簡析代幣化社交網絡的幾個案例：BitClout、CyberConnect和MonacoPlanet_BTC

作者：IOSGVentures

在讓數字藝術家賺的盆滿缽滿的NFT熱潮之后，下一步是什么？我們認為是社交網絡的代幣化，這包括了音頻、視頻、信息流，個人媒體、出版物等。過去市場對數字藝術家服務不足，而NFT已經有力地證明區塊鏈上的數字jpegs，由于其固有的賬本屬性提供了一種更容易的盈利形式。

關于去中心化社交網絡的理論和討論已經存在許久。在特朗普擔任美國總統期間，推特(Twitter)封禁了他的賬號，這使得西方世界對去中心化和抵制審查的社交網絡的需求變得非常顯性。為了創造像Facebook在2004年那樣的網絡效應，Web3原生社交網絡平臺如BitClout、CyberConnect和MonacoPlanet等，已經從投資者那里籌集了數百萬美元。

讓我們來看看這些項目正在建立什么，以及它們實現網絡效應的方法。

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

CyberConnect

慢霧：Inverse Finance遭遇閃電貸攻擊簡析:據慢霧安全團隊鏈上情報，Inverse Finance遭遇閃電貸攻擊,損失53.2445WBTC和99,976.29USDT。慢霧安全團隊以簡訊的形式將攻擊原理分享如下：

1.攻擊者先從AAVE閃電貸借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子獲得5,375.5個crv3crypto和4,906.7yvCurve-3Crypto,隨后攻擊者把獲得的2個憑證存入Inverse Finance獲得245,337.73個存款憑證anYvCrv3Crypto。

2.接下來攻擊者在CurveUSDT-WETH-WBTC的池子進行了一次swap,用26,775個WBTC兌換出了75,403,376.18USDT,由于anYvCrv3Crypto的存款憑證使用的價格計算合約除了采用Chainlink的喂價之外還會根據CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的實時余額變化進行計算所以在攻擊者進行swap之后anYvCrv3Crypto的價格被拉高從而導致攻擊者可以從合約中借出超額的10,133,949.1個DOLA。

3.借貸完DOLA之后攻擊者在把第二步獲取的75,403,376.18USDT再次swap成26,626.4個WBTC,攻擊者在把10,133,949.1DOLAswap成9,881,355個3crv,之后攻擊者通過移除3crv的流動性獲得10,099,976.2個USDT。

4.最后攻擊者把去除流動性的10,000,000個USDTswap成451.0個WBT,歸還閃電貸獲利離場。

針對該事件，慢霧給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/6/16 4:32:58]

CyberConnect專注于為dApps、用戶身份和用戶關系，提供一個標準數據層。這是通過API調用完成的：使用GraphQL讀取路徑，使用JavaScript寫入路徑，用戶能夠通過在Metamask上簽名得以訪問與使用他們的DIDs和社交圖譜。所有的DID’s的關系數據和dApp的使用數據將會通過CeramicNetwork存儲在IPFS上。

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

由于您可以在您的dApp/社交應用中普遍地存儲和檢索數據，與CyberConnect集成的dApp本質上就像Web3世界中的一個單擊OAuth過程。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

那么，他們的目標人群是誰呢?這是一個基礎設施應用，因此它們的目標客戶是dApp開發人員，而用戶是dApp/錢包用戶。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

MonacoPlanet

Web3敘事&游戲化

Monaco對于社交網絡的嘗試非常有趣。他們以游戲化的Web3方式，通過自己的NFT系列和社交平臺，創造了一個以2150年為背景的未來世界。該平臺目前正在進行私人測試，僅可供YachtClubNFT的持有者(NFT空投)和推薦用戶使用。其他人可以將作為訪客訪問平臺，但不能參與其中。

他們是如何著手構建社交媒體的呢？該團隊最初的方法是通過他們的YachtClubNFT空投來吸引加密普通用戶。Monaca仿照Clubhouse的規則，限制每個人只能擁有5個推薦名額——這使得平臺訪問權成為身份的象征，他們的YachtClubNFT也成為了一種商品。

敘事和代幣經濟

這一社交媒體平臺擁有“寫賺”或“內容挖礦”的代幣經濟學，目的是讓這正好的內容被發現，而不是通過付費推廣或算法偏見。活躍的內容創作者將每月收到MONAtoken，分發持續兩年。

傳統上，廣告收入是社交媒體平臺的主要盈利模式，由于向目標受眾分發廣告的需求旺盛，這一模式往往效果很好。這種模式在Web3中很難復制，因為它侵犯了大量隱私，但這并不意味著Web3的原生平臺就放棄了他們所有的廣告收入。在Monaco，一旦該平臺的使用率達到閾值，廣告商就可以購買和燃燒MONA代幣，以推廣帖子、廣播和插入流媒體廣告。這個收入渠道每年為Twitter帶來40億美元，為Facebook帶來1000億美元。此外，MONA還將引入近期被推特引入的引爆機制。

平臺

該平臺的個人界面和發現頁看起來與現有的社交媒體平臺類似，尤其是Twitter。Web3.0的原生特征主要有以下幾點：

一鍵登錄使用您的數字加密錢包，如Metamask，而不是用電子郵件注冊。(想象CyberConnect基礎設施被用來在多個社交平臺上實現這種身份驗證)

簡介界面里嵌入了NFT版塊，用戶和創作者可以展示他們的NFT投資組合

右邊面板中的NFTnetworth和Influence排行榜，展示了最具影響力的投資者。

該平臺尚不向公眾開放，因此有許多細節仍不清晰：例如排行榜是如何被索引的，如何在個人簡介中添加多個錢包地址，私人和公共論壇等。該項目在12月31日后向公眾開放，屆時這些問題可能都會得到解答。

BitClout

Bitclout是此類別在社交網絡領域的第一個實驗。他們的平臺類似于Twitter或Monaco，但每個用戶檔案都有一個與之相關的，可以在市場上進行交易的個人代幣。與此同時，每個個人代幣都有一個聯合曲線，以此來激勵受歡迎的用戶們。

GTM和新用戶加入

Bitclout平臺代幣的獲取有兩種策略：一是用戶可以花一定數額的比特幣購買，二是平臺會預置一些頂級twitter用戶們的用戶資料以便本人領回。然而這兩種GTM策略都給公眾帶來了危險信號，因為人們認為以比特幣作為支付方式來訪問他們的個人代幣似乎是一個“騙局”，并且預先植入公眾人物資料是對隱私的一種侵犯。

從那時起，他們略微調整了策略。現在，用戶必須購買價值0.10美元的DESO才能創建他們的個人資料。用戶可以購買$DESO以換取比特幣或通過法定支付渠道。或者，如果用戶驗證他/她的電話號碼和/或電子郵件，該用戶最多可以獲得價值4美元的DESO代幣用于社交活動。

平臺?

BitClout有自己的格式——“探索/發現”部分看起來類似于現有的社交平臺。用戶可以在探索頁面上看到其他用戶的代幣價格。在某個帖子上，其他用戶可以看到每個帖子以”鉆石“的形式共收到了多少打賞。與其他社交網絡平臺類似，Bitclout也將有一個NFT展示/畫廊，但此功能尚未上線。

BitClout有一個有趣的功能，通常是在交易平臺中發現的，那就是金融趨勢圖。它展示了"每日最高收益者"、"每日最高鉆石創造者"和"最高社區項目"，并由其分析工具：desopulse提供支持。

通證經濟

DeSo/BitClout似乎有一個復雜的通證經濟。DESO代幣在建立新檔案等活動中產生價值，但這種收益流有一個邊界條件：DESO代幣的價值來自于運行節點，這意味著運營商可以對創作者的硬幣、推廣內容等征收交易費用。

社交代幣集成社交平臺的用例

這些社交平臺一個很好的用例是，采用社交代幣優先的方法，可以為新的加密貨幣項目引導其早期社區，他們可以用他們的社會/社區代幣空投早期投資者。鑒于這些代幣與治理型代幣一起具有基于共識價值，這也可能是未來DAO和社區建立的有趣方式。

Tags：SWAPBTCGRINFTFastSwap (BSC)PieDAO BTCGRINDKNFT幣

萊特幣價格