從安全視角分析SocialFi賽道TOMO和New Bitcoin City

來源：Beosin

Friend.tech 的持續爆火讓市場再一次注意到了SocialFi賽道。 目前，各條鏈的 Friend.tech 競品層出不窮，Linea 鏈的 TOMO 和 NOS 鏈的 New Bitcoin City 憑藉自身創新，在短時間內其TVL均突破1百萬美元，成為 SocialFi 賽道新秀。

在此類 SocialFi 專案如火如荼地發展時，相關的安全風險受到了社區的廣泛關注。 8月底 Friend.tech 因API訪問設計導致了隱私洩漏; 10月7日，Avalanche鏈上的 Stars Arena 存在重入漏洞，駭客在其合約中重入調用0x5632b2e4函數，導致 sellShares 函數最終計算的結果異常大，協定損失約290萬美元。

此前，Beosin 對 Friend.tech 的設計機制和潛在安全風險進行了詳細地分析。 今天 Beosin 安全團隊為大家分析新秀專案 TOMO 和 New Bitcoin City，説明大家瞭解其中的潛在風險。

TOMO 介紹

TOMO是Linea二層網路的 Friend.tech 競品，在 Friend.tech 的基礎上推出了“Vote”機制。 Vote是推特使用者在 TOMO 註冊前的憑證，其他使用者可以直接交易未註冊使用者的Vote。 在用戶註冊后，對應的 Vote 會轉為Key。

Vote的引入一定程度上避免了搶跑機器人的泛濫，無需監聽推特使用者進駐併濫發交易。 同時交易Vote中5%的收益會分配給Vote對應的推特使用者，該使用者只要註冊 TOMO 便可領取該收益。 這為推特用戶進駐 TOMO 提供了經濟激勵。

TOMO 風險分析

Beosin此前完成了對Linea公鏈上最大的衍生品交易所Tifo.trade的審計。 本次我們通過 Beosin VaaS 工具掃描 TOMO 業務合約，結合 Beosin 安全審計專家的分析，發現 TOMO 存在以下風險：

1 業務風險

TOMO 的業務合約已經開源，查看其合約代碼可以發現其基礎的定價模型與 Friend.tech 類似。 若S為當前持有量，TOMO 的 Key 價格模型為S^2/43370，而 Friend.tech 的價格模型為 S^2/16000。 這讓 TOMO 的 Key 價格上漲得更加緩慢，一定程度上吸引更多用戶參與交易。

但實質並沒有改變，由於 Key 總量越大買價和賣價都越高，可能存在早期使用者購入大量 Key，後期的使用者購買的股權則可能產生虧損，參與投資需注意風險。

TOMO 的定價模型

Friend.tech 的定價模型

2 中心化風險

與 Friend.tech 風險類似，TOMO 的中心化風險不可忽視。 合約的 owner 可以無限制的調整手續費率，從而收取高昂的手續費，甚至可以設置100%的手續費讓使用者收不到賣出的錢，也可以設置超過100%的手續費率來暫停買入賣出功能。

源：

3 私鑰風險（ERC-4337錢包）

根據 TOMO 展示的資料，TOMO 對於用戶註冊後生成的錢包為ERC-4337錢包（帳戶抽象錢包）。 社區對於此類錢包的資產安全性提出了質疑。

首先 Friend.tech 及大部分競品如 Stars Arena 均使用 EOA 錢包，即普通的外部擁有錢包。 EOA 錢包需要對發起的每筆交易都用私鑰進行簽名，交互應用時相對麻煩。 同時用戶難以安全地保存私鑰，此前Deribit熱錢包被盜2800萬美元，Beosin對如何保障錢包安全進行了詳細地分享。

為解決以上種種問題，ERC-4337提案通過引入稱為“UserOperation”的交易對象來實現帳戶抽象，使用者可以使用同時具備智能合約和 EOA 功能的單一錢包帳戶（帳戶抽象錢包）。 不同的使用者將UserOperation對象發送到UserOperation記憶體池中。 由 Bundler 打包交易並提交到乙太坊記憶體池。 被打包的交易會經由 Entry Point 合約進行驗證，然後調用特定的 Wallet 合約執行具體操作，隨後上鏈。 流程如下圖所示：

源：

通過ERC-4337的工作流程，我們可以知道帳戶抽象錢包有以下潛在的風險點：

（1）合約風險

Entry Point 合約和 Wallet 合約需要由專案方自行實現**，目前 TOMO 並未開源相關合約。 **Entry Point 合約負責驗證 Bundler 提交的交易的合法性，並根據交易調用特定的 Wallet 合約。 如果 Entry Point 合約和 Wallet 合約存在業務邏輯漏洞，則駭客可以通過構造特定的交易進行攻擊。

（2）私鑰相關風險

在ERC-4337方案下，如果使用者遺忘私鑰，可能有其它解決方案恢復錢包（根據專案方的方案設計）。 但私鑰被盜/洩漏給他人同樣有可能造成使用者的資產損失。 10月18日，TOMO開放了匯出錢包私鑰的功能，使用者需匯出私鑰並防止私鑰被盜取。

New Bitcoin City介紹

New Bitcoin City（或稱Alpha）是基於比特幣二層網路 NOS 的類似於 Friend.tech 的社交應用，支援網頁端和移動端。 用戶可以在 New Bitcoin City 中交易 New Bitcoin City 和 Friend.tech 的 Key。 此前，New Bitcoin City 團隊還推出過 GameFi 專案 Mega Whales 和 DeFi 專案 New Bitcoin DEX。

連結：

New Bitcoin City風險分析

1 業務風險

New Bitcoin City 也同樣採用了與 Friend.tech 類似的定價模型，代碼中的 PRICE_KEYS_DENOMINATOR為264000，NUMBER_UNIT_PER_ONE_ETHER為10。 相比TOMO，價格增加得更加緩慢。

源：

2 網路風險

除了和 TOMO 部分存在一樣的中心化風險外，根據 New Bitcoin City 團隊描述，NOS 使用 Trustless Computer Layer2 技術以運行其合約。 而Trustless Computer 也是由 New Bitcoin City 團隊開發的，在執行層基於 OP Stack 開發相容乙太坊，在比特幣網路完成數據驗證。

源：

目前該網路上只有 New Bitcoin City 的社交應用活躍，網路的穩定性和安全性未經過檢驗。

3 私鑰管理

New Bitcoin City 與 Friend.tech 類似，使用者在第一次用推特授權給應用後生成一個EOA錢包。 但生成錢包是在 New Bitcoin City 後台完成的，其私鑰生成和保管流程依然是未知的。

總結

Friend.tech 競品在 Friend.tech 的基礎上進行了改良和創新。 核心的定價模型基本不變，在使用者交互方面進行了改進，但未能很好地解決使用者錢包私鑰的存儲問題。 合約的中心化風險明顯，使用者在交互時需做好項目調研。