FOR:简析 Gamfi 下一步趋势：是否走进死胡同？_GAM

趋势系列的最后一篇，关于Gamfi的，说实话这篇很纠结，因为我自己都没有完全看到或者说想清楚Gamfi的下一步趋势在哪。

先说说目前的状态

首先X2Earn基本上走到了一个死胡同，这种庞氏模型开始启动是很有优势，然后指数增长到一个瓶颈期便开始陷入困境，和最早流动性挖k通过高APY吸引用户进来挖k的曲线非常像，只是因为披着一层Gamfi的外衣，所以时间线可以拉长很多，但其本质内核依旧是一个Defi。

有人说引入外部收入就好啊，有些Defi项目本身有收入，就可以打破这个Ponzi的模式-Curve。Gamfi没法像Defi项目那样赚钱，但是可以通过类似Socialfi的方式引入外部世界，比如有人说Stepn可以和星巴克合作弄一个跑步，沿途经过星巴克必须在那里那个卡之类，费就可以作为外部收入打破Ponzi。

慢雾：Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息，Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析，攻击者（0x0d0...D00）获利超 1 亿美元，包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD，在以太坊链攻击者将大部分代币转移到两个新钱包地址，并将代币兑换为 ETH，接着将 ETH 均转回初始地址（0x0d0...D00），目前地址（0x0d0...D00）约 85,837 ETH 暂无转移，同时，攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]

这个思路是没毛病的，然而依旧解决不了根本问题，原因就在于，Defi里面不是每个人都去挖k赚钱的，是那些提供流动性，承担无常损失和被黑风险的LP在赚钱而已，而Gamfi的X2Earn，每个人都在赚钱，这个世界不存在这么好的“永动机”。

慢雾：DEUS Finance 二次被黑简析:据慢雾区情报，DEUS Finance DAO在4月28日遭受闪电贷攻击，慢雾安全团队以简讯的形式将攻击原理分享如下:

1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。

3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作，兑换出了9547716.9个的DEI，由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。

4.在进行Swap操作后，攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷，由于borrow函数中用isSolvent进行借贷检查，而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。

5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC，获利离场。

针对该事件，慢雾安全团队给出以下防范建议：本次攻击的原因主要在于使用了不安全的预言机来计算LP价格，慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]

举个极端情况下的例子，我们假设Stepn做大做强到了facebook的体量，30亿用户，然后你会发现一个很恐怖的事情，哪怕平均每人跑出来的GST只有一美元，每天也是30亿美元的抛压，一年是1万亿美元，然后升级跑鞋宝石之类的消耗的算一半，还是有5000亿美元……

Grim Finance 被黑简析：攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报，2021 年 12 月 19 日，Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币，并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。

2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作，而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中，depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币，本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。

3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性，攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时，恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押，此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。

4. 由于攻击者对 GrimBoostVault 合约重入了多次，因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。

此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁，导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议：对于用户传入的参数应检查其是否符合预期，对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]

Facebook去年的费收入是多少呢？800亿美元。

慢雾：BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报，币安智能链项目 Value DeFi 的 vSwap 模块被黑，慢雾安全团队第一时间介入分析，并将结果以简讯的形式分享，供大家参考：

1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币；

2. 攻击者在兑换的同时也进行闪电贷操作，因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者；

3. 而在完成整个兑换流程并更新池子中代币数量前，会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期；

4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70，因此将会采用第二种算法对池子中的代币数量进行检查；

5. 而漏洞的关键点就在于采用第二种算法进行检查时，可以通过特殊构造的数据来使检查通过；

6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的；

7. 在通过对此算法进行具体分析调试后我们可以发现，在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时，池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围，在此范围内此算法检查都将通过；

8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时，将池子中的大量 WBNB 代币通过闪电贷的方式借出，由于算法问题，在不归还闪电贷的情况下仍可以通过 vSwap 的检查；

9. 攻击者只需要在所有的 vSwap 池子中，不断的重复此过程，即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]

也就是说Stepn到这个量级后，盈利能力得达到Facebook的6-7倍才能维持让每个用户每天有1美元的收入。这显然不现实。所以每天0.1美元？

扪心自问，你会为了每天0.1美元的收入去下一个App然后跑步么？哪怕是跑步时候顺道开下App，也不makeSense。那么出路在哪？

目前看到的观点和趋势是下面这么两个

1.偏向传统-Free2play，playforFunandSkill2Earn

简单来说，就是更贴进传统，让每个人免费参与，然后赚钱的部分变成“只有部分玩家赚钱”。

筛选的方式，则是玩家的Skill，人物级别，投入的时间精力，对游戏的理解等等等等，说白了就是牛逼的玩家能赚钱。

那剩下的人怎么办？自然就是Playforfun啊。

然后问题来了，Steam上每年发售上万款游戏，如果是为了ForFun，我去Steam玩不香么？为什么要来Web3来玩Gamfi？至少就目前来看，Gamfi整体在ForFun这个层面，和Web2的游戏差的不是一点半点。

没有高度可玩性，就不会有数量众多的玩家PlayforFun，没有足够多的玩家就不会有氪金大佬，没有氪金大佬那些牛逼的玩家就没得SkilltoEarn……这是个飞轮，做的好的游戏像是魔兽世界，梦幻西游，不需要Web3一样实现了Skill2Earn。所以这条路是个方向，但不知道什么时候Gamfi的制作和可玩性能够像传统游戏靠齐，就目前来看，还离得很远……

2.区块链原生-CryptoNative

刻舟求剑一下你就会发现长远来看，总是原生的东西更有生命力。比如刚有了互联网，大家不看报纸了上互联网来看新闻，这不是原生，是“网改”，真正牛逼的是Google，油管，抖音，Wechat……

刚有NFT那会，我们想的是把名画做成NFT，然后把画烧了，后来发现其实应该反着来，原生的Punk猴子火了，线下实体开始对接了。

按着这个思路，上面的1思路更像是传统游戏的链改，币改，没有发挥区块链真正的原生特性。那按照区块链原生特型做出来的Gamfi应该是个什么样子？Fomo3D就是个很好的例子，虽然很简陋，虽然偏菠菜。

后来的狼羊，黑暗森林这些，也都是带有非常“原生”导向的元素，因为整个游戏的核心逻辑都在链上，都是靠智能合约完成，而不是在链下服务器，所以未来在开放架构，自主存续和可组合性上都很有优势。

然而这种模式问题也很大，最直接的问题就是门槛太高，如果Axie是Dota，Stepn是农药，狼羊与黑暗森林就是《文明》系列，往往叫好不叫座，受众面很窄，硬核玩家专属。

所以你问我出路在哪，趋势在哪，我真的不知道，目前有看到像是《BigTime》这种在1方向探索的，也有Isaac这种在2方向尝试的，上面我说的问题是否能克服，过段时间相信市场会告诉我们答案。

我一直相信Gamfi是个大趋势，因为没有比游戏更能打开市场贴近所有人的方式了。但当前的我真的一脸懵逼，我只知道Gamfi2.0不会是不该是什么样子，却不知道他应该或是最终是个什么样子……

标签：FORSWAPMFIGAMColor PlatformSudoswapmfi币多少钱一个VisionGame

酷币交易所热门资讯