ENS:简析Aave团队打造的web3社交协议 LensProtocol_WEB3

BlockBeats 注：Aave打造的 LensProtocol 社交协议并非一个社交产品，而是协议服务层，帮助开发者在其上构建各类社交产品。目前Web3社交产品虽然给予了用户数据所有权，但仍没有解决用户数据在不同 web3 社交产品中互通性的问题。对此，BuidlerDAO 创始人 Jason Chen 在推特对 LensProtocol 社交协议进行简要分析，  BlockBeats 整理如下：

浅研了一下 LensProtocol, 由 Aave 团队打造的 web3 社交协议，它本身不是一个前端的社交产品，而是一个中后端的协议服务层，开发者基于其提供的 API 可以在上面低成本构建出社交产品，这应该也就是为什么 lens 的 logo-ukjx 是一束花的原因吧，它希望自己成为这片社交花园里的根和土壤，开发者们可以在其之上种出鲜花 。

相信大多数人对于 web3 的主要叙事都在于痛斥 web2 的 facebook、twitter 等公司垄断用户数据权，制造数据孤岛，用户拥有自己的社交数据和关系链也是 web3 原生的重要叙事，于是也冒出了很多号称 web3 twitter 的产品，但到现在为止 web3 的社交产品依然没有出现杀手级应用。

安全团队：Defrost Finance被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Defrost Finance预言机被恶意修改，并且添加了假的抵押token清算当前用户，损失超1300万美元。攻击者通过setOracleAddress函数修改了预言机的地址，随后使用joinAndMint函数铸造了100,000,000个H20代币给0x6f31地址，最后调用liquidate函数通过虚假的价格预言机获取了大量的USDT。后续攻击者通过跨链的方式将被盗资金转移到了以太坊的0x4e22上，目前有490万美元的DAI在0x4e22地址上，有500万美元的DAI在0xfe71地址上，剩余300万美元的ETH被转移到了0x3517地址上。[2022/12/25 22:06:35]

Web3 社交杀手级应用还未出现，我觉得抛开行业成熟度原因主要在于两点 ：

安全公司：AurumNodePool合约遭受漏洞攻击简析:金色财经报道，据区块链安全审计公司Beosin EagleEye监测显示，2022年11月23日，AurumNodePool合约遭受漏洞攻击。

Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证，导致攻击者可以调用该函数进行任意值设置。

攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数，接下来调用claimNodeReward函数提取节点奖励，而节点奖励的计算取决于攻击者设置的rewardPerDay值，导致计算的节点奖励非常高。而在这一笔交易之前，攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR，创建了攻击者的节点记录，从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]

第一，在此之前多数 web3 社交产品依然在走制造数据孤岛的老路。怎么理解呢？基于区块链的社交产品确实可以让用户成为他数据的 owner，但产品数据的边界依然是合约，如果用户使用了 10 个产品，则用户的数据会散落在 10 个独立合约中，且每个产品合约的数据格式和标准都不一样，虽然透明了，但孤岛依然存在。

Beosin：BSC链上的gala.games项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，BSC链上的gala.games项目遭受攻击，Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens（GALA） 代币增发，累计增发55,628,400,000枚pTokens（GALA），攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB，攻击者（0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1）累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。

第一笔攻击交易：0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二笔攻击交易：0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

从而导致用户的社交数据依然无法打通，用户在各个产品中产生的数据虽然属于其自己，因为独立的合约和不一致的数据格式，依然无法「带走」，假设一个产品挂了，那在此之前所产生的社交数据也很难被利用起来，除非其他的产品专门投入资源去做数据同步，所以目前 web3 社交产品只解决了拥有的问题，而非连接。

安全团队：获利约900万美元，Moola协议遭受黑客攻击事件简析:10月19日消息，据Beosin EagleEye Web3安全预警与监控平台监测显示，Celo上的Moola协议遭受攻击，黑客获利约900万美元。Beosin安全团队第一时间对事件进行了分析，结果如下：

第一步：攻击者进行了多笔交易，用CELO买入MOO,攻击者起始资金（182000枚CELO）.

第二步：攻击者使用MOO作为抵押品借出CELO。根据抵押借贷的常见逻辑，攻击者抵押了价值a的MOO，可借出价值b的CELO。

第三步：攻击者用贷出的CELO购买MOO，从而继续提高MOO的价格。每次交换之后，Moo对应CELO的价格变高。

第四步：由于抵押借贷合约在借出时会使用交易对中的实时价格进行判断，导致用户之前的借贷数量，并未达到价值b，所以用户可以继续借出CELO。通过不断重复这个过程，攻击者把MOO的价格从0.02 CELO提高到0.73 CELO。

第五步：攻击者进行了累计4次抵押MOO，10次swap（CELO换MOO），28次借贷，达到获利过程。

本次遭受攻击的抵押借贷实现合约并未开源，根据攻击特征可以猜测攻击属于价格操纵攻击。截止发文时，通过Beosin Trace追踪发现攻击者将约93.1%的所得资金 返还给了Moola Market项目方，将50万CELO 捐给了impact market。自己留下了总计65万个CELO作为赏金。[2022/10/19 17:32:31]

第二，开发一个社交产品的成本也很高。其实这个成本主要还是在中后端，但是中后端的功能确可以被穷举且标准化，不外乎就是点赞、关注、发帖、收藏等功能，而前端业务层看似纷繁复杂也不过就是基于中后端标准功能的组合拼装 。

慢雾：Polkatrain 薅羊毛事故简析:据慢雾区消息，波卡生态IDO平台Polkatrain于今早发生事故，慢雾安全团队第一时间介入分析，并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约，该合约有一个swap函数，并存在一个返佣机制，当用户通过swap函数购买PLOT代币的时候获得一定量的返佣，该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量，也未在返佣的时候判断总返佣金是否用完了，导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型，防止意外情况发生。[2021/4/5 19:46:39]

所以我认为 lens 也是基于这两点认为如果他们再做一个社交产品，也不过就是市面上的 10 个产品变成了 11 个，继续增加孤岛，所以他们把自己向下藏了一层，首先制定了标准，将什么样的行为需要铸造为 NFT，发布的内容需要用什么样的数据格式等问题都标准化，能够保证基于其标准所开发出的产品是不存在孤岛问题。

其次通过阅读其开发者文档会发现 lens 的模块化设计非常充分，将能力拆分的颗粒度很细，尽可能做了解耦，从而便于开发者在上面去灵活的拓展业务逻辑。 

如下图所示，这是 lens 的主合约，可以看到其上面已经产生了 540 万条社交数据，包含了发布、收藏、关注等动作，所以 lens 打造了一个大陆，而不是一个孤岛。 

关于标准，分为接口标准和数据标准，首先说一下接口标准，如下图 1 所示这是 lens 提供的所有一级 API，基本上社交关系的主要能力都包括了，图 2 是单关注这一个能力所拆分出来的二级 API，可见其颗粒度是做的很细的，开发者可以基于这些 API 自由拼装组合。

数据标准则又细分为 NFT 和非 NFT 两类，lens 的核心数据围绕 NFT 展开，首先每个用户需要一个.lens 域名才能拥有个人主页，其他的数据都是挂在这个域名下的，这个域名本身是一个 721 类型的 NFT，从这个角度也算是 DID 的范畴。

除了域名外用户的关注、收藏等动作也会被铸造为 NFT，如图 1 当用户进行关注时，触发了合约的 follow 函数，从所产生的链上数据可以看到 mint 了一个 NFT，如图 2 当取关的话则会将该 NFT 销毁掉 。

社交数据其实是索引关系非常复杂的，lens 的接口对于开发者也非常方便，将链上数据包了一层不需要开发者自己去分析数据，而是如下图为例，如果需要查询某个人的关注者，通过接口可以直接以很清晰的以拉清单的形式将数据获取到并层层下钻。

另外对于 post 内容发布，首先它不是作为 NFT 呈现的，我在此之前还以为用户发的内容都会铸造成 NFT，如图 1 所示就是正常的链上数据写入的过程，这里我还没有理解清楚为什么 lens 不把他们做成 NFT。如图 2 这是 post 的写入数据，包含的数据有挂载在谁身上，挂载的内容是什么，发布内容用 contentURI 一个外链来索引 。

具体内容则是存储在链下的，contentURI 会指向一个存储地址，但是 lens 对于数据的存储格式也是有一套标准规范的，这样就可以达到上文中提到的各产品基于 lens 构建后可以互通的效果，如图 1 为解析出来的一个数据格式，包括名称、内容、类型等。图 2 为枚举的数据格式，图文音视频等都包括，从而结构化内容数据。

以上就是对于 lens 的浅研，不愧是 Aave 出来的，确实对 web3 的原生很透彻，基于 lens 诞生出来 web3 原生 twitter 的可能性还是很大的，也许是研究还不够深，也存一些疑惑，比如个人主页是一个.lens 的 nft 域名，而所有的数据和关系链都挂在上面，但是该 nft 又是可以买卖的，社交关系可以买卖我觉得还是挺奇怪的。    

区块律动BlockBeats

媒体专栏

阅读更多

金色财经

CertiK中文社区

虎嗅科技

web3中文

深潮TechFlow

念青

DeFi之道

CT中文

标签：ENSWEBWEB3NFTSensible Finance[OLD]coinweb交易所web3.0币排行榜SQGL Vault (NFTX)

币赢交易所热门资讯