原文作者:0xJustice.eth
原文編譯:CaptainHiro,DeFi之道
我們都知道,加入社區Discord服務器的人不一定就是DAO的成員。而且,不同級別的社區參與者應該有不同的特權和期望,把它們混為一談是對社區的傷害。有些人加入社區的心態非常隨意,而有些人則在希望能在社區尋求全職工作。有些人是為了休閑而加入社區,而其他人則是為了解決去中心化治理的難題。
去中心化自治組織的其它問題來自于錯位的財務激勵。投資500美元的成員與投資5000美元或15000美元的成員的想法是不同的,他們在社區中承擔的責任也是不同的。要求某位社區成員在會議上做記錄和管理一個2.5萬美元的金庫是不同的。即使資金在多人小組中是安全的,但是在后一種情況下,社區還是承擔了更大的機會成本風險。在審視DAO的組織結構時,我們需要考慮以下幾個問題:
Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]
社區是否以確定的可用性、責任和期望水平來劃分群體?
Beosin:SheepFarm項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的SheepFarm項目遭受漏洞攻擊,Beosin分析發現由于SheepFarm合約的register函數可以多次調用,導致攻擊者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函數增大自身的gems,再利用upgradeVillage函數在消耗gems的同時累加yield屬性,最后調用sellVillage方法把yield轉換為money后再提款。本次攻擊導致項目損失了約262個BNB,約7.2萬美元。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/16 13:10:39]
社區是否利用了與這些細分級別相對應的工具和訪問權限?
慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:
1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。
2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。
3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。
綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]
不同社區級別的財務收益是否與預期的承諾和責任水平相匹配?
安全團隊:LPC項目遭受閃電貸攻擊簡析,攻擊者共獲利約45,715美元:7月25日,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,LPC項目遭受閃電貸攻擊。成都鏈安安全團隊簡析如下:攻擊者先利用閃電貸從Pancake借入1,353,900個LPC,隨后攻擊者調用LPC合約中的transfer函數向自己轉賬,由于 _transfer函數中未更新賬本余額,而是直接在原接收者余額recipientBalance值上進行修改,導致攻擊者余額增加。隨后攻擊者歸還閃電貸并將獲得的LPC兌換為BUSD,最后兌換為BNB獲利離場。本次攻擊項目方損失845,631,823個 LPC,攻擊者共獲利178 BNB,價值約45,715美元,目前獲利資金仍然存放于攻擊者地址上(0xd9936EA91a461aA4B727a7e3661bcD6cD257481c),成都鏈安“鏈必追”平臺將對此地址進行監控和追蹤。[2022/7/25 2:36:51]
如果這些問題的答案都是否定的,那么一個社區將不可避免地遭受挫折、困惑、怨恨和人才流失。每個人的經驗和目標,包括DAO本身都會因為所有社區成員都被歸入同一個沒有區別的籃子里而受到損害。
慢霧:DEUS Finance 二次被黑簡析:據慢霧區情報,DEUS Finance DAO在4月28日遭受閃電貸攻擊,慢霧安全團隊以簡訊的形式將攻擊原理分享如下:
1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。
3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作,兌換出了9547716.9個的DEI,由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。
4.在進行Swap操作后,攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸,由于borrow函數中用isSolvent進行借貸檢查,而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。
5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC,獲利離場。
針對該事件,慢霧安全團隊給出以下防范建議:本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格,慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]
為了解決這些社區成員的細分問題,本文將提出一個由會員級別和門檻組成的社區分級方案,并在此過程中詳細說明貢獻者漏斗。每個社區成員的級別都與DAO的具體關注點和目的相關,每個門檻都是通往下一級的明確通行證。在描述完社區分級之后,我將描述如何配置可用的工具,使用代幣門檻來建立社區的訪問級別。
第一級:用戶
社區的第一級成員是用戶,它包括任何使用社區產品或服務的人。達到社區的第一級是沒有門檻的,而且社區鼓勵所有人參與進來。這個級別也包括擁有任何數量社區代幣的人。
第一級
該級別是這個分級方案中最大和最無定形的實體,它體現了社區希望更多的人成為用戶,并為他們成為真正的社區成員提供可能。在這個級別,一些社區指定的用戶會獲得Discord的“訪客通行證”,而其他社區用戶則完全沒有Discord的訪問權。
第二級:社區成員
達到社區第一道門檻要求的社區第二級成員:官方社區成員。在分級方案中,用戶和社區成員是不一樣的。公共用戶從社區的產品中受益,而社區成員則影響這些產品和服務的創建和傳播。他們是社區的探索者、倡導者和傳播者。許多數字社區已經采用這些術語來描述類似的項目。社區成員看好該社區的產品和愿景,并希望做出一定的貢獻。他們渴望參與社區活動并與其他成員合作,從而測試和促進社區的新想法和機會。
第一門檻|第二級
在這種協作和創造性的環境中,豐富的社交和教育機會產生了學習和教學的良性循環。社區是人們可以學習和展示所學技能的地方。這一級別的成員是社區文化和“氛圍”的主要驅動力,也是下一級別成員的文化基礎。社區成員的門檻可以由一個申請和被接受的參與者所需的代幣數量組成。FWB和Raidguild是這樣做的社區的例子。
第三級:貢獻者
社區的下一個級別是貢獻者。這些人已經超越了單純的會員資格,他們是社區的生產性資產。因為最接近社區工作的人應該是決定做什么的人,我認為這個級別也屬于社區管理的范疇。作為一個社區成員與作為其管理機構的投票成員是不同的,社區對他們的激勵、關注和責任是不一樣的。代幣經濟學、愿景和可持續性的問題,對于這個等級的社區成員來說更有意義。這個等級的成員已經顯示出對社區的投資,他們的視野也變得更加全面和宏觀。
第二門檻|第三級
當數字社區采用委托治理模式時,我們部分地考慮到了這種區別,也考慮到了為什么一些社區在成員投票方面會遇到困難,或達不到法定的投票人數要求。這是因為他們沒有區分社區成員和負有治理責任的貢獻者。考慮到許多DAO在這前三個等級中沒有區分代幣持有人,這些社區在保留貢獻者方面存在實際困難也就不足為奇了。
第四級:團隊
最后,我們來到了團隊,這是社區的執行層面。團隊是一個社區的引擎,他們的持續發展將決定一個社區的產品的功效和可持續性。沒有他們,DAO就不能產生可持續的收入。社區聚集在成功的產品周圍,而充滿活力的社區使成功的產品成為可能。這種共生關系是Web3的命脈。
Sobol.io
把所有這些這些社區成員放在一起,你可以看到我們已經創建了一個實際的社區成員漏斗,而不是一個不相干的團體集合。每一個等級都假設并依賴于之前的等級,唯一的區別是它們的范圍不同。從這一點來看,我們可以對我們的社區有一個全面的看法,并且可以在每個層面上應用相關的健康指標。
以代幣為中心的工具和權限
現在,我們有了我們的等級和門檻的簡單概述,問題是如何實際去創建它們。理想的方法是將每一個工具和相關的權限方案都圍繞著代幣的擁有量來進行。這種方法有幾個優點:首先,它代表了一個單一的權限管理點,這減少了協調的開銷。同時也增加了安全性,因為管理具有不同訪問級別的多個電子郵件為黑客攻擊和社會工程打開了大門。但最重要的是,它可以根據我們的目標指定工作,也就是支持鏈上自我主權身份的實現。現階段完全以Discord為中心的社區正在建立過時的工具。
從Discord開始,讓我們來看看一個可能的設置。使用ColabLand對特定的Discord頻道設置代幣門檻;設置Sobol以反映這些訪問級別。這種間接的代幣門檻并不像直接的錢包整合那樣簡單,但它可以而且已經成功地做到了,并實現了我們的目標。Sobol解決了我們的組織結構圖和可視化成員需求,而Discord解決了我們的溝通渠道需求。幸運的是,我們通過以下兩個工具獲得了直接的錢包集成。
以加密貨幣為中心的項目管理工具,如Clarity和Dework正在興起,而且我相信它們將產生巨大的轟動。最后,我們有Cal.com,它解決了對代幣門檻的調度需求。最近Cal.com還宣布了Web3的整合,它提供了支持我們成員漏斗的額外門檻。這些工具,以這種方式配置,有助于推進自我主權身份的目標和鏈上簡歷的夢想。以這種方式建立的社區為其成員服務,允許他們在Meritverse等網站上展示他們的技能和成就。
一個通用的方法
最后,我想強調的是我剛剛建議的結構是一種方法,而不是社區的確切藍圖或教程。工具和門檻在整體系統保持不變的前提下可能會發生改變。我的目標是展示如何通過采用不同的等級來劃分DAO的社區成員,以及如何用代幣門檻和以代幣為中心的工具來創建這些等級。所有這些工具和方法的共同作用于創造一個統一的貢獻者漏斗。不過,我還是希望上述內容有助于為建設性的對話提供一些參考。有了上述心理模型,我們就可以對數字社區進行推理,并討論其他配置和方法的優勢和劣勢。在未來的論文中,我將進一步詳細探討社區的執行層面,并討論構建團隊的策略,從開源軟件和項目管理的方法中汲取靈感,所有這些的動力都是由Web3工具和協調模式提供的。
特別感謝richiebonilla.eth、Links和bpetes.eth的反饋和編輯。
原文鏈接
2月14日-2月20日一周時間內,明星項目進展中值得關注的事件有:BSC宣布更名為BNBChain;Polkadot開啟第10次平行鏈插槽拍賣;Algorand基金會宣布撥款1000萬美元.
1900/1/1 0:00:00美國最大的銀行摩根大通(JPMorgan)表示,它已成為第一家進入元宇宙的銀行,在基于區塊鏈技術的虛擬世界Decentraland開設了一個休息室.
1900/1/1 0:00:00紅杉資本合伙人Maguire在最近接受采訪時透露出很多有價值的信息。首先,紅杉基金仍然看好加密市場未來前景,而且認為這是一個長達20-30年的大趨勢行情,此時的加密市場處于剛剛開始的第二階段,而.
1900/1/1 0:00:00據TheBlock消息,2月18日,NFT藝術家Pplpleasr在ETHDenver上宣布,她正在幫助推出一個名為Shibuya的去中心化視頻平臺.
1900/1/1 0:00:00Gate.io今日已正式上線SNTR、ADEL、NYZO、CCAR、RICE多個幣種USDT交易對礦池,並開啓新版流動性礦池獎勵.
1900/1/1 0:00:00關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00