原文作者:刘全凯
原文编辑:ColinWu
9月8日,Binance宣布推出基于BNBChain上首个灵魂绑定通证:Binance账户绑定通证,作为Binance用户已完成KYC认证的身份证明。同日,BNBChain中的14个Web3项目将对Binance新发布的BABToken持有者用户进行激励,奖励包括:独家空投、申领NFT、VIP特权、每日奖励积分等。BNBChain还表示鼓励更多项目使用BABToken,未来将为用户提供更多收益。
SoulboundToken,类似于魔兽世界中的灵魂绑定物品,最早在今年1月份时由以太坊创始人VitalikButerin提出,简单理解是一种不可转移的ERC-20或ERC-721,是非金融化的,往往代表着一种身份或从属关系。类似地,BAB亦具有不可转让、可撤销以及唯一性的特点。不可转让,即用户不能将BABToken转移给其他用户;可撤销,即用户可以对其自己所拥有的BABToken进行解绑操作;唯一性,即通过认证的Binance用户ID,仅可在某一个地址某一条链上铸造一个BABToken。
Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]
好处
Beosin:2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道,2022 年全年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起,因各类攻击造成的总损失超 36 亿美元,较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起,1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]
对于普通用户而言,SBT不可转让的特性将更容易引发用户的责任感,因为SBT并不具备金融和财富的属性,它更多代表的是一种Web3链上行为凭证,并且可供验证。BABToken持有者用户,代表且证明着该用户已经成功通过了BinanceKYC流程,这有助于识别和消除机器人账户。在未来通过获得BAB的链上时间查询,还可以判断该用户是否为交易所的忠诚用户。另一方面,BAB将Binance账户和用户地址进行绑定,未来该链上地址的行为可能会成为Binance对于大客户、特权所有者的评判标准,以此来笼络更多的核心用户/大户;此外一定程度上也有利于对黑客/者的防范,如果绑定了BAB,相当于断绝了从链上地址到交易所归集资金的可能。
Beosin:Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道,Beosin 安全团队发现,在以太坊合并并分叉出 ETHW 后,Gnosis Omni Bridge跨链桥项目,由于合约代码中固定写死了chainID,而未真正验证当前所在链的chainID,导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH,随后将相同的交易内容在 ETHW 链上进行了重放,获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。
Beosin 安全团队建议如果项目方合约里面预设了chainID,请先手动将chainId更新,即使项目方决定不支持ETHW,但是由于无法彻底隔绝通过跨链桥之间的资产流动,建议都在ETHW链上更新。[2022/9/19 7:04:46]
对于协议项目方而言,可以出于不限于空投、奖励等的各种目的来使用和验证BAB持有者用户身份,dAPPs也可以通过利用BABToken作链上数据的分类,以识别出不同类型的用户以此来差异化地实现与用户的交互,这可能会为分配给用户的任务更加多元化以及建立起一个更具特色的社区尝试提供可能性。而不同的SBT也可代表不同社区的成员。除此之外,一些Web3身份凭证协议也许是嗅到了Binance有意打通内部账户体系与BNBChain链上地址间关系的契机,正在将自家生态与BAB进行融合,以实现对其用户的捕获,如Link3面向BABToken用户进行早期参与证明的抽奖。
实现治理权的灵魂绑定。如果治理机制发生混乱,那么治理权就很容易被转移。目前的治理权的实现主要应用在FT和NFT之上,它们皆可轻松地被转移。在《Soulbound》中,VitalikButerin认为目标无论是广泛分配治理权还是将治理权交给有能力的人,最终都很可能导致治理权的转移,因为前者集中的利益可能会使得一部人从另一部分人中购买治理权,而后者往往会发生治理权被有决心但无能者所收购。可转移性将可能使治理权力从可能提供整体价值的人身上转移至渴望权力且具备强大资本的人身上。在DeFi历史上,治理权战争并不陌生,比如最知名的CurveWar,各大协议为确保自己处于首选池的地位,而提供更高的CRV奖励作为贿赂而吸引投资者参与。未来BNBChain上的去中心化协议,也许会将项目的持币者与BABToken持有者相结合,根据持有时间等条件赋予更高的治理权限。
争议
单个地址不能代表用户,且面临更换地址、私钥丢失等风险。与可无限创建的地址不同,受限于KYC,大多数个体往往仅具备1个交易所账户。而BABToken以及目前相当多的SBT是封装在某个链上地址中,某一个链上地址的数据行为往往不能完全代表用户本身。BAB要求BinanceKYC账户与某一个地址相绑定,如果用户将某个不常用的地址或对冲地址相连,链上协议方想要获取的关于BAB用户数据可能就并不准确,用户实际链上行为与BAB绑定地址行为差异可能会较大。此外目前黑客事件频发,SBT绑定在地址上也存在私钥泄露、丢失等问题。目前也有一些EIP标准在尝试更多的解决方案,比如EIP-5114认为SBT应绑定到某个NFT中,而不是地址;VitalikButerin在其一些文章中也有提到,比如在《Soulbound》中,认为若用户足够在意它们的ENS域名,可以将SBT与ENS域名相绑定;在《DecentralizedSociety:FindingWeb3Soul》中,通过持有过一段时间的可转移的ERC-20Token来解锁SBT,并获得治理权力。
整体而言,作为首个背靠最大交易所Binance和使用人数最多BNBChain首个灵魂绑定通证BAB,具有开创性的意义,相信未来也会有更多的BNBChain及其以外的第三方协议或者数据分析机构接轨进BAB。另外的一些诸如FTX、OKX、Huobi等也有自家公链的交易所在老大哥Binance之后可能也会选择模仿或在SBT上作更多的尝试,带来更多权限和福利给用户。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。