簡析 MetaMask 商業模式：年入上億美元的流量入口生意_MET

原文標題：《IOSGWeeklyBrief|年入上億美金的流量入口生意—MetaMask#91》撰文：IOSGVentures

一、MetaMask交易收費商業模式解析

Consensys?的四月份報告顯示，MetaMask月活用戶斬獲500萬量級。這表明對于新用戶來說，MetaMask確實是進入去中心化經濟的門戶或者說首要選擇。值得注意的是：去年10月份MetaMask的月活就已經突破了100萬。

10月份之所以達到100萬數據，很大一部分是由于DeFi的狂熱。而從100萬用戶增長到現在的500萬，主要得益于這次的NFT浪潮，將大量的主流用戶吸引到了以太坊。

來源:https://consensys.net/blog/MetaMask/MetaMask-surpasses-5-million-monthly-active-users/

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

根據Consensys的報告，Swap是MetaMask用戶使用頻率最高的功能，而鏈接錢包購買NFT現在已經是MetaMask第二大最受歡迎的使用場景。MetaMask月活突破100萬的同月推出了Swap功能，同時交易量也暴增到了130億美元)。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

MetaMaskSwap聚合器的聚合器。MetaMask集合了不同的流動性來源，不僅限于專業的做市商，還有Uniswap等DEX、1inch和Matcha等聚合器。所以，每次用戶使用Swap功能，都能得到目標代幣的最佳報價。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

對于許多每天都要交易的用戶來說，MetaMask是一個非常方便的應用。而且，用戶也愿意為此付費。對于MetaMask身后的支持者Consensys來說，MetaMaskSwap功能就是一顆印鈔機。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

換句話說，MetaMask的官網信息顯示「每次報價都自動包含了0.875%的服務費」。如果從年初開始計算服務費，基于2021年產生的交易量，截至幾周之前MetaMask已經盈利1億美元了。

來源:?https://dune.xyz/momir/MetaMask-Swap

二、1億美元的盈利在DeFi世界到底意味著什么？

許多DeFi協議嚴格意義上來說還處在做公益的階段。比如，Uniswap一般收取0.3%的交易費，但是所有收益都拿去做市了，也就是提供流動性。

另一方面，Sushiswap和Curve也想嘗試通過設置不同的費用結構來為代幣持有者帶來收益。

比如，Sushiswap給流動性提供者分了0.25%，總交易量的0.05%作為收益分給SUSHI代幣的持有人。Curve也是每次交易收取0.04%費用，其中的1/2劃分給流動性提供者，剩下1/2分給CRV質押者。

而MetaMask則不需要關心流動性提供者，因為它的流動性來源和普通的DEX不一樣。所以，每1000美元的交易量，MetaMask都會賺取8.75美元，SUSHI質押者賺取0.5美元，CRV質押者0.2美元。

簡單來說，MetaMask上每產生1美元交易量的收益是Shshiswap和Curve收益的17倍和44倍。

因此，盡管MetaMask的交易量比Sushiswap或Curve低幾倍，但它卻是這三家公司中最大的印鈔機。

來源:?https://dune.xyz/momir/MetaMask-Swap

三、為何產生如此大的定價權？

MetaMask作為最安全和最簡單的參與去中心化經濟的方式之一吸引了來自全球的用戶。

用戶無需為使用MetaMaskSwap之外的功能而付費，對于不喜歡使用Swap功能的用戶也支持直接無縫銜接到如Uniswap之類的通用流動性來源，避免支付0.875%的費用。

事實上，大多數MetaMask用戶根本不使用Swap功能。然而驚人的是，MetaMask在只有不到2%的活躍用戶通過MetaMaskswap執行交易的情況下，創造了1億美元的收入。

來源:?https://dune.xyz/momir/MetaMask-Swap

此外，瀏覽器錢包領域缺乏競爭。即使該領域有許多入場者，也很難擺脫同質化并贏得龐大用戶群的信任。然而，考慮到MetaMask創下的超強營收記錄，我們將期待市場力量吸引更多可能挑戰頭號瀏覽器錢包的主導地位的競爭者。

目前，終端用戶有一個完整的鏈路來執行交易。聚合器的聚合器->聚合器->DEX

未來的發展有幾條不同的路徑。

一條是這些垂直行業專注在各自的賽道上，并試圖貨幣化各自的倉位，增加Web3.0用戶的成本。

或者，我們可能看到這些垂直領域的協議之間的直接競爭。例如，1inch開始是一個聚合器，但后來推出了他們自己的DEX-Mooniswap，以及1inch錢包。

除了MetaMask，Consensys也同時負責Airswap。如果Web3.0行業發展出與Web2.0相同的商業模式，即大集團以犧牲用戶利益為代價保護自己在每個垂直領域的地位，那無疑是令人失望的。

當然，目前并沒有跡象表明這種情況會發生，例如，即使Consensys在一人同時負責兩個項目的情況下也保持著較為公正的態度與公平的商業模式——比起其他的流動性來源，MetaMaskswap并沒有「特殊照顧」或是資源傾斜Airswap。

總而言之，MetaMask剛剛開始收獲看似為可持續的經濟護城河的收益。考慮到其獨特的地位，MetaMask沒有真正的競爭對手。在可預見的未來，MetaMask可能仍然是Web3.0領域最大的現金印鈔機之一。

Tags：METETATAMAASKETNA MetabolismLESLAR MetaverseBABYSAITAMA價格Askobar Network

TRX