簡析 Gamfi 下一步趨勢：是否走進死胡同？_ABU

趨勢系列的最后一篇，關于Gamfi的，說實話這篇很糾結，因為我自己都沒有完全看到或者說想清楚Gamfi的下一步趨勢在哪。

先說說目前的狀態

首先X2Earn基本上走到了一個死胡同，這種龐氏模型開始啟動是很有優勢，然后指數增長到一個瓶頸期便開始陷入困境，和最早流動性挖k通過高APY吸引用戶進來挖k的曲線非常像，只是因為披著一層Gamfi的外衣，所以時間線可以拉長很多，但其本質內核依舊是一個Defi。

有人說引入外部收入就好啊，有些Defi項目本身有收入，就可以打破這個Ponzi的模式-Curve。Gamfi沒法像Defi項目那樣賺錢，但是可以通過類似Socialfi的方式引入外部世界，比如有人說Stepn可以和星巴克合作弄一個跑步，沿途經過星巴克必須在那里那個卡之類，費就可以作為外部收入打破Ponzi。

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

這個思路是沒毛病的，然而依舊解決不了根本問題，原因就在于，Defi里面不是每個人都去挖k賺錢的，是那些提供流動性，承擔無常損失和被黑風險的LP在賺錢而已，而Gamfi的X2Earn，每個人都在賺錢，這個世界不存在這么好的“永動機”。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

舉個極端情況下的例子，我們假設Stepn做大做強到了facebook的體量，30億用戶，然后你會發現一個很恐怖的事情，哪怕平均每人跑出來的GST只有一美元，每天也是30億美元的拋壓，一年是1萬億美元，然后升級跑鞋寶石之類的消耗的算一半，還是有5000億美元……

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

Facebook去年的費收入是多少呢？800億美元。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

也就是說Stepn到這個量級后，盈利能力得達到Facebook的6-7倍才能維持讓每個用戶每天有1美元的收入。這顯然不現實。所以每天0.1美元？

捫心自問，你會為了每天0.1美元的收入去下一個App然后跑步么？哪怕是跑步時候順道開下App，也不makeSense。那么出路在哪？

目前看到的觀點和趨勢是下面這么兩個

1.偏向傳統-Free2play，playforFunandSkill2Earn

簡單來說，就是更貼進傳統，讓每個人免費參與，然后賺錢的部分變成“只有部分玩家賺錢”。

篩選的方式，則是玩家的Skill，人物級別，投入的時間精力，對游戲的理解等等等等，說白了就是牛逼的玩家能賺錢。

那剩下的人怎么辦？自然就是Playforfun啊。

然后問題來了，Steam上每年發售上萬款游戲，如果是為了ForFun，我去Steam玩不香么？為什么要來Web3來玩Gamfi？至少就目前來看，Gamfi整體在ForFun這個層面，和Web2的游戲差的不是一點半點。

沒有高度可玩性，就不會有數量眾多的玩家PlayforFun，沒有足夠多的玩家就不會有氪金大佬，沒有氪金大佬那些牛逼的玩家就沒得SkilltoEarn……這是個飛輪，做的好的游戲像是魔獸世界，夢幻西游，不需要Web3一樣實現了Skill2Earn。所以這條路是個方向，但不知道什么時候Gamfi的制作和可玩性能夠像傳統游戲靠齊，就目前來看，還離得很遠……

2.區塊鏈原生-CryptoNative

刻舟求劍一下你就會發現長遠來看，總是原生的東西更有生命力。比如剛有了互聯網，大家不看報紙了上互聯網來看新聞，這不是原生，是“網改”，真正牛逼的是Google，油管，抖音，Wechat……

剛有NFT那會，我們想的是把名畫做成NFT，然后把畫燒了，后來發現其實應該反著來，原生的Punk猴子火了，線下實體開始對接了。

按著這個思路，上面的1思路更像是傳統游戲的鏈改，幣改，沒有發揮區塊鏈真正的原生特性。那按照區塊鏈原生特型做出來的Gamfi應該是個什么樣子？Fomo3D就是個很好的例子，雖然很簡陋，雖然偏菠菜。

后來的狼羊，黑暗森林這些，也都是帶有非常“原生”導向的元素，因為整個游戲的核心邏輯都在鏈上，都是靠智能合約完成，而不是在鏈下服務器，所以未來在開放架構，自主存續和可組合性上都很有優勢。

然而這種模式問題也很大，最直接的問題就是門檻太高，如果Axie是Dota，Stepn是農藥，狼羊與黑暗森林就是《文明》系列，往往叫好不叫座，受眾面很窄，硬核玩家專屬。

所以你問我出路在哪，趨勢在哪，我真的不知道，目前有看到像是《BigTime》這種在1方向探索的，也有Isaac這種在2方向嘗試的，上面我說的問題是否能克服，過段時間相信市場會告訴我們答案。

我一直相信Gamfi是個大趨勢，因為沒有比游戲更能打開市場貼近所有人的方式了。但當前的我真的一臉懵逼，我只知道Gamfi2.0不會是不該是什么樣子，卻不知道他應該或是最終是個什么樣子……

Tags：ABUANCUSDNCEABUSD價格Velodrome FinanceUSD ZEETornado Finance

歐易交易所