer2 技能以运行其合约。而Trustless Computer 也是由 New Bitcoin City 团队开发的，在履行层根据 OP Stack 开发兼容以太坊，在比特币网络完结数据验证。

source: https://docs.trustless.computer/blockchain-architecture/rollups-on-bitcoin

现在该网络上只要 New Bitcoin City 的社交使用活跃，网络的稳定性和安全性未经过查验。

3.  私钥办理

New Bitcoin City 与 Friend.tech 相似，用户在第一次用推特授权给使用后生成一个EOA钱包。但生成钱包是在 New Bitcoin City 后台完结的，其私钥生成和保管流程依然是不知道的。

总结

Friend.tech 竞品在 Friend.tech 的基础上进行了改良和立异。核心的定价模型根本不变，在用户交互方面进行了改善，但未能很好地处理用户钱包私钥的存储问题。合约的中心化危险明显，用户在交互时需做好项目调研。

此时快讯

【世界经济论坛NFT报告：NFT有潜力创造新颖的方式并与消费者建立联系】10月20日消息，世界经济论坛发布《NFT 演变》报告，报告分析了 NFT 格局的复杂性，并强调了未来的主要机遇和挑战。研究表明，NFT 可以提供重大的价值创造，有潜力创造新颖和创新的方式来与消费者建立联系，并培养更有意义的客户关系。但 NFT 领域最近的波动凸显了由炒作和不可持续价值驱动的市场所带来的风险。计划发布 NFT 的组织应该将其整合到现有运营中，并确保在发布之前制定全面的战略。
此外，政府和监管机构在制定保护投资者和建立对 NFT 市场信心的政策和标准方面也发挥着重要作用。