比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

簡析DAO的貢獻者漏斗模型:如何對成員進行等級劃分?_WBNB

Author:

Time:1900/1/1 0:00:00

原文作者:0xJustice.eth

原文編譯:CaptainHiro,DeFi之道

我們都知道,加入社區Discord服務器的人不一定就是DAO的成員。而且,不同級別的社區參與者應該有不同的特權和期望,把它們混為一談是對社區的傷害。有些人加入社區的心態非常隨意,而有些人則在希望能在社區尋求全職工作。有些人是為了休閑而加入社區,而其他人則是為了解決去中心化治理的難題。

去中心化自治組織的其它問題來自于錯位的財務激勵。投資500美元的成員與投資5000美元或15000美元的成員的想法是不同的,他們在社區中承擔的責任也是不同的。要求某位社區成員在會議上做記錄和管理一個2.5萬美元的金庫是不同的。即使資金在多人小組中是安全的,但是在后一種情況下,社區還是承擔了更大的機會成本風險。在審視DAO的組織結構時,我們需要考慮以下幾個問題:

安全團隊:Defrost Finance被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Defrost Finance預言機被惡意修改,并且添加了假的抵押token清算當前用戶,損失超1300萬美元。攻擊者通過setOracleAddress函數修改了預言機的地址,隨后使用joinAndMint函數鑄造了100,000,000個H20代幣給0x6f31地址,最后調用liquidate函數通過虛假的價格預言機獲取了大量的USDT。后續攻擊者通過跨鏈的方式將被盜資金轉移到了以太坊的0x4e22上,目前有490萬美元的DAI在0x4e22地址上,有500萬美元的DAI在0xfe71地址上,剩余300萬美元的ETH被轉移到了0x3517地址上。[2022/12/25 22:06:35]

社區是否以確定的可用性、責任和期望水平來劃分群體?

Beosin:SEAMAN合約遭受漏洞攻擊簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月29日,SEAMAN合約遭受漏洞攻擊。Beosin分析發現是由于SEAMAN合約在每次transfer函數時,都會將SEAMAN代幣兌換為憑證代幣GVC,而SEAMAN代幣和GVC代幣分別處于兩個交易對,導致攻擊者可以利用該函數影響其中一個代幣的價格。

攻擊者首先通過50萬BUSD兌換為GVC代幣,接下來攻擊者調用SEAMAN合約的transfer函數并轉入最小單位的SEAMAN代幣,此時會觸發合約將能使用的SEAMAN代幣兌換為GVC,兌換過程是合約在BUSD-SEAMAN交易對中將SEAMAN代幣兌換為BUSD,接下來在BUSD-GVC交易對中將BUSD兌換為GVC,攻擊者通過多次調用transfer函數觸發_splitlpToken()函數,并且會將GVC分發給lpUser,會消耗BUSD-GVC交易對中GVC的數量,從而抬高了該交易對中GVC的價格。最后攻擊者通過之前兌換的GVC兌換了50.7萬的BUSD,獲利7781 BUSD。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),將持續關注資金走向。[2022/11/29 21:10:04]

社區是否利用了與這些細分級別相對應的工具和訪問權限?

安全公司:AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道,據區塊鏈安全審計公司Beosin EagleEye監測顯示,2022年11月23日,AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證,導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數,接下來調用claimNodeReward函數提取節點獎勵,而節點獎勵的計算取決于攻擊者設置的rewardPerDay值,導致計算的節點獎勵非常高。而在這一筆交易之前,攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR,創建了攻擊者的節點記錄,從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

不同社區級別的財務收益是否與預期的承諾和責任水平相匹配?

Grim Finance 被黑簡析:攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報,2021 年 12 月 19 日,Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣,并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作,而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中,depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣,本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性,攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時,惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押,此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次,因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖,導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議:對于用戶傳入的參數應檢查其是否符合預期,對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

如果這些問題的答案都是否定的,那么一個社區將不可避免地遭受挫折、困惑、怨恨和人才流失。每個人的經驗和目標,包括DAO本身都會因為所有社區成員都被歸入同一個沒有區別的籃子里而受到損害。

慢霧:Spartan Protocol被黑簡析:據慢霧區情報,幣安智能鏈項目 Spartan Protocol 被黑,損失金額約 3000 萬美元,慢霧安全團隊第一時間介入分析,并以簡訊的形式分享給大家參考:

1. 攻擊者通過閃電貸先從 PancakeSwap 中借出 WBNB;

2. 在 WBNB-SPT1 的池子中,先使用借來的一部分 WBNB 不斷的通過 swap 兌換成 SPT1,導致兌換池中產生巨大滑點;

3. 攻擊者將持有的 WBNB 與 SPT1 向 WBNB-SPT1 池子添加流動性獲得 LP 憑證,但是在添加流動性的時候存在一個滑點修正機制,在添加流動性時將對池的滑點進行修正,但沒有限制最高可修正的滑點大小,此時添加流動性,由于滑點修正機制,獲得的 LP 數量并不是一個正常的值;

4. 隨后繼續進行 swap 操作將 WBNB 兌換成 SPT1,此時池子中的 WBNB 增多 SPT1 減少;

5. swap 之后攻擊者將持有的 WBNB 和 SPT1 都轉移給 WBNB-SPT1 池子,然后進行移除流動性操作;

6. 在移除流動性時會通過池子中實時的代幣數量來計算用戶的 LP 可獲得多少對應的代幣,由于步驟 5,此時會獲得比添加流動性時更多的代幣;

7. 在移除流動性之后會更新池子中的 baseAmount 與 tokenAmount,由于移除流動性時沒有和添加流動性一樣存在滑點修正機制,移除流動性后兩種代幣的數量和合約記錄的代幣數量會存在一定的差值;

8. 因此在與實際有差值的情況下還能再次添加流動性獲得 LP,此后攻擊者只要再次移除流動性就能再次獲得對應的兩種代幣;

9. 之后攻擊者只需再將 SPT1 代幣兌換成 WBNB,最后即可獲得更多的 WBNB。詳情見原文鏈接。[2021/5/2 21:17:59]

為了解決這些社區成員的細分問題,本文將提出一個由會員級別和門檻組成的社區分級方案,并在此過程中詳細說明貢獻者漏斗。每個社區成員的級別都與DAO的具體關注點和目的相關,每個門檻都是通往下一級的明確通行證。在描述完社區分級之后,我將描述如何配置可用的工具,使用代幣門檻來建立社區的訪問級別。

第一級:用戶

社區的第一級成員是用戶,它包括任何使用社區產品或服務的人。達到社區的第一級是沒有門檻的,而且社區鼓勵所有人參與進來。這個級別也包括擁有任何數量社區代幣的人。

第一級

該級別是這個分級方案中最大和最無定形的實體,它體現了社區希望更多的人成為用戶,并為他們成為真正的社區成員提供可能。在這個級別,一些社區指定的用戶會獲得Discord的“訪客通行證”,而其他社區用戶則完全沒有Discord的訪問權。

第二級:社區成員

達到社區第一道門檻要求的社區第二級成員:官方社區成員。在分級方案中,用戶和社區成員是不一樣的。公共用戶從社區的產品中受益,而社區成員則影響這些產品和服務的創建和傳播。他們是社區的探索者、倡導者和傳播者。許多數字社區已經采用這些術語來描述類似的項目。社區成員看好該社區的產品和愿景,并希望做出一定的貢獻。他們渴望參與社區活動并與其他成員合作,從而測試和促進社區的新想法和機會。

第一門檻|第二級

在這種協作和創造性的環境中,豐富的社交和教育機會產生了學習和教學的良性循環。社區是人們可以學習和展示所學技能的地方。這一級別的成員是社區文化和“氛圍”的主要驅動力,也是下一級別成員的文化基礎。社區成員的門檻可以由一個申請和被接受的參與者所需的代幣數量組成。FWB和Raidguild是這樣做的社區的例子。

第三級:貢獻者

社區的下一個級別是貢獻者。這些人已經超越了單純的會員資格,他們是社區的生產性資產。因為最接近社區工作的人應該是決定做什么的人,我認為這個級別也屬于社區管理的范疇。作為一個社區成員與作為其管理機構的投票成員是不同的,社區對他們的激勵、關注和責任是不一樣的。代幣經濟學、愿景和可持續性的問題,對于這個等級的社區成員來說更有意義。這個等級的成員已經顯示出對社區的投資,他們的視野也變得更加全面和宏觀。

第二門檻|第三級

當數字社區采用委托治理模式時,我們部分地考慮到了這種區別,也考慮到了為什么一些社區在成員投票方面會遇到困難,或達不到法定的投票人數要求。這是因為他們沒有區分社區成員和負有治理責任的貢獻者。考慮到許多DAO在這前三個等級中沒有區分代幣持有人,這些社區在保留貢獻者方面存在實際困難也就不足為奇了。

第四級:團隊

最后,我們來到了團隊,這是社區的執行層面。團隊是一個社區的引擎,他們的持續發展將決定一個社區的產品的功效和可持續性。沒有他們,DAO就不能產生可持續的收入。社區聚集在成功的產品周圍,而充滿活力的社區使成功的產品成為可能。這種共生關系是Web3的命脈。

Sobol.io

把所有這些這些社區成員放在一起,你可以看到我們已經創建了一個實際的社區成員漏斗,而不是一個不相干的團體集合。每一個等級都假設并依賴于之前的等級,唯一的區別是它們的范圍不同。從這一點來看,我們可以對我們的社區有一個全面的看法,并且可以在每個層面上應用相關的健康指標。

以代幣為中心的工具和權限

現在,我們有了我們的等級和門檻的簡單概述,問題是如何實際去創建它們。理想的方法是將每一個工具和相關的權限方案都圍繞著代幣的擁有量來進行。這種方法有幾個優點:首先,它代表了一個單一的權限管理點,這減少了協調的開銷。同時也增加了安全性,因為管理具有不同訪問級別的多個電子郵件為黑客攻擊和社會工程打開了大門。但最重要的是,它可以根據我們的目標指定工作,也就是支持鏈上自我主權身份的實現。現階段完全以Discord為中心的社區正在建立過時的工具。

從Discord開始,讓我們來看看一個可能的設置。使用ColabLand對特定的Discord頻道設置代幣門檻;設置Sobol以反映這些訪問級別。這種間接的代幣門檻并不像直接的錢包整合那樣簡單,但它可以而且已經成功地做到了,并實現了我們的目標。Sobol解決了我們的組織結構圖和可視化成員需求,而Discord解決了我們的溝通渠道需求。幸運的是,我們通過以下兩個工具獲得了直接的錢包集成。

以加密貨幣為中心的項目管理工具,如Clarity和Dework正在興起,而且我相信它們將產生巨大的轟動。最后,我們有Cal.com,它解決了對代幣門檻的調度需求。最近Cal.com還宣布了Web3的整合,它提供了支持我們成員漏斗的額外門檻。這些工具,以這種方式配置,有助于推進自我主權身份的目標和鏈上簡歷的夢想。以這種方式建立的社區為其成員服務,允許他們在Meritverse等網站上展示他們的技能和成就。

一個通用的方法

最后,我想強調的是我剛剛建議的結構是一種方法,而不是社區的確切藍圖或教程。工具和門檻在整體系統保持不變的前提下可能會發生改變。我的目標是展示如何通過采用不同的等級來劃分DAO的社區成員,以及如何用代幣門檻和以代幣為中心的工具來創建這些等級。所有這些工具和方法的共同作用于創造一個統一的貢獻者漏斗。不過,我還是希望上述內容有助于為建設性的對話提供一些參考。有了上述心理模型,我們就可以對數字社區進行推理,并討論其他配置和方法的優勢和劣勢。在未來的論文中,我將進一步詳細探討社區的執行層面,并討論構建團隊的策略,從開源軟件和項目管理的方法中汲取靈感,所有這些的動力都是由Web3工具和協調模式提供的。

特別感謝richiebonilla.eth、Links和bpetes.eth的反饋和編輯。

原文鏈接

Tags:BNBDEPWBNBGVCBNBXdep幣前景wbnb和bnb區別和聯系AGVC

火幣下載
幣安“質押借幣”平臺推出VIP階梯利率_NCE

親愛的用戶:幣安“ 質押借幣”平臺已推出VIP階梯利率,用戶的VIP等級越高,可享受越低的借幣利率.

1900/1/1 0:00:00
回顧Louis Vuitton的發展史,我們如何理解STEPN的未來_STEPN

原文作者:Hongyu 原文來源:火鳳資本 STEPN是一個”movetoearn”模式的NFT混合現實類鏈游.

1900/1/1 0:00:00
淺析即將到來的Web3.0社交_WEB

原文標題:《Web3.0社交即將到來》原文作者:牛角,程序員的牛角尖1.什么是Web3.0?在聊Web3.0社交以前首先要先達成一個共識就是什么是Web3.0?前段時間的這張對比圖.

1900/1/1 0:00:00
BitMart上線Spherium Finance (SPHRI)_BIT

親愛的BitMart用戶:BitMart將于2022年2月28日上線代幣SpheriumFinance(SPHRI)。屆時將開通SPHRI/USDT交易對.

1900/1/1 0:00:00
閃兌交易平臺上線ACA、ANC、POLY等10個新資產,新增249個幣對_ELE

親愛的用戶:為了給用戶提供更豐富的交易選擇,幣安閃兌交易平臺已上線10個新資產-ACA、ANC、POLY等,並新增其它249個幣對,邀您體驗!幣安閃兌交易平臺將會陸續上線更多資產,敬請期待.

1900/1/1 0:00:00
2022農曆新年百萬比特幣紅包大放送活動結束及獎勵公告_Gate.io

爲期8天的“Gate.io華人春節,富及世界-2022農曆新年百萬比特幣紅包大放送”活動已圓滿結束.

1900/1/1 0:00:00
ads