PartyBid众筹存在“女巫攻击”风险,NFT碎片化协议应当如何应对?

【DeBox研究院】 | 作者:Crypto Ming;Huige;Ivan | 撰稿日期:09月05日

摘要:

  • 利用PartyBid众筹购买NFT的底层协议是NFT碎片化,即将一个完整的NFT分割为任意数量的等份,持有这些等份就等于持有该NFT的一部分。目前NFT碎片化市场的龙头是Tessera(原名Fractional),PartyBid和Tessera也分别获得了A16z和Paradigm领投的大额融资。

  • 从Dune的链上数据来看,PartyBid和Tessera的活跃度呈较强的正相关,当NFT市场热度下降时,PartyBid和Tessera的活跃度反而呈上升趋势,说明熊市NFT的流动性可能主要由一些底层协议提供,类似NFT碎片化的模式正在被用户认可

  • PartyBid众筹买入NFT和Tessera竞拍卖出NFT可以很好的实现NFT的流动,这个过程是通过DAO实现的。但是其过程容易受到“女巫攻击”,女巫可以通过持有总数量达到50%以上NFT碎片化Token,以获取优势投票权,然后操纵NFT拍卖,而参与众筹的成员只能赎回部分参与众筹的资金。

  • 尽管目前没有成熟可用的DID系统帮助识别用户身份,但是具体到PartyBid和Tessera项目上,可用通过一些链上标签的方式(链上数据看板)和绑定社交媒体(Twitter等)的方式帮助用户去识别可能存在的女巫攻击风险

一、NFT碎片化-众筹购买NFT的底层协议

你想拥有BAYC,Doodles,Azuki这些蓝筹NFT吗?不要80ETH,也不要10ETH,只需要在PartyBid上花0.01ETH参与众筹就能让你成为蓝筹NFT的Holders之一,听起来是不是很Cool?这得益于NFT碎片化-NFT主流的流动性协议之一。

我们都知道NFT的非同质化特性会导致其流动性很差,你只能以整个NFT为单位进行买卖交易,而且你要想卖出去,必须要有人买入或者出Offer才行,否则只能一直挂单,无法卖出。NFT市场也在逐步探索如何提升NFT的流动性,目前常见有NFT租赁,NFT借贷,NFT碎片化,NFT-Fi等多种流动性协议。

表1 NFT流动性协议项目概览
表1 NFT流动性协议项目概览

在众多NFT流动性协议中,能否让NFT像FT(同质化代币)那样,只交易一部分,而且可以随时买卖呢?特别是对于地板价超高的蓝筹NFT,动辄几十上百个ETH的地板价,你可以购买0.1个BTC,但是你如何购买0.1个Cryptopunks呢?NFT碎片化协议给出了答案。

图1 NFT碎片化概念图
图1 NFT碎片化概念图

从表面上看,NFT碎片化就是将一个完整的NFT分割为任意数量的等份,持有这些等份就等于持有这个NFT的一部分。

从合技术上来看,NFT碎片化实际是将NFT转入到一个新建的保险库合约中,同时创建任意数量的ERC20-Token,这些Token可以被分发到任意地址,也可以用来做市(AMM),而Token持有者就拥有对保险库合约中的资产活动进行投票执行的权利,Token持有数量越大,则投票权重越高。

目前,NFT市场主流的NFT碎片化协议应用有Tessera、Unicly、NFT20、ShardingDAO、PartyBid。其中Tessera(原名Fractional)是NFT碎片化协议的龙头,狗狗币(Doge Coin)的原版柴犬The Doge NFT就是在Tessera进行碎片化的,该NFT被碎片化成了16,969,696,969个DOG Token,目前共有9451个持有者或者说是The Doge NFT的拥有者。Tessera已获得Paradigm领投的2000万美元的融资。

图2 The Doge NFT
图2 The Doge NFT

PartyBid是由PartyDAO推出的一款通过用户众筹资金,形成DAO的方式去竞拍NFT的产品。PartyDAO是真正DAO驱动的社区,成员包括Paradigm的研究合伙人Dave White,Mirror的创始人Denis Nazarov等Web3.0行业顶级大佬;目前,PartyDAO公布了他们拿到A16z领投的1640万美金融资,估值两亿美金,这是迄今为止社区驱动类DAO的最高估值。

图3 PartyDAO的成立
图3 PartyDAO的成立

二、Tessera和PartyBid的数据关联性

本文主要讨论Tessera和PartyBid这两个项目,我们可以通过Dune的数据看板来了解一下PartyBid和Tessera的活跃度。

图4 Opensea,PartyBid,Tessera(Fractional)活跃数据看板
图4 Opensea,PartyBid,Tessera(Fractional)活跃数据看板

Opensea是NFT的主要交易市场,Opensea的交易量也代表对应时期的NFT市场热度。从链上数据来看,PartyBid和Tessera的活跃度与Opensea反应的市场热度呈现负相关的关系,当2022年6月至今,NFT市场热度严重下降,而PartyBid和Tessera的活跃度反而呈上升趋势,说明熊市NFT的流动性可能主要由一些NFT流动性协议提供,类似NFT碎片化的模式正在被用户认可,当然,也可能和项目融资有关系,PartyBid在6月份公布的融资,Tessera在8月份公布的融资。另外PartyBid和Tessera的活跃度也呈明显的正相关,也说明两个项目在链上活动联系密切,比如PartyBid众筹买入NFT后,可以通过Tessera竞拍卖出NFT。

三、如何实现NFT流动?PartyBid众筹买入NFT和Tessera竞拍卖出NFT

在Tessera进行NFT碎片化,可以理解为你想将你持有的蓝筹NFT一点一点的卖出去,然而大部分人是没有BAYC或者PUNK这些蓝筹NFT的,普通用户仅仅去碎片化一些低价值NFT是没有意义的,因为你无法将你的碎片化token发送或者卖出去,除非你拥有The Doge NFT。那么普通用户如何拥有一个蓝筹NFT呢?

PartyBid平台可以让散户发起和参与众筹买入NFT,成功后合约进行NFT碎片化,参与者此时就持有蓝筹NFT的一部分。持有者可以通过建立流动性的方式对持有的NFT碎片化Token进行买卖,当然也可以号召成员以DAO竞拍方式卖出该NFT

在上面的描述中,我们可以看到一个广泛应用的实例, 在PartyBid众筹买入NFT,然后在Tessera卖出该NFT,这样实现了DAO在执行NFT市场买卖活动的全过程应用实例,完美实现了NFT的流动 。因此,可以说PartyBid和Tessera是相辅相成的。

图5 PartyBid众筹和Tessera竞拍全流程一览图
图5 PartyBid众筹和Tessera竞拍全流程一览图

四、女巫攻击DAO实例

目前推特上很多KOL都在通过PartyBid发起众筹,尝试购买一些蓝筹NFT,例如Doodles,Azuki等,玩法也是PartyBid众筹加Tessera竞拍的模式,那么这种模式对于参与众筹的成员来说,有没有可能被薅羊毛或者欺诈危险呢?

这边说一种比较常见的方式,女巫攻击。女巫攻击又叫Sybil攻击,名字来源于电影《女巫》(Sybil),讲的是一个有16种人格的女人心理治疗的故事。而在区块链中的女巫攻击呢,指的是一个恶意的节点非法地对外呈现多个身份。再具体到DAO的应用实例上,Web3.0的DAO 通过共同的目标将志同道合的人聚集在一起,并用智能合约运行投票,进而用自下而上的方式推动社区发展。在DAO中,有单个用户可以拥有多个钱包并囤积Token以达到 51% 的投票权,然后操纵决策。

Lido DAO向Dragonfly Capital出售1000万枚LDO的代币提案中就出现了女巫攻击,Dragonfly Capital通过旗下Dragonfly Liquid部门持有150万枚LDO代币的地址在提案中对自己有利的方案投出了赞成票,曾一度占到整个投票权重的99.35%,险些通过,虽然最后被社区成员根据链上信息揭露这一事实,导致该提案最终被社区否决,但是这种类似的女巫攻击在DAO投票和治理过程中防不胜防。

图6 Lido DAO被女巫攻击实例
图6 Lido DAO被女巫攻击实例

可见,在DAO治理投票过程中,女巫攻击是一种常见的情况。回到PartyBid和Tessera的NFT众筹和竞拍过程中,参与众筹购买NFT成功的用户在Claim到碎片化Token的时候,就成为了这个NFT众筹DAO的成员,后续在Tessera上竞拍NFT的过程中,也只有DAO成员才有资格竞拍NFT,因此这给了女巫很好的攻击机会。

女巫攻击模式一 : 当NFT众筹金额高于该类NFT地板价,发起者将用众筹金额以高于地板价的价格购买自己的NFT,此类攻击要求发起者的钱包地址存在至少一个价位较高的NFT。

女巫攻击模式二 : 攻击者可以使用多个钱包参与众筹,持有碎片化总数量达到 50%以上,以获取优势投票权,然后操纵NFT拍卖。按照Tessera的拍卖规则,女巫可以控制竞拍底价,同时也可以控制选择竞拍的时间,最终以远低于该类NFT地板价的价格得到该NFT,而参与众筹的成员只能赎回少量参与众筹的资金。

举个例子小明是个KOL,他在PartyBid发起众筹想购买一个10ETH的Azuki,当众筹金额满足Azuki地板的49%时,小明通过自己的20个钱包地址快速将剩余51%的众筹金额补上,购买成功后,小明就持有50%以上的碎片化Azuki。此时,虽然其他成员在Tessera上设置了NFT竞拍底价,但是由于他们总共持有49%的Azuki碎片,没有超过50%的限制,因此只要小明不参与设置竞拍低价,就无法进行下一步出价,这个Azuki将暂时锁在合约中(保险库)。

等了3个月,Azuki的地板价突然涨回到购买时的2倍,小明此时觉得可以将这个Azuki卖出去了,于是用自己持有碎片化Azuki地址将竞拍底价设置很低(持有数量越多,设置竞拍底价的权重越大),而且由于竞拍出价过程只有3天,竞拍开始也不会通知成员,最终NFT以竞拍底价3ETH成交,小明获得了这个Azuki,然后以20ETH的价格在NFT市场进行抛售。此时众筹成员的DAO资金库只有3ETH,其中还有1.5ETH是小明持有Token对应比例的。其他众筹参与者相比其开始支付的金额10ETH缩水了66.7%,而相比小明抛售的NFT实际成交价20ETH缩水了85%,最终小明完成了这次女巫攻击。

在这个案例中,女巫攻击者可以不是众筹发起者,只需要满足50%以上的NFT碎片化Token持仓就能进行攻击,因此女巫可以通过建立NFT碎片化Token的流动池去收集筹码。

五、PartyBid和Tessera如何应对女巫攻击?

前段时间,V神提出了一种名为 Soulbound Token(灵魂绑定)的不可转让Token,该Token将用于打造Web3的用户身份系统。在SBT的概念提出后,DID赛道开始成为大众的关注热点之一,DID(Decentralized Identifier)就是一个用户的去中心化身份。

DID系统将会利用多个维度的信息,例如链上活动数据,社交媒体活动等,来形成 Web3用户的综合形象。DID可以通过区分真实的用户和潜在的机器人并降低女巫攻击的风险,如果一个账户地址缺乏多样化的真实履历,我们可以立即识别出它们就是机器人。

虽然目前没有一个成熟可用的DID系统供大家使用,但是具体到PartyBid和Tessera项目上,可用通过一些链上标签和绑定社交媒体的方式帮助用户去识别可能存在的女巫攻击风险。

例如,PartyBid对参与众筹的地址进行分类,同时做一个数据看板,其信息包括地址参与过几次众筹,除众筹外,是否曾经参与过Uniswap或Opensea的交互,这些地址占总众筹比例的多少?这些地址相互是否有频繁的转账交易?

让参与者绑定自己的社交媒体账户(如Twitter等)等,甚至如果有用户发现众筹活动被女巫攻击,可以通过举报的方式给这次NFT众筹或者某些可疑地址加上标签,让参与者明白这一事实。

Tessera的竞拍过程也可以使用这些方法防御女巫。

通过上述手段,可以极大提高女巫攻击的成本和攻击失败的风险,可以在一定程度上有效防止女巫攻击。

参考资料:

1、PartyDAO的故事-一群陌生人如何在1年内把一篇推文变成了2亿美金的产品DAO

2、Things to Know Before Fractionalizing NFT(s)

3、Reserve Price — A Key Attribute of Fractional Vaults To Understand

4、DAO治理的胜利:Lido DAO向Dragonfly Capital出售代币提案始末

5、分析 | 全面综述:女巫攻击和防御方法

6、V神:「灵魂绑定」币将成为你们的区块链护照

免责声明

DeBox研究院 是由DeBox基金会支持成立的致力于Web3.0研究的去中心化社区,其主要目的是通过研报的形式帮助人们更好的理解Web3.0的基础知识和前沿热点。研报将发布在DeBox媒体专栏,例如mirror,Foresight,律动等。目前研究院下共设立6个研究中心,包括Defi,NFT,公链,Socialfi等各类Web3.0赛道。

以上所有的市场分析及内容仅供参考,不代表对任何人做为投资建议以及决策依据,请勿基于此报告进行任何投资决策,报告作者和DeBox研究院不对用户的投资结果负责。

本⽂中涉及的某些陈述可能是作者对于未来预期的假设以及其他的前瞻性观点,⽽已知和未知的⻛险与不确定因素,可能导致实际结果、表现或事件与陈述中的观点和假设存在实质性差异,作者和DeBox研究院不以任何方式向用户作出不受损失或者取得最低收益的承诺。

作者在编写本报告过程引用了部分已有文章内容,且标注了引用链接,若有侵权行为,请与作者及时联系修改删除。

作者链接:

https://twitter.com/boBo77938482

DeBox官方链接:

官网:

推特:

Opensea:

Subscribe to DeBox Institute
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.