簡析WEB3的電影代表之作_POR

Web3電影就被虛擬資產圈寄予厚望，由于NFT與文化藝術產品之間天然良好的「適配性」，全行業普遍將其視為打破oldmoney在傳統影視界統治力的利器。2022年在法國里維埃拉舉辦的戛納電影節上，眾多導演、藝術家和影視明星就以Web3為主題討論了影視界的未來。

一、國內WEB3電影代表之作—《勝利》

國內某Web3平臺發布了一部名為《UncleVictory》的Web3上鏈電影。《UncleVictory》實際上就是已經于2014發行的電影《勝利》，只是換了個名字在該平臺發行。這部由張猛編劇、導演的《勝利》是其東北往事三部曲的終結篇，講述了一個東北「大哥」在出獄后試圖贖罪的魔幻現實故事。從該平臺公開的數據顯示，《勝利》通過一種叫「EVT」的與NFT類似的技術在Newton鏈上發行，首期發行300份，于開售40分鐘后售罄。

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

對于持有《勝利》EVT的用戶來說，平臺承諾享有以下幾項權益：持有期間享有無限次的《勝利》觀影權；電影EVT封面圖的知識產權授權，具體包括復制權、發行權、出租權、展覽權等；售票權，持有者可通過其鏈上拷貝發售《勝利》電影票，獲得收益，該項權利有效期為30年；白名單，獲取空投和平臺其他產品優先購的權利。

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

目前來看，《勝利》尚屬于小規模的實驗性商業項目，這樣一部已經在數年前制作完畢且已經公開發售的小眾電影，持有者們僅能享有為數不多的、受限的權利。但是作為一種實驗性作品，其無疑具有一定的里程碑意義。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

二、國外WEB3電影代表之作—《白兔》

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

電影《白兔》由Shibuya公司立項制作的Web3互動電影。Shibuya原意為「澀谷」，本是位于日本東京某著名商圈，是日本最聲名顯赫的流行文化發源地，也是日本文化和思想碰撞最激烈的地方之一。

Shibuya已經在2022年末，獲得了690萬美元的融資，由著名Web3投行a16z與Variant領投，Shibuya的愿景是創造一個去中心化的好萊塢，這只名為《白兔》的影片就是Shibuya發行的第一支流媒體作品，。

《白兔》項目具有一個較為簡單的代幣經濟系統：由Producerpass和$WRAB構成。Producerpass即制作人通行證，是一種使用ERC-1155技術制作的NFT，是用戶參與創意決策、電影制作的必備工具。用戶通過將自己持有的Producerpass質押在Shibuya鏈上協議后，就可在每章節結尾投票決定電影劇情走向。Shibuya官方以0.08ETH的價格分別發售了5000枚、5500枚和2800枚的第一、二、三章節的Producerpass。并通過Telegram保證成員討論電影走向以確保不泄露電影內容。

而$WRAB則是一種基于ERC-20技術的虛擬貨幣，也是該項目的治理代幣，代表了用戶對視頻內容的所有權。當影片制作完畢后，項目方會將其鑄造為NFT，所有權將歸屬于持有$WRAB代幣的成員。當然，$WRAB代幣與ProducerPass聯系緊密，用戶質押ProducerPass之后將會獲得$WRAB空投。用戶質押得越早，空投的$WRAB越多。在分潤方面，根據該項目白皮書顯示，最終50%的$WRAB會被分配給ProducerPass持有者，40%分配給藝術家和創作者，5%分給平臺，5%分給項目方團隊。

通過該代幣經濟系統，電影《白兔》成功完成了融資、制作、發行和利益分配的全過程，是目前國外最為成熟且具有可行性的Web3電影案例。

三、結語

Web3電影目前依然處于萌芽階段，目前眾多項目依然處于試驗階段，由于我國一直以來對影視作品采取較為嚴格的審核和監管制度，Web3電影雖然具有光明的前景，但想要在我國實際落地還需要很長時間的探索，并不是能一蹴而就的事情。

在2021年十部委發布9.24通知后，《白兔》這樣涉及虛擬貨幣融資的玩法在我國已經不可能實現，但這種商業模式卻可以通過NFT等工具變相實現。

當然，由于我國對虛擬資產特殊的監管規范和對金融領域的強監管政策，在整個探索的過程中我們不能照搬國外項目的經驗，建議在具體實施項目前尋求專業律師的法律意見，避免踏足法律紅線引發刑事風險。

Tags：ABUORESPOPORSHIBSHABU幣Mirrored TwitterSPORE價格SPORE幣

酷幣