簡析Aave團隊打造的web3社交協議 LensProtocol_ENS:VIZSLASWAP

BlockBeats 注：Aave打造的 LensProtocol 社交協議并非一個社交產品，而是協議服務層，幫助開發者在其上構建各類社交產品。目前Web3社交產品雖然給予了用戶數據所有權，但仍沒有解決用戶數據在不同 web3 社交產品中互通性的問題。對此，BuidlerDAO 創始人 Jason Chen 在推特對 LensProtocol 社交協議進行簡要分析，  BlockBeats 整理如下：

淺研了一下 LensProtocol, 由 Aave 團隊打造的 web3 社交協議，它本身不是一個前端的社交產品，而是一個中后端的協議服務層，開發者基于其提供的 API 可以在上面低成本構建出社交產品，這應該也就是為什么 lens 的 logo-ozvx 是一束花的原因吧，它希望自己成為這片社交花園里的根和土壤，開發者們可以在其之上種出鮮花 。

相信大多數人對于 web3 的主要敘事都在于痛斥 web2 的 facebook、twitter 等公司壟斷用戶數據權，制造數據孤島，用戶擁有自己的社交數據和關系鏈也是 web3 原生的重要敘事，于是也冒出了很多號稱 web3 twitter 的產品，但到現在為止 web3 的社交產品依然沒有出現殺手級應用。

Beosin：BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，BSC鏈上的gala.games項目遭受攻擊，Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens（GALA） 代幣增發，累計增發55,628,400,000枚pTokens（GALA），攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB，攻擊者（0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1）累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。

第一筆攻擊交易：0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二筆攻擊交易：0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

Web3 社交殺手級應用還未出現，我覺得拋開行業成熟度原因主要在于兩點 ：

Beosin：Skyward Finance項目遭受攻擊事件簡析:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Near鏈上的Skyward Finance項目遭受漏洞攻擊，Beosin分析發現由于skyward.near合約的redeem_skyward函數沒有正確校驗token_account_ids參數，導致攻擊者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39傳入相同的token_account_id，并多次領取了WNear獎勵。本次攻擊導致項目損失了約108萬個Near，約320萬美元。Beosin Trace追蹤發現被盜金額已被攻擊者轉走。[2022/11/3 12:12:36]

第一，在此之前多數 web3 社交產品依然在走制造數據孤島的老路。怎么理解呢？基于區塊鏈的社交產品確實可以讓用戶成為他數據的 owner，但產品數據的邊界依然是合約，如果用戶使用了 10 個產品，則用戶的數據會散落在 10 個獨立合約中，且每個產品合約的數據格式和標準都不一樣，雖然透明了，但孤島依然存在。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

從而導致用戶的社交數據依然無法打通，用戶在各個產品中產生的數據雖然屬于其自己，因為獨立的合約和不一致的數據格式，依然無法「帶走」，假設一個產品掛了，那在此之前所產生的社交數據也很難被利用起來，除非其他的產品專門投入資源去做數據同步，所以目前 web3 社交產品只解決了擁有的問題，而非連接。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

第二，開發一個社交產品的成本也很高。其實這個成本主要還是在中后端，但是中后端的功能確可以被窮舉且標準化，不外乎就是點贊、關注、發帖、收藏等功能，而前端業務層看似紛繁復雜也不過就是基于中后端標準功能的組合拼裝 。

慢霧：Polkatrain 薅羊毛事故簡析:據慢霧區消息，波卡生態IDO平臺Polkatrain于今早發生事故，慢霧安全團隊第一時間介入分析，并定位到了具體問題。本次出現問題的合約為Polkatrain項目的POLT_LBP合約，該合約有一個swap函數，并存在一個返傭機制，當用戶通過swap函數購買PLOT代幣的時候獲得一定量的返傭，該筆返傭會通過合約里的_update函數調用transferFrom的形式轉發送給用戶。由于_update函數沒有設置一個池子的最多的返傭數量，也未在返傭的時候判斷總返傭金是否用完了，導致惡意的套利者可通過不斷調用swap函數進行代幣兌換來薅取合約的返傭獎勵。慢霧安全團隊提醒DApp項目方在設計AMM兌換機制的時候需充分考慮項目的業務場景及其經濟模型，防止意外情況發生。[2021/4/5 19:46:39]

所以我認為 lens 也是基于這兩點認為如果他們再做一個社交產品，也不過就是市面上的 10 個產品變成了 11 個，繼續增加孤島，所以他們把自己向下藏了一層，首先制定了標準，將什么樣的行為需要鑄造為 NFT，發布的內容需要用什么樣的數據格式等問題都標準化，能夠保證基于其標準所開發出的產品是不存在孤島問題。

其次通過閱讀其開發者文檔會發現 lens 的模塊化設計非常充分，將能力拆分的顆粒度很細，盡可能做了解耦，從而便于開發者在上面去靈活的拓展業務邏輯。 

如下圖所示，這是 lens 的主合約，可以看到其上面已經產生了 540 萬條社交數據，包含了發布、收藏、關注等動作，所以 lens 打造了一個大陸，而不是一個孤島。 

關于標準，分為接口標準和數據標準，首先說一下接口標準，如下圖 1 所示這是 lens 提供的所有一級 API，基本上社交關系的主要能力都包括了，圖 2 是單關注這一個能力所拆分出來的二級 API，可見其顆粒度是做的很細的，開發者可以基于這些 API 自由拼裝組合。

數據標準則又細分為 NFT 和非 NFT 兩類，lens 的核心數據圍繞 NFT 展開，首先每個用戶需要一個.lens 域名才能擁有個人主頁，其他的數據都是掛在這個域名下的，這個域名本身是一個 721 類型的 NFT，從這個角度也算是 DID 的范疇。

除了域名外用戶的關注、收藏等動作也會被鑄造為 NFT，如圖 1 當用戶進行關注時，觸發了合約的 follow 函數，從所產生的鏈上數據可以看到 mint 了一個 NFT，如圖 2 當取關的話則會將該 NFT 銷毀掉 。

社交數據其實是索引關系非常復雜的，lens 的接口對于開發者也非常方便，將鏈上數據包了一層不需要開發者自己去分析數據，而是如下圖為例，如果需要查詢某個人的關注者，通過接口可以直接以很清晰的以拉清單的形式將數據獲取到并層層下鉆。

另外對于 post 內容發布，首先它不是作為 NFT 呈現的，我在此之前還以為用戶發的內容都會鑄造成 NFT，如圖 1 所示就是正常的鏈上數據寫入的過程，這里我還沒有理解清楚為什么 lens 不把他們做成 NFT。如圖 2 這是 post 的寫入數據，包含的數據有掛載在誰身上，掛載的內容是什么，發布內容用 contentURI 一個外鏈來索引 。

具體內容則是存儲在鏈下的，contentURI 會指向一個存儲地址，但是 lens 對于數據的存儲格式也是有一套標準規范的，這樣就可以達到上文中提到的各產品基于 lens 構建后可以互通的效果，如圖 1 為解析出來的一個數據格式，包括名稱、內容、類型等。圖 2 為枚舉的數據格式，圖文音視頻等都包括，從而結構化內容數據。

以上就是對于 lens 的淺研，不愧是 Aave 出來的，確實對 web3 的原生很透徹，基于 lens 誕生出來 web3 原生 twitter 的可能性還是很大的，也許是研究還不夠深，也存一些疑惑，比如個人主頁是一個.lens 的 nft 域名，而所有的數據和關系鏈都掛在上面，但是該 nft 又是可以買賣的，社交關系可以買賣我覺得還是挺奇怪的。    

區塊律動BlockBeats

媒體專欄

閱讀更多

金色財經

CertiK中文社區

虎嗅科技

web3中文

深潮TechFlow

念青

DeFi之道

CT中文

Tags：ENSSWAPWEBNFTEOS Se7ensVIZSLASWAPweb3.0幣狗狗幣NFT Global

KuCoin