作者:Sleepy
在最近幾個月,被人們談論最多的莫過于是NFT頭像。從動輒數百倍的財富效應到人們逐漸挖掘出了他們作為「社交資本」更有價值的一面。進一步從「社交資本」延伸,人們認為在元宇宙中這個頭像將會代表著他們的身份。
的確,一個頭像的確可以和一個人的身份深度綁定,其中最知名的便是CryptoPunks的持有者們,他們有的人甚至會將自己的推特賬號改為CryptoPunk的編號。
把NFT用作頭像有哪些好處呢?首先,同一個NFT系列頭像的持有者們將會自然而然地形成一個社群,而頭像更是會加深這個社群的凝聚力;其次,當使用這個系列的人越來越多,這個系列也就逐漸變成了品牌,品牌價值也將會讓持有者們受益;其次,頭像NFT也可以在二級市場交易,實際上,每個頭像并沒有和持有者形成多深層的綁定關系,而所謂的深度綁定也是依托于持有者本人的意愿,所以持有者也是可以選擇將這個「身份的象征」以高價賣出的,這種財富效應也吸引了很多人購買NFT頭像。
安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]
然而,也正是因為頭像并沒有和持有者直接形成深度綁定的關系,頭像NFT的可交易性也讓人們在元宇宙中的「身份」變得模糊起來。既然元宇宙是互聯網的下個階段,是人們未來生活的「虛擬世界」,那么身份就無比重要。也許你可以把頭像視為「身份」的象征,但它并不能完全代表著你的身份。
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
那么,有什么項目可以解決元宇宙的身份問題嗎?
慢霧:Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報,9月12日,Avalanche上Zabu Finance項目遭受閃電貸攻擊,慢霧安全團隊進行分析后以簡訊的形式分享給大家參考:
1.攻擊者首先創建兩個攻擊合約,隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣,并將獲得的SPORE代幣抵押至ZABUFarm合約中,為后續獲取ZABU代幣獎勵做準備。
2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣,隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取),而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量,而不是記錄合約實際收到的代幣數量,但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。
3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷,從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的,因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。
4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵,隨后便對ZABU代幣進行了拋售。
此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的,此類問題導致的攻擊已經發生的多起,慢霧安全團隊建議:項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化,而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]
MetaVisa項目簡介
慢霧:BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報,幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑,慢霧安全團隊第一時間介入分析,并將結果以簡訊的形式分享,供大家參考:
1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣;
2. 攻擊者在兌換的同時也進行閃電貸操作,因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者;
3. 而在完成整個兌換流程并更新池子中代幣數量前,會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期;
4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70,因此將會采用第二種算法對池子中的代幣數量進行檢查;
5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時,可以通過特殊構造的數據來使檢查通過;
6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的;
7. 在通過對此算法進行具體分析調試后我們可以發現,在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時,池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍,在此范圍內此算法檢查都將通過;
8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時,將池子中的大量 WBNB 代幣通過閃電貸的方式借出,由于算法問題,在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查;
9. 攻擊者只需要在所有的 vSwap 池子中,不斷的重復此過程,即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]
在了解MetaVisa之前讓我們先來聊聊為什么在元宇宙中需要一個身份,所謂的「身份」究竟是什么意思?
Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]
所謂「身份」是指人的出身、地位和資格,而這些在現實世界中一直都是有些虛無縹緲的。在現實世界中,過往的一切記錄都需要依賴于中心化機構或是主觀判斷。舉一個最簡單的例子,你對于某種技能的掌握程度是通過領英中其他用戶為你「點贊」來反映的。
這也就導致了大量虛假、無效信息的存在。對于某個人的身份,你必須要無條件地信任中心化平臺做出了客觀而詳盡的記錄。
而區塊鏈技術為我們帶來的是去信任化,在加密世界中,我們不再需要「信任」這個行為,因為一個人過往的一舉一動都被清晰地記錄在了區塊鏈上。如此一來,你的身份就是可以被「證明」的,因為只有去中心化的證明才是有意義的。現在你能明白為什么頭像并不能完全代表你的身份了嗎?因為「身份」是對你「過往經歷的證明」,而ProofofExperience在元宇宙中是十分重要且有意義的。
我們為什么需要證明自己的經歷呢?
拋開頗具哲學色彩的「我是誰」的問題,這個證明能為我們帶來的看得見摸得著的好處便是各種空投。在加密世界中,我們見到了太多的空投,從DeFi領域的Uni、dYdX,再到NFT領域的RARI和RARE,人們喜歡這些空投的重要原因便是人們拿到了實打實的收益。
這些空投其實是對用戶的獎勵,而獎勵的依據便是用戶鏈上的歷史記錄,比如是否與某個項目進行過交互等等,而這就體現出了ProofofExperience的功能與重要性。
更進一步,除了用來拿到各種獎勵,這個證明還會有更多更深層的用法,MetaVisa對元宇宙身份系統提出了一個全新的概念:MID,即「Metaverse+Identity」,在MetaVisa看來,目前的區塊鏈及元宇宙領域中仍然沒有一個可以完美解決身份和信用問題的方案,而這正是MetaVisa誕生的意義。
MetaVisa會在不侵犯用戶隱私,不提取和使用個人敏感信息的前提下,通過對地址的鏈上行為等數據進行分析,MetaVisa將會為每個用戶建立起一個鏈上身份+鏈上征信的檔案,并通過MetaVisa的預言機將其應用到各個DeFi、NFT、游戲、DAO和其他DApp中。
MetaVisa將根據信用歷史、鏈上行為偏好、地址活躍度、持有的資產組合、地址相關性等多個維度對地址進行綜合評估,并根據結果為用戶贈予不同等級的NFT徽章,用戶將根據所持有的不同徽章在各個項目中擁有不同的特權。而這也為項目方提供了一種精準營銷的方式,它們可以直接精準定位自己的目標用戶進行定向推廣或獎勵,最常見的例子便是上文提到的發空投。
MetaVisa在元宇宙的應用
元宇宙是我們未來生活的主陣地,但是在加密世界中所有人都是匿名的,能被大家看到的只有錢包地址,這勢必會讓我們在元宇宙中的生活環境變得更加混亂,而元宇宙所必備的社交屬性也需要我們清晰地了解彼此的身份。
MetaVisa的身份和信用體系可以幫助各個元宇宙平臺對用戶進行分析,并根據分析結果為用戶劃分等級,從而為每個等級的用戶提供不同的服務,比如根據分析結果幫助用戶進行匹配促進社交、在元宇宙中為特定等級的用戶提供專屬的活動場地等等。
而在鏈上元宇宙中,各個項目方也可以通過MetaVisa為用戶劃分出各個等級,從而為每個等級的用戶提供不同的服務,并且通過身份與信用系統,金融與元宇宙可以實現更加完美的融合。屆時,我們無需從虛擬世界中抽身出來即可進行抵押借貸等操作,當元宇宙擁有了完備的金融體系,會呈現出更多樣的可能性。
MetaVisa在DeFi的應用
MetaVisa也可以讓DeFi與元宇宙完美結合。讓元宇宙與模擬生活類游戲區分開來的重要因素便是金融,有了金融體系,元宇宙中的一切資產才有價值,元宇宙中的資產也才可以無需依托現實世界的金融體系來被定價與交易,這樣的元宇宙才會成為一個真正的虛擬「世界」。
通過MetaVisa,我們無需從虛擬世界中抽身出來即可進行抵押借貸等操作。當我們在去中心化借貸平臺貸款時,平臺通常需要我們添加等額或價值高于貸款金額的抵押物來確保我們會來償還這筆貸款,而由于有了MetaVisa的身份和信用系統加持,我們在鏈上也可以進行超額抵押貸款的操作,這是此前無法實現的事情。
MetaVisa在社區的應用
而身份和信用系統同樣十分契合加密世界中備受關注的「社區」。同樣是從「社交」這一需求出發,社區需要任何人之間擁有更緊密的關系,這樣社區的凝聚力才會更加強大,進一步才會讓去中心化自治組織得以誕生。
更緊密的關系依賴于社區成員之間互相知曉「你是誰」這一問題,需要知道彼此真實的身份以及過往的經歷,而不僅僅是一串字符組成的錢包地址與一個NFT頭像那么簡單。對于「你是誰」這個問題,此前的解決方案是HumanityDao、BrightID等去中心化KYC項目,需要通過視頻認證等方式來證明用戶是一個「真實的人」,而不是機器人或是騙子。此外社區還可以直接按照MetaVisa的身份及信用系統為用戶劃分會員等級,便于制定會員制度并根據不同等級發放不同福利來對用戶進行激勵,提高社區成員的粘性。
而對于DAO來說,MetaVisa的身份和信用系統則會幫助社區治理更上一個臺階。簡單來說,通過身份和信用系統,用戶將會擁有不同的權重,這是一項十分重要的創新。目前的治理大多是根據持有某種代幣的數量來決定權重,而這勢必會讓巨鯨成為這個「去中心化組織」中的「中心」,MetaVisa便能將這個問題完美解決。
路線圖
MetaVisa協議V1測試網計劃將于2021年第四季度正式上線以太坊網絡,并將進行數據整合與算法模型的構建,并將于2022年第一季度主網上線并集成以太坊Layer2網絡并與一些DeFi應用及NFT項目達成合作;到了2022年第二季度,MetaVisa協議將推出MetaVisaDAO,此外還將支持Solana、BSC、Heco、Polkadot等公鏈并將部署V2版本測試網;2022年第三季度,MetaVisa協議V2版本將正式主網上線,并將推出身份和信用系統的預言機引擎。
元宇宙承載著我們對未來的無限期盼,我們都暢想著在這個虛擬世界中的生活將有多么豐富的可能性,不過無窮的可能性往往也意味著無序與風險,而元宇宙身份將會成為維護元宇宙安全有序發展的利器,讓這個虛擬的世界也成為我們真實生活的一部分。?
?
Tags:MET元宇宙METAVETACompound Meta數字孿生和元宇宙的區別YouCoin MetaverseTheta Fuel
作者:MarioGabriele,TheGeneralist 編譯:王欣,鏈捕手 我們并不總是生活在國家中。在出現像“法國”或“德國”這樣的結構之前,帝國統治著大部分地區.
1900/1/1 0:00:00鏈捕手消息,自動做市商項目Saddle宣布發布治理代幣SDL,SDL最大供應量為10億枚,51%的代幣會向Saddle社區成員發放,其中15%已經分配給了Saddle歷史用戶.
1900/1/1 0:00:00鏈捕手消息,在本周的一篇博客文章中,DeFi平臺BadgerDAO披露了本月早些時候遭黑客攻擊被盜1.2億美元的細節.
1900/1/1 0:00:00鏈捕手消息,自動做市商工具?Saddle?完成750萬美元融資,Polychain和ElectricCapital領投,參投方包括Nascent和?ProjectGalaxy?等.
1900/1/1 0:00:00原文標題:《以GameFi土地資產為例分析游戲經濟模型的轉變|行業觀察》撰文:CyborgDoggie在傳統游戲中,守護家園與遠征掠奪是最常見的玩法.
1900/1/1 0:00:00原文作者:PaulVeradittakit,PanteraCapital合伙人 譯者:盧江飛,鏈聞 智能合約漏洞一直是加密生態系統中最關注的問題之一,當然,這個問題在DeFi行業內也飽受批評.
1900/1/1 0:00:00