我们都知道,加入社区Discord服务器的人不一定就是DAO的成员。而且,不同级别的社区参与者应该有不同的特权和期望,把它们混为一谈是对社区的伤害。有些人加入社区的心态非常随意,而有些人则在希望能在社区寻求全职工作。有些人是为了休闲而加入社区,而其他人则是为了解决去中心化治理的难题。
去中心化自治组织的其它问题来自于错位的财务激励。投资500美元的成员与投资5000美元或15000美元的成员的想法是不同的,他们在社区中承担的责任也是不同的。要求某位社区成员在会议上做记录和管理一个2.5万美元的金库是不同的。即使资金在多人小组中是安全的,但是在后一种情况下,社区还是承担了更大的机会成本风险。在审视DAO的组织结构时,我们需要考虑以下几个问题:社区是否以确定的可用性、责任和期望水平来划分群体?社区是否利用了与这些细分级别相对应的工具和访问权限?不同社区级别的财务收益是否与预期的承诺和责任水平相匹配?如果这些问题的答案都是否定的,那么一个社区将不可避免地遭受挫折、困惑、怨恨和人才流失。每个人的经验和目标,包括DAO本身都会因为所有社区成员都被归入同一个没有区别的篮子里而受到损害。为了解决这些社区成员的细分问题,本文将提出一个由会员级别和门槛组成的社区分级方案,并在此过程中详细说明贡献者漏斗。每个社区成员的级别都与DAO的具体关注点和目的相关,每个门槛都是通往下一级的明确通行证。在描述完社区分级之后,我将描述如何配置可用的工具,使用代币门槛来建立社区的访问级别。第一级:用户
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
社区的第一级成员是用户,它包括任何使用社区产品或服务的人。达到社区的第一级是没有门槛的,而且社区鼓励所有人参与进来。这个级别也包括拥有任何数量社区代币的人。
慢雾:GenomesDAO被黑简析:据慢雾区hacktivist消息,MATIC上@GenomesDAO项目遭受黑客攻击,导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因:
1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制,攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。
2.随后攻击者通过stake函数进行虚假LP代币的抵押操作,以获得大量的LPSTAKING抵押凭证。
3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币,随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。
4.最后将LP发送至DEX中移除流动性获利。
本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]
慢雾:跨链互操作协议Nomad桥攻击事件简析:金色财经消息,据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队分析如下:
1. 在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。
2. 项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。
3. 因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。
综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。[2022/8/2 2:52:59]
第一级该级别是这个分级方案中最大和最无定形的实体,它体现了社区希望更多的人成为用户,并为他们成为真正的社区成员提供可能。在这个级别,一些社区指定的用户会获得Discord的“访客通行证”,而其他社区用户则完全没有Discord的访问权。第二级:社区成员
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
达到社区第一道门槛要求的社区第二级成员:官方社区成员。在分级方案中,用户和社区成员是不一样的。公共用户从社区的产品中受益,而社区成员则影响这些产品和服务的创建和传播。他们是社区的探索者、倡导者和传播者。许多数字社区已经采用这些术语来描述类似的项目。社区成员看好该社区的产品和愿景,并希望做出一定的贡献。他们渴望参与社区活动并与其他成员合作,从而测试和促进社区的新想法和机会。
慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]
第一门槛|第二级在这种协作和创造性的环境中,丰富的社交和教育机会产生了学习和教学的良性循环。社区是人们可以学习和展示所学技能的地方。这一级别的成员是社区文化和“氛围”的主要驱动力,也是下一级别成员的文化基础。社区成员的门槛可以由一个申请和被接受的参与者所需的代币数量组成。FWB和Raidguild是这样做的社区的例子。第三级:贡献者
社区的下一个级别是贡献者。这些人已经超越了单纯的会员资格,他们是社区的生产性资产。因为最接近社区工作的人应该是决定做什么的人,我认为这个级别也属于社区管理的范畴。作为一个社区成员与作为其管理机构的投票成员是不同的,社区对他们的激励、关注和责任是不一样的。代币经济学、愿景和可持续性的问题,对于这个等级的社区成员来说更有意义。这个等级的成员已经显示出对社区的投资,他们的视野也变得更加全面和宏观。
第二门槛|第三级当数字社区采用委托治理模式时,我们部分地考虑到了这种区别,也考虑到了为什么一些社区在成员投票方面会遇到困难,或达不到法定的投票人数要求。这是因为他们没有区分社区成员和负有治理责任的贡献者。考虑到许多DAO在这前三个等级中没有区分代币持有人,这些社区在保留贡献者方面存在实际困难也就不足为奇了。第四级:团队
最后,我们来到了团队,这是社区的执行层面。团队是一个社区的引擎,他们的持续发展将决定一个社区的产品的功效和可持续性。没有他们,DAO就不能产生可持续的收入。社区聚集在成功的产品周围,而充满活力的社区使成功的产品成为可能。这种共生关系是Web3的命脉。
第三门槛|第四级没有稳定性,团队就无法完成交付。因此,社区有必要定义团队成员的资格是什么。短暂的团队成员资格意味着低效,它也是团队成长和成熟的障碍。正如布鲁克斯法则所预言的那样,每一个新出现的人都会抽走时间和注意力,从而阻碍社区势头的发展。我认为,出于这些原因,社区最好也通过持币量作为门槛来限制团队成员。你会注意到,我已经明确指出了团队领导,这是为了支持单点负责的执行方式。这些领导是团队的倡导者、工作流领导、项目经理或DRI。他们本身并不负责,但他们是一个中心和关键的协调点。
Sobol.io把所有这些这些社区成员放在一起,你可以看到我们已经创建了一个实际的社区成员漏斗,而不是一个不相干的团体集合。每一个等级都假设并依赖于之前的等级,唯一的区别是它们的范围不同。从这一点来看,我们可以对我们的社区有一个全面的看法,并且可以在每个层面上应用相关的健康指标。以代币为中心的工具和权限
现在,我们有了我们的等级和门槛的简单概述,问题是如何实际去创建它们。理想的方法是将每一个工具和相关的权限方案都围绕着代币的拥有量来进行。这种方法有几个优点:首先,它代表了一个单一的权限管理点,这减少了协调的开销。同时也增加了安全性,因为管理具有不同访问级别的多个电子邮件为黑客攻击和社会工程打开了大门。但最重要的是,它可以根据我们的目标指定工作,也就是支持链上自我主权身份的实现。现阶段完全以Discord为中心的社区正在建立过时的工具。
从Discord开始,让我们来看看一个可能的设置。使用ColabLand对特定的Discord频道设置代币门槛;设置Sobol以反映这些访问级别。这种间接的代币门槛并不像直接的钱包整合那样简单,但它可以而且已经成功地做到了,并实现了我们的目标。Sobol解决了我们的组织结构图和可视化成员需求,而Discord解决了我们的沟通渠道需求。幸运的是,我们通过以下两个工具获得了直接的钱包集成。以加密货币为中心的项目管理工具,如Clarity和Dework正在兴起,而且我相信它们将产生巨大的轰动。最后,我们有Cal.com,它解决了对代币门槛的调度需求。最近Cal.com还宣布了Web3的整合,它提供了支持我们成员漏斗的额外门槛。这些工具,以这种方式配置,有助于推进自我主权身份的目标和链上简历的梦想。以这种方式建立的社区为其成员服务,允许他们在Meritverse等网站上展示他们的技能和成就。一个通用的方法
最后,我想强调的是我刚刚建议的结构是一种方法,而不是社区的确切蓝图或教程。工具和门槛在整体系统保持不变的前提下可能会发生改变。我的目标是展示如何通过采用不同的等级来划分DAO的社区成员,以及如何用代币门槛和以代币为中心的工具来创建这些等级。所有这些工具和方法的共同作用于创造一个统一的贡献者漏斗。不过,我还是希望上述内容有助于为建设性的对话提供一些参考。有了上述心理模型,我们就可以对数字社区进行推理,并讨论其他配置和方法的优势和劣势。在未来的论文中,我将进一步详细探讨社区的执行层面,并讨论构建团队的策略,从开源软件和项目管理的方法中汲取灵感,所有这些的动力都是由Web3工具和协调模式提供的。特别感谢richiebonilla.eth、Links和bpetes.eth的反馈和编辑。原地址
据慢雾区情报,2022年01月28日,Qubit项目的QBridge遭受攻击,损失约8000万美金。慢雾安全团队进行分析后以简析的形式分享给大家.
1900/1/1 0:00:00L2解决方案将如何影响DAO的可组合性 本系列的第一篇文章——什么是可组合性?-让Web3听起来像是晴空万里,但放大来看,2020年年中,以太坊费用上涨给Web3Legothesis带来了麻烦.
1900/1/1 0:00:00「每周编辑精选」是Odaily星球日报的一档“功能性”栏目。星球日报在每周覆盖大量即时资讯的基础上,也会发布许多优质的深度分析内容,但它们也许会藏在信息流和热点新闻中,与你擦肩而过.
1900/1/1 0:00:00Odaily星球日报译者|Moni 如果说CryptoPunks带动了将NFT作为个人头像的潮流.
1900/1/1 0:00:00人们对以太坊2.0抱着极大期望,但普遍存在误解,认为“以太坊2.0将降低Gas费”。这句话有两处需要解释:首先,2.0的升级是一个长期的过程,预计年内完成的“合并”,并不会降低Gas费,而真正能.
1900/1/1 0:00:00原文标题:《LiquidityMiningIsDead.WhatComesNext?》原文作者:AndrewThurman原文编译:James,链捕手目前看来,流动性挖矿似乎已经油尽灯枯.
1900/1/1 0:00:00