USD:簡析WEB3的電影代表之作

Web3電影就被虛擬資產圈寄予厚望，由于NFT與文化藝術產品之間天然良好的「適配性」，全行業普遍將其視為打破oldmoney在傳統影視界統治力的利器。2022年在法國里維埃拉舉辦的戛納電影節上，眾多導演、藝術家和影視明星就以Web3為主題討論了影視界的未來。

一、國內WEB3電影代表之作—《勝利》

國內某Web3平臺發布了一部名為《UncleVictory》的Web3上鏈電影。《UncleVictory》實際上就是已經于2014發行的電影《勝利》，只是換了個名字在該平臺發行。這部由張猛編劇、導演的《勝利》是其東北往事三部曲的終結篇，講述了一個東北「大哥」在出獄后試圖贖罪的魔幻現實故事。從該平臺公開的數據顯示，《勝利》通過一種叫「EVT」的與NFT類似的技術在Newton鏈上發行，首期發行300份，于開售40分鐘后售罄。

慢霧：DEUS Finance 二次被黑簡析:據慢霧區情報，DEUS Finance DAO在4月28日遭受閃電貸攻擊，慢霧安全團隊以簡訊的形式將攻擊原理分享如下:

1.攻擊者在攻擊之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。

2.在幾個小時后攻擊者先從多個池子閃電貸借出143200000USDC。

3.隨后攻擊者使用借來的USDC在BaseV1Pair進行了swap操作，兌換出了9547716.9個的DEI，由于DeiLenderSolidex中的getOnChainPrice函數是直接獲取DEI-USDC交易對的代幣余額進行LP價格計算。因此在此次Swap操作中將拉高getOnChainPrice函數獲取的LP價格。

4.在進行Swap操作后，攻擊者在DeiLenderSolidex合約中通過borrow函數進行借貸，由于borrow函數中用isSolvent進行借貸檢查，而在isSolvent是使用了getOnChainPrice函數參與檢查。但在步驟3中getOnChainPrice的結果已經被拉高了。導致攻擊者超額借出更多的DEI。

5.最后著攻擊者在把用借貸出來DEI兌換成USDC歸還從幾個池子借出來的USDC，獲利離場。

針對該事件，慢霧安全團隊給出以下防范建議：本次攻擊的原因主要在于使用了不安全的預言機來計算LP價格，慢霧安全團隊建議可以參考Alpha Finance關于獲取公平LP價格的方法。[2022/4/28 2:37:18]

對于持有《勝利》EVT的用戶來說，平臺承諾享有以下幾項權益：持有期間享有無限次的《勝利》觀影權；電影EVT封面圖的知識產權授權，具體包括復制權、發行權、出租權、展覽權等；售票權，持有者可通過其鏈上拷貝發售《勝利》電影票，獲得收益，該項權利有效期為30年；白名單，獲取空投和平臺其他產品優先購的權利。

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

目前來看，《勝利》尚屬于小規模的實驗性商業項目，這樣一部已經在數年前制作完畢且已經公開發售的小眾電影，持有者們僅能享有為數不多的、受限的權利。但是作為一種實驗性作品，其無疑具有一定的里程碑意義。

慢霧：Avalanche鏈上Zabu Finance被黑簡析:據慢霧區情報，9月12日，Avalanche上Zabu Finance項目遭受閃電貸攻擊，慢霧安全團隊進行分析后以簡訊的形式分享給大家參考：

1.攻擊者首先創建兩個攻擊合約，隨后通過攻擊合約1在Pangolin將WAVAX兌換成SPORE代幣，并將獲得的SPORE代幣抵押至ZABUFarm合約中，為后續獲取ZABU代幣獎勵做準備。

2.攻擊者通過攻擊合約2從Pangolin閃電貸借出SPORE代幣，隨后開始不斷的使用SPORE代幣在ZABUFarm合約中進行`抵押/提現`操作。由于SPORE代幣在轉賬過程中需要收取一定的手續費(SPORE合約收取)，而ZABUFarm合約實際接收到的SPORE代幣數量是小于攻擊者傳入的抵押數量的。分析中我們注意到ZABUFarm合約在用戶抵押時會直接記錄用戶傳入的抵押數量，而不是記錄合約實際收到的代幣數量，但ZABUFarm合約在用戶提現時允許用戶全部提取用戶抵押時合約記錄的抵押數量。這就導致了攻擊者在抵押時ZABUFarm合約實際接收到的SPORE代幣數量小于攻擊者在提現時ZABUFarm合約轉出給攻擊者的代幣數量。

3.攻擊者正是利用了ZABUFarm合約與SPORE代幣兼容性問題導致的記賬缺陷，從而不斷通過`抵押/提現`操作將ZABUFarm合約中的SPORE資金消耗至一個極低的數值。而ZABUFarm合約的抵押獎勵正是通過累積的區塊獎勵除合約中抵押的SPORE代幣總量參與計算的，因此當ZABUFarm合約中的SPORE代幣總量降低到一個極低的數值時無疑會計算出一個極大的獎勵數值。

4.攻擊者通過先前已在ZABUFarm中有進行抵押的攻擊合約1獲取了大量的ZABU代幣獎勵，隨后便對ZABU代幣進行了拋售。

此次攻擊是由于ZabuFinance的抵押模型與SPORE代幣不兼容導致的，此類問題導致的攻擊已經發生的多起，慢霧安全團隊建議：項目抵押模型在對接通縮型代幣時應記錄用戶在轉賬前后合約實際的代幣變化，而不是依賴于用戶傳入的抵押代幣數量。[2021/9/12 23:19:21]

二、國外WEB3電影代表之作—《白兔》

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

電影《白兔》由Shibuya公司立項制作的Web3互動電影。Shibuya原意為「澀谷」，本是位于日本東京某著名商圈，是日本最聲名顯赫的流行文化發源地，也是日本文化和思想碰撞最激烈的地方之一。

Shibuya已經在2022年末，獲得了690萬美元的融資，由著名Web3投行a16z與Variant領投，Shibuya的愿景是創造一個去中心化的好萊塢，這只名為《白兔》的影片就是Shibuya發行的第一支流媒體作品，。

《白兔》項目具有一個較為簡單的代幣經濟系統：由Producerpass和$WRAB構成。Producerpass即制作人通行證，是一種使用ERC-1155技術制作的NFT，是用戶參與創意決策、電影制作的必備工具。用戶通過將自己持有的Producerpass質押在Shibuya鏈上協議后，就可在每章節結尾投票決定電影劇情走向。Shibuya官方以0.08ETH的價格分別發售了5000枚、5500枚和2800枚的第一、二、三章節的Producerpass。并通過Telegram保證成員討論電影走向以確保不泄露電影內容。

而$WRAB則是一種基于ERC-20技術的虛擬貨幣，也是該項目的治理代幣，代表了用戶對視頻內容的所有權。當影片制作完畢后，項目方會將其鑄造為NFT，所有權將歸屬于持有$WRAB代幣的成員。當然，$WRAB代幣與ProducerPass聯系緊密，用戶質押ProducerPass之后將會獲得$WRAB空投。用戶質押得越早，空投的$WRAB越多。在分潤方面，根據該項目白皮書顯示，最終50%的$WRAB會被分配給ProducerPass持有者，40%分配給藝術家和創作者，5%分給平臺，5%分給項目方團隊。

通過該代幣經濟系統，電影《白兔》成功完成了融資、制作、發行和利益分配的全過程，是目前國外最為成熟且具有可行性的Web3電影案例。

三、結語

Web3電影目前依然處于萌芽階段，目前眾多項目依然處于試驗階段，由于我國一直以來對影視作品采取較為嚴格的審核和監管制度，Web3電影雖然具有光明的前景，但想要在我國實際落地還需要很長時間的探索，并不是能一蹴而就的事情。

在2021年十部委發布9.24通知后，《白兔》這樣涉及虛擬貨幣融資的玩法在我國已經不可能實現，但這種商業模式卻可以通過NFT等工具變相實現。

當然，由于我國對虛擬資產特殊的監管規范和對金融領域的強監管政策，在整個探索的過程中我們不能照搬國外項目的經驗，建議在具體實施項目前尋求專業律師的法律意見，避免踏足法律紅線引發刑事風險。

Tags：USDABUANCSDCOUSDGaburFINANCEAI幣CUSDC幣

Bitcoin