FOR:簡析 Gamfi 下一步趨勢：是否走進死胡同？_ORC

趨勢系列的最后一篇，關于Gamfi的，說實話這篇很糾結，因為我自己都沒有完全看到或者說想清楚Gamfi的下一步趨勢在哪。

先說說目前的狀態

首先X2Earn基本上走到了一個死胡同，這種龐氏模型開始啟動是很有優勢，然后指數增長到一個瓶頸期便開始陷入困境，和最早流動性挖k通過高APY吸引用戶進來挖k的曲線非常像，只是因為披著一層Gamfi的外衣，所以時間線可以拉長很多，但其本質內核依舊是一個Defi。

有人說引入外部收入就好啊，有些Defi項目本身有收入，就可以打破這個Ponzi的模式-Curve。Gamfi沒法像Defi項目那樣賺錢，但是可以通過類似Socialfi的方式引入外部世界，比如有人說Stepn可以和星巴克合作弄一個跑步，沿途經過星巴克必須在那里那個卡之類，費就可以作為外部收入打破Ponzi。

LendHub被黑簡析：系LendHub中存在新舊兩市場:金色財經報道，據慢霧安全區情報，2023 年 1 月 13 日，HECO 生態跨鏈借貸平臺 LendHub 被攻擊損失近 600 萬美金。慢霧安全團隊以簡訊的形式分享如下：

此次攻擊原因系 LendHub 中存在兩個 lBSV cToken，其一已在 2021 年 4 月被廢棄但并未從市場中移除，這導致了新舊兩個 lBSV 都存在市場中。且新舊兩個 lBSV 所對應的 Comptroller 并不相同但卻都在市場中有價格，這造成新舊市場負債計算割裂。攻擊者利用此問題在舊的市場進行抵押贖回，在新的市場進行借貸操作，惡意套取了新市場中的協議資金。

目前主要黑客獲利地址為 0x9d01..ab03，黑客攻擊手續費來源為 1 月 12 日從 Tornado.Cash 接收的 100 ETH。截至此時，黑客已分 11 筆共轉 1,100 ETH 到 Tornado.Cash。通過威脅情報網絡，已經得到黑客的部分痕跡，慢霧安全團隊將持續跟進分析。[2023/1/13 11:11:00]

這個思路是沒毛病的，然而依舊解決不了根本問題，原因就在于，Defi里面不是每個人都去挖k賺錢的，是那些提供流動性，承擔無常損失和被黑風險的LP在賺錢而已，而Gamfi的X2Earn，每個人都在賺錢，這個世界不存在這么好的“永動機”。

安全團隊：Rubic被攻擊事件簡析:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Rubic項目被攻擊，Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗，_params可以指定任意的參數，攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數，把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址，被盜資金近1100個以太坊，通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

舉個極端情況下的例子，我們假設Stepn做大做強到了facebook的體量，30億用戶，然后你會發現一個很恐怖的事情，哪怕平均每人跑出來的GST只有一美元，每天也是30億美元的拋壓，一年是1萬億美元，然后升級跑鞋寶石之類的消耗的算一半，還是有5000億美元……

Grim Finance 被黑簡析：攻擊者通過閃電貸借出 WFTM 與 BTC 代幣:據慢霧區情報，2021 年 12 月 19 日，Fantom 鏈上 Grim Finance 項目遭受攻擊。慢霧安全團隊進行分析后以簡訊的形式分享給大家。

1. 攻擊者通過閃電貸借出 WFTM 與 BTC 代幣，并在 SpiritSwap 中添加流動性獲得 SPIRIT-LP 流動性憑證。

2. 隨后攻擊者通過 Grim Finance 的 GrimBoostVault 合約中的 depositFor 函數進行流動性抵押操作，而 depositFor 允許用戶指定轉入的 token 并通過 safeTransferFrom 將用戶指定的代幣轉入 GrimBoostVault 中，depositFor 會根據用戶轉賬前后本合約與策略池預期接收代幣(預期接收 want 代幣，本次攻擊中應為 SPIRIT-LP)的差值為用戶鑄造抵押憑證。

3. 但由于 depositFor 函數并未檢查用戶指定轉入的 token 的合法性，攻擊者在調用 depositFor 函數時傳入了由攻擊者惡意創建的代幣合約地址。當 GrimBoostVault 通過 safeTransferFrom 函數調用惡意合約的 transferFrom 函數時，惡意合約再次重入調用了 depositFor 函數。攻擊者進行了多次重入并在最后一次轉入真正的 SPIRIT-LP 流動性憑證進行抵押，此操作確保了在重入前后 GrimBoostVault 預期接收代幣的差值存在。隨后 depositFor 函數根據此差值計算并為攻擊者鑄造對應的抵押憑證。

4. 由于攻擊者對 GrimBoostVault 合約重入了多次，因此 GrimBoostVault 合約為攻擊者鑄造了遠多于預期的抵押憑證。攻擊者使用此憑證在 GrimBoostVault 合約中取出了遠多于之前抵押的 SPIRIT-LP 流動性憑證。隨后攻擊者使用此 SPIRIT-LP 流動性憑證移除流動性獲得 WFTM 與 BTC 代幣并歸還閃電貸完成獲利。

此次攻擊是由于 GrimBoostVault 合約的 depositFor 函數未對用戶傳入的 token 的合法性進行檢查且無防重入鎖，導致惡意用戶可以傳入惡意代幣地址對 depositFor 進行重入獲得遠多于預期的抵押憑證。慢霧安全團隊建議：對于用戶傳入的參數應檢查其是否符合預期，對于函數中的外部調用應控制好外部調用帶來的重入攻擊等風險。[2021/12/19 7:49:04]

Facebook去年的費收入是多少呢？800億美元。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

也就是說Stepn到這個量級后，盈利能力得達到Facebook的6-7倍才能維持讓每個用戶每天有1美元的收入。這顯然不現實。所以每天0.1美元？

捫心自問，你會為了每天0.1美元的收入去下一個App然后跑步么？哪怕是跑步時候順道開下App，也不makeSense。那么出路在哪？

目前看到的觀點和趨勢是下面這么兩個

1.偏向傳統-Free2play，playforFunandSkill2Earn

簡單來說，就是更貼進傳統，讓每個人免費參與，然后賺錢的部分變成“只有部分玩家賺錢”。

篩選的方式，則是玩家的Skill，人物級別，投入的時間精力，對游戲的理解等等等等，說白了就是牛逼的玩家能賺錢。

那剩下的人怎么辦？自然就是Playforfun啊。

然后問題來了，Steam上每年發售上萬款游戲，如果是為了ForFun，我去Steam玩不香么？為什么要來Web3來玩Gamfi？至少就目前來看，Gamfi整體在ForFun這個層面，和Web2的游戲差的不是一點半點。

沒有高度可玩性，就不會有數量眾多的玩家PlayforFun，沒有足夠多的玩家就不會有氪金大佬，沒有氪金大佬那些牛逼的玩家就沒得SkilltoEarn……這是個飛輪，做的好的游戲像是魔獸世界，夢幻西游，不需要Web3一樣實現了Skill2Earn。所以這條路是個方向，但不知道什么時候Gamfi的制作和可玩性能夠像傳統游戲靠齊，就目前來看，還離得很遠……

2.區塊鏈原生-CryptoNative

刻舟求劍一下你就會發現長遠來看，總是原生的東西更有生命力。比如剛有了互聯網，大家不看報紙了上互聯網來看新聞，這不是原生，是“網改”，真正牛逼的是Google，油管，抖音，Wechat……

剛有NFT那會，我們想的是把名畫做成NFT，然后把畫燒了，后來發現其實應該反著來，原生的Punk猴子火了，線下實體開始對接了。

按著這個思路，上面的1思路更像是傳統游戲的鏈改，幣改，沒有發揮區塊鏈真正的原生特性。那按照區塊鏈原生特型做出來的Gamfi應該是個什么樣子？Fomo3D就是個很好的例子，雖然很簡陋，雖然偏菠菜。

后來的狼羊，黑暗森林這些，也都是帶有非常“原生”導向的元素，因為整個游戲的核心邏輯都在鏈上，都是靠智能合約完成，而不是在鏈下服務器，所以未來在開放架構，自主存續和可組合性上都很有優勢。

然而這種模式問題也很大，最直接的問題就是門檻太高，如果Axie是Dota，Stepn是農藥，狼羊與黑暗森林就是《文明》系列，往往叫好不叫座，受眾面很窄，硬核玩家專屬。

所以你問我出路在哪，趨勢在哪，我真的不知道，目前有看到像是《BigTime》這種在1方向探索的，也有Isaac這種在2方向嘗試的，上面我說的問題是否能克服，過段時間相信市場會告訴我們答案。

我一直相信Gamfi是個大趨勢，因為沒有比游戲更能打開市場貼近所有人的方式了。但當前的我真的一臉懵逼，我只知道Gamfi2.0不會是不該是什么樣子，卻不知道他應該或是最終是個什么樣子……

Tags：FORFORCEORCMFIGFORCEMoonForceForce For Fast TokenMFIT

Pol幣