SWAP:簡析DAO的貢獻者漏斗模型：如何對成員進行等級劃分？

原文作者：0xJustice.eth

原文編譯：CaptainHiro，DeFi之道

我們都知道，加入社區Discord服務器的人不一定就是DAO的成員。而且，不同級別的社區參與者應該有不同的特權和期望，把它們混為一談是對社區的傷害。有些人加入社區的心態非常隨意，而有些人則在希望能在社區尋求全職工作。有些人是為了休閑而加入社區，而其他人則是為了解決去中心化治理的難題。

去中心化自治組織的其它問題來自于錯位的財務激勵。投資500美元的成員與投資5000美元或15000美元的成員的想法是不同的，他們在社區中承擔的責任也是不同的。要求某位社區成員在會議上做記錄和管理一個2.5萬美元的金庫是不同的。即使資金在多人小組中是安全的，但是在后一種情況下，社區還是承擔了更大的機會成本風險。在審視DAO的組織結構時，我們需要考慮以下幾個問題：

安全團隊：獲利約900萬美元，Moola協議遭受黑客攻擊事件簡析:10月19日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Celo上的Moola協議遭受攻擊，黑客獲利約900萬美元。Beosin安全團隊第一時間對事件進行了分析，結果如下：

第一步：攻擊者進行了多筆交易，用CELO買入MOO,攻擊者起始資金（182000枚CELO）.

第二步：攻擊者使用MOO作為抵押品借出CELO。根據抵押借貸的常見邏輯，攻擊者抵押了價值a的MOO，可借出價值b的CELO。

第三步：攻擊者用貸出的CELO購買MOO，從而繼續提高MOO的價格。每次交換之后，Moo對應CELO的價格變高。

第四步：由于抵押借貸合約在借出時會使用交易對中的實時價格進行判斷，導致用戶之前的借貸數量，并未達到價值b，所以用戶可以繼續借出CELO。通過不斷重復這個過程，攻擊者把MOO的價格從0.02 CELO提高到0.73 CELO。

第五步：攻擊者進行了累計4次抵押MOO，10次swap（CELO換MOO），28次借貸，達到獲利過程。

本次遭受攻擊的抵押借貸實現合約并未開源，根據攻擊特征可以猜測攻擊屬于價格操縱攻擊。截止發文時，通過Beosin Trace追蹤發現攻擊者將約93.1%的所得資金 返還給了Moola Market項目方，將50萬CELO 捐給了impact market。自己留下了總計65萬個CELO作為賞金。[2022/10/19 17:32:31]

社區是否以確定的可用性、責任和期望水平來劃分群體？

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

社區是否利用了與這些細分級別相對應的工具和訪問權限？

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

不同社區級別的財務收益是否與預期的承諾和責任水平相匹配？

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

如果這些問題的答案都是否定的，那么一個社區將不可避免地遭受挫折、困惑、怨恨和人才流失。每個人的經驗和目標，包括DAO本身都會因為所有社區成員都被歸入同一個沒有區別的籃子里而受到損害。

Harvest.Finance被黑事件簡析:10月26號，據慢霧區消息 Harvest Finance 項目遭受閃電貸攻擊，損失超過 400 萬美元。以下為慢霧安全團隊對此事件的簡要分析。

1. 攻擊者通過 Tornado.cash 轉入 20ETH 作為后續攻擊手續費；

2. 攻擊者通過 UniswapV2 閃電貸借出巨額 USDC 與 USDT；

3. 攻擊者先通過 Curve 的 exchange_underlying 函數將 USDT 換成 USDC，此時 Curve yUSDC 池中的 investedUnderlyingBalance 將相對應的變小；

4. 隨后攻擊者通過 Harvest 的 deposit 將巨額 USDC 充值進 Vault 中，充值的同時 Harvest 的 Vault 將鑄出 fUSDC，而鑄出的數量計算方式如下：

amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());

計算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值，由于 Curve 中 investedUnderlyingBalance 的變化將導致 Vault 鑄出更多的 fUSDC；

5. 之后再通過 Curve 把 USDC 換成 USDT 將失衡的價格拉回正常；

6. 最后只需要把 fUSDC 歸還給 Vault 即可獲得比充值時更多的 USDC；

7. 隨后攻擊者開始重復此過程持續獲利；

其他攻擊流程與上訴分析過程類似。參考交易哈希：0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。

此次攻擊主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在鑄幣時采用的是 Curve y池中的報價(即使用 Curve 作為喂價來源)，導致攻擊者可以通過巨額兌換操控預言機的價格來控制 Harvest Finance 中 fToken 的鑄幣數量，從而使攻擊者有利可圖。[2020/10/26]

為了解決這些社區成員的細分問題，本文將提出一個由會員級別和門檻組成的社區分級方案，并在此過程中詳細說明貢獻者漏斗。每個社區成員的級別都與DAO的具體關注點和目的相關，每個門檻都是通往下一級的明確通行證。在描述完社區分級之后，我將描述如何配置可用的工具，使用代幣門檻來建立社區的訪問級別。

第一級：用戶

社區的第一級成員是用戶，它包括任何使用社區產品或服務的人。達到社區的第一級是沒有門檻的，而且社區鼓勵所有人參與進來。這個級別也包括擁有任何數量社區代幣的人。

第一級

該級別是這個分級方案中最大和最無定形的實體，它體現了社區希望更多的人成為用戶，并為他們成為真正的社區成員提供可能。在這個級別，一些社區指定的用戶會獲得Discord的“訪客通行證”，而其他社區用戶則完全沒有Discord的訪問權。

第二級：社區成員

達到社區第一道門檻要求的社區第二級成員：官方社區成員。在分級方案中，用戶和社區成員是不一樣的。公共用戶從社區的產品中受益，而社區成員則影響這些產品和服務的創建和傳播。他們是社區的探索者、倡導者和傳播者。許多數字社區已經采用這些術語來描述類似的項目。社區成員看好該社區的產品和愿景，并希望做出一定的貢獻。他們渴望參與社區活動并與其他成員合作，從而測試和促進社區的新想法和機會。

第一門檻|第二級

在這種協作和創造性的環境中，豐富的社交和教育機會產生了學習和教學的良性循環。社區是人們可以學習和展示所學技能的地方。這一級別的成員是社區文化和“氛圍”的主要驅動力，也是下一級別成員的文化基礎。社區成員的門檻可以由一個申請和被接受的參與者所需的代幣數量組成。FWB和Raidguild是這樣做的社區的例子。

第三級：貢獻者

社區的下一個級別是貢獻者。這些人已經超越了單純的會員資格，他們是社區的生產性資產。因為最接近社區工作的人應該是決定做什么的人，我認為這個級別也屬于社區管理的范疇。作為一個社區成員與作為其管理機構的投票成員是不同的，社區對他們的激勵、關注和責任是不一樣的。代幣經濟學、愿景和可持續性的問題，對于這個等級的社區成員來說更有意義。這個等級的成員已經顯示出對社區的投資，他們的視野也變得更加全面和宏觀。

第二門檻|第三級

當數字社區采用委托治理模式時，我們部分地考慮到了這種區別，也考慮到了為什么一些社區在成員投票方面會遇到困難，或達不到法定的投票人數要求。這是因為他們沒有區分社區成員和負有治理責任的貢獻者。考慮到許多DAO在這前三個等級中沒有區分代幣持有人，這些社區在保留貢獻者方面存在實際困難也就不足為奇了。

第四級：團隊

最后，我們來到了團隊，這是社區的執行層面。團隊是一個社區的引擎，他們的持續發展將決定一個社區的產品的功效和可持續性。沒有他們，DAO就不能產生可持續的收入。社區聚集在成功的產品周圍，而充滿活力的社區使成功的產品成為可能。這種共生關系是Web3的命脈。

Sobol.io

把所有這些這些社區成員放在一起，你可以看到我們已經創建了一個實際的社區成員漏斗，而不是一個不相干的團體集合。每一個等級都假設并依賴于之前的等級，唯一的區別是它們的范圍不同。從這一點來看，我們可以對我們的社區有一個全面的看法，并且可以在每個層面上應用相關的健康指標。

以代幣為中心的工具和權限

現在，我們有了我們的等級和門檻的簡單概述，問題是如何實際去創建它們。理想的方法是將每一個工具和相關的權限方案都圍繞著代幣的擁有量來進行。這種方法有幾個優點：首先，它代表了一個單一的權限管理點，這減少了協調的開銷。同時也增加了安全性，因為管理具有不同訪問級別的多個電子郵件為黑客攻擊和社會工程打開了大門。但最重要的是，它可以根據我們的目標指定工作，也就是支持鏈上自我主權身份的實現。現階段完全以Discord為中心的社區正在建立過時的工具。

從Discord開始，讓我們來看看一個可能的設置。使用ColabLand對特定的Discord頻道設置代幣門檻；設置Sobol以反映這些訪問級別。這種間接的代幣門檻并不像直接的錢包整合那樣簡單，但它可以而且已經成功地做到了，并實現了我們的目標。Sobol解決了我們的組織結構圖和可視化成員需求，而Discord解決了我們的溝通渠道需求。幸運的是，我們通過以下兩個工具獲得了直接的錢包集成。

以加密貨幣為中心的項目管理工具，如Clarity和Dework正在興起，而且我相信它們將產生巨大的轟動。最后，我們有Cal.com，它解決了對代幣門檻的調度需求。最近Cal.com還宣布了Web3的整合，它提供了支持我們成員漏斗的額外門檻。這些工具，以這種方式配置，有助于推進自我主權身份的目標和鏈上簡歷的夢想。以這種方式建立的社區為其成員服務，允許他們在Meritverse等網站上展示他們的技能和成就。

一個通用的方法

最后，我想強調的是我剛剛建議的結構是一種方法，而不是社區的確切藍圖或教程。工具和門檻在整體系統保持不變的前提下可能會發生改變。我的目標是展示如何通過采用不同的等級來劃分DAO的社區成員，以及如何用代幣門檻和以代幣為中心的工具來創建這些等級。所有這些工具和方法的共同作用于創造一個統一的貢獻者漏斗。不過，我還是希望上述內容有助于為建設性的對話提供一些參考。有了上述心理模型，我們就可以對數字社區進行推理，并討論其他配置和方法的優勢和劣勢。在未來的論文中，我將進一步詳細探討社區的執行層面，并討論構建團隊的策略，從開源軟件和項目管理的方法中汲取靈感，所有這些的動力都是由Web3工具和協調模式提供的。

特別感謝richiebonilla.eth、Links和bpetes.eth的反饋和編輯。

原文鏈接

Tags：SWAPUSDCELCELOPSWAP價格IUSD價格celo幣價格預測WCELO幣

火幣下載