作者:IOSGVentures
在让数字艺术家赚的盆满钵满的NFT热潮之后,下一步是什么?我们认为是社交网络的代币化,这包括了音频、视频、信息流,个人媒体、出版物等。过去市场对数字艺术家服务不足,而NFT已经有力地证明区块链上的数字jpegs,由于其固有的账本属性提供了一种更容易的盈利形式。
关于去中心化社交网络的理论和讨论已经存在许久。在特朗普担任美国总统期间,推特(Twitter)封禁了他的账号,这使得西方世界对去中心化和抵制审查的社交网络的需求变得非常显性。为了创造像Facebook在2004年那样的网络效应,Web3原生社交网络平台如BitClout、CyberConnect和MonacoPlanet等,已经从投资者那里筹集了数百万美元。
让我们来看看这些项目正在建立什么,以及它们实现网络效应的方法。
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
CyberConnect
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
CyberConnect专注于为dApps、用户身份和用户关系,提供一个标准数据层。这是通过API调用完成的:使用GraphQL读取路径,使用JavaScript写入路径,用户能够通过在Metamask上签名得以访问与使用他们的DIDs和社交图谱。所有的DID’s的关系数据和dApp的使用数据将会通过CeramicNetwork存储在IPFS上。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
由于您可以在您的dApp/社交应用中普遍地存储和检索数据,与CyberConnect集成的dApp本质上就像Web3世界中的一个单击OAuth过程。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
那么,他们的目标人群是谁呢?这是一个基础设施应用,因此它们的目标客户是dApp开发人员,而用户是dApp/钱包用户。
Force DAO 代币增发漏洞简析:据慢雾区消息,DeFi 量化对冲基金 Force DAO 项目的 FORCE 代币被大量增发。经慢雾安全团队分析发现: 在用户进行 deposit 操纵时,Force DAO 会为用户铸造 xFORCE 代币,并通过 FORCE 代币合约的 transferFrom 函数将 FORCE 代币转入 ForceProfitSharing 合约中。但 FORCE 代币合约的 transferFrom 函数使用了 if-else 逻辑来检查用户的授权额度,当用户的授权额度不足时 transferFrom 函数返回 false,而 ForceProfitSharing 合约并未对其返回值进行检查。导致了 deposit 的逻辑正常执行,xFORCE 代币被顺利铸造给用户,但由于 transferFrom 函数执行失败 FORCE 代币并未被真正充值进 ForceProfitSharing 合约中。最终造成 FORCE 代币被非预期的大量铸造的问题。 此漏洞发生的主要原因在于 FORCE 代币的 transferFrom 函数使用了`假充值`写法,但外部合约在对其进行调用时并未严格的判断其返回值,最终导致这一惨剧的发生。慢雾安全团队建议在对接此类写法的代币时使用 require 对其返回值进行检查,以避免此问题的发生。[2021/4/4 19:45:30]
MonacoPlanet
Web3叙事&游戏化
Monaco对于社交网络的尝试非常有趣。他们以游戏化的Web3方式,通过自己的NFT系列和社交平台,创造了一个以2150年为背景的未来世界。该平台目前正在进行私人测试,仅可供YachtClubNFT的持有者(NFT空投)和推荐用户使用。其他人可以将作为访客访问平台,但不能参与其中。
他们是如何着手构建社交媒体的呢?该团队最初的方法是通过他们的YachtClubNFT空投来吸引加密普通用户。Monaca仿照Clubhouse的规则,限制每个人只能拥有5个推荐名额——这使得平台访问权成为身份的象征,他们的YachtClubNFT也成为了一种商品。
叙事和代币经济
这一社交媒体平台拥有“写赚”或“内容挖矿”的代币经济学,目的是让这正好的内容被发现,而不是通过付费推广或算法偏见。活跃的内容创作者将每月收到MONAtoken,分发持续两年。
传统上,广告收入是社交媒体平台的主要盈利模式,由于向目标受众分发广告的需求旺盛,这一模式往往效果很好。这种模式在Web3中很难复制,因为它侵犯了大量隐私,但这并不意味着Web3的原生平台就放弃了他们所有的广告收入。在Monaco,一旦该平台的使用率达到阈值,广告商就可以购买和燃烧MONA代币,以推广帖子、广播和插入流媒体广告。这个收入渠道每年为Twitter带来40亿美元,为Facebook带来1000亿美元。此外,MONA还将引入近期被推特引入的引爆机制。
平台
该平台的个人界面和发现页看起来与现有的社交媒体平台类似,尤其是Twitter。Web3.0的原生特征主要有以下几点:
一键登录使用您的数字加密钱包,如Metamask,而不是用电子邮件注册。(想象CyberConnect基础设施被用来在多个社交平台上实现这种身份验证)
简介界面里嵌入了NFT版块,用户和创作者可以展示他们的NFT投资组合
右边面板中的NFTnetworth和Influence排行榜,展示了最具影响力的投资者。
该平台尚不向公众开放,因此有许多细节仍不清晰:例如排行榜是如何被索引的,如何在个人简介中添加多个钱包地址,私人和公共论坛等。该项目在12月31日后向公众开放,届时这些问题可能都会得到解答。
BitClout
Bitclout是此类别在社交网络领域的第一个实验。他们的平台类似于Twitter或Monaco,但每个用户档案都有一个与之相关的,可以在市场上进行交易的个人代币。与此同时,每个个人代币都有一个联合曲线,以此来激励受欢迎的用户们。
GTM和新用户加入
Bitclout平台代币的获取有两种策略:一是用户可以花一定数额的比特币购买,二是平台会预置一些顶级twitter用户们的用户资料以便本人领回。然而这两种GTM策略都给公众带来了危险信号,因为人们认为以比特币作为支付方式来访问他们的个人代币似乎是一个“局”,并且预先植入公众人物资料是对隐私的一种侵犯。
从那时起,他们略微调整了策略。现在,用户必须购买价值0.10美元的DESO才能创建他们的个人资料。用户可以购买$DESO以换取比特币或通过法定支付渠道。或者,如果用户验证他/她的电话号码和/或电子邮件,该用户最多可以获得价值4美元的DESO代币用于社交活动。
平台?
BitClout有自己的格式——“探索/发现”部分看起来类似于现有的社交平台。用户可以在探索页面上看到其他用户的代币价格。在某个帖子上,其他用户可以看到每个帖子以”钻石“的形式共收到了多少打赏。与其他社交网络平台类似,Bitclout也将有一个NFT展示/画廊,但此功能尚未上线。
BitClout有一个有趣的功能,通常是在交易平台中发现的,那就是金融趋势图。它展示了"每日最高收益者"、"每日最高钻石创造者"和"最高社区项目",并由其分析工具:desopulse提供支持。
通证经济
DeSo/BitClout似乎有一个复杂的通证经济。DESO代币在建立新档案等活动中产生价值,但这种收益流有一个边界条件:DESO代币的价值来自于运行节点,这意味着运营商可以对创作者的硬币、推广内容等征收交易费用。
社交代币集成社交平台的用例
这些社交平台一个很好的用例是,采用社交代币优先的方法,可以为新的加密货币项目引导其早期社区,他们可以用他们的社会/社区代币空投早期投资者。鉴于这些代币与治理型代币一起具有基于共识价值,这也可能是未来DAO和社区建立的有趣方式。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。