Web3电影就被虚拟资产圈寄予厚望,由于NFT与文化艺术产品之间天然良好的「适配性」,全行业普遍将其视为打破oldmoney在传统影视界统治力的利器。2022年在法国里维埃拉举办的戛纳电影节上,众多导演、艺术家和影视明星就以Web3为主题讨论了影视界的未来。
一、国内WEB3电影代表之作—《胜利》
国内某Web3平台发布了一部名为《UncleVictory》的Web3上链电影。《UncleVictory》实际上就是已经于2014发行的电影《胜利》,只是换了个名字在该平台发行。这部由张猛编剧、导演的《胜利》是其东北往事三部曲的终结篇,讲述了一个东北「大哥」在出狱后试图赎罪的魔幻现实故事。从该平台公开的数据显示,《胜利》通过一种叫「EVT」的与NFT类似的技术在Newton链上发行,首期发行300份,于开售40分钟后售罄。
安全公司:AurumNodePool合约遭受漏洞攻击简析:金色财经报道,据区块链安全审计公司Beosin EagleEye监测显示,2022年11月23日,AurumNodePool合约遭受漏洞攻击。
Beosin分析发现由于漏洞合约的changeRewardPerNode函数未进行验证,导致攻击者可以调用该函数进行任意值设置。
攻击者首先调用changeRewardPerNode函数将每日奖励值设置成一个极大数,接下来调用claimNodeReward函数提取节点奖励,而节点奖励的计算取决于攻击者设置的rewardPerDay值,导致计算的节点奖励非常高。而在这一笔交易之前,攻击者便通过一笔交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合约存入了1000AUR,创建了攻击者的节点记录,从而使得攻击者能够提取出该节点奖励。最终攻击者通过该漏洞获得约50个BNB($14,538.04)。[2022/11/23 8:01:04]
对于持有《胜利》EVT的用户来说,平台承诺享有以下几项权益:持有期间享有无限次的《胜利》观影权;电影EVT封面图的知识产权授权,具体包括复制权、发行权、出租权、展览权等;售票权,持有者可通过其链上拷贝发售《胜利》电影票,获得收益,该项权利有效期为30年;白名单,获取空投和平台其他产品优先购的权利。
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
目前来看,《胜利》尚属于小规模的实验性商业项目,这样一部已经在数年前制作完毕且已经公开发售的小众电影,持有者们仅能享有为数不多的、受限的权利。但是作为一种实验性作品,其无疑具有一定的里程碑意义。
Grim Finance 被黑简析:攻击者通过闪电贷借出 WFTM 与 BTC 代币:据慢雾区情报,2021 年 12 月 19 日,Fantom 链上 Grim Finance 项目遭受攻击。慢雾安全团队进行分析后以简讯的形式分享给大家。
1. 攻击者通过闪电贷借出 WFTM 与 BTC 代币,并在 SpiritSwap 中添加流动性获得 SPIRIT-LP 流动性凭证。
2. 随后攻击者通过 Grim Finance 的 GrimBoostVault 合约中的 depositFor 函数进行流动性抵押操作,而 depositFor 允许用户指定转入的 token 并通过 safeTransferFrom 将用户指定的代币转入 GrimBoostVault 中,depositFor 会根据用户转账前后本合约与策略池预期接收代币(预期接收 want 代币,本次攻击中应为 SPIRIT-LP)的差值为用户铸造抵押凭证。
3. 但由于 depositFor 函数并未检查用户指定转入的 token 的合法性,攻击者在调用 depositFor 函数时传入了由攻击者恶意创建的代币合约地址。当 GrimBoostVault 通过 safeTransferFrom 函数调用恶意合约的 transferFrom 函数时,恶意合约再次重入调用了 depositFor 函数。攻击者进行了多次重入并在最后一次转入真正的 SPIRIT-LP 流动性凭证进行抵押,此操作确保了在重入前后 GrimBoostVault 预期接收代币的差值存在。随后 depositFor 函数根据此差值计算并为攻击者铸造对应的抵押凭证。
4. 由于攻击者对 GrimBoostVault 合约重入了多次,因此 GrimBoostVault 合约为攻击者铸造了远多于预期的抵押凭证。攻击者使用此凭证在 GrimBoostVault 合约中取出了远多于之前抵押的 SPIRIT-LP 流动性凭证。随后攻击者使用此 SPIRIT-LP 流动性凭证移除流动性获得 WFTM 与 BTC 代币并归还闪电贷完成获利。
此次攻击是由于 GrimBoostVault 合约的 depositFor 函数未对用户传入的 token 的合法性进行检查且无防重入锁,导致恶意用户可以传入恶意代币地址对 depositFor 进行重入获得远多于预期的抵押凭证。慢雾安全团队建议:对于用户传入的参数应检查其是否符合预期,对于函数中的外部调用应控制好外部调用带来的重入攻击等风险。[2021/12/19 7:49:04]
二、国外WEB3电影代表之作—《白兔》
慢雾:BSC项目Value DeFi vSwap 模块被黑简析:据慢雾区情报,币安智能链项目 Value DeFi 的 vSwap 模块被黑,慢雾安全团队第一时间介入分析,并将结果以简讯的形式分享,供大家参考:
1. 攻击者首先使用 0.05 枚 WBNB 通过 vSwap 合约兑换出 vBSWAP 代币;
2. 攻击者在兑换的同时也进行闪电贷操作,因此 vSwap 合约会将兑换的 vBSWAP 代币与闪电贷借出的 WBNB 转给攻击者;
3. 而在完成整个兑换流程并更新池子中代币数量前,会根据池子的 tokenWeight0 参数是否为 50 来选择不同的算法来检查池子中的代币数量是否符合预期;
4. 由于 vSwap 合约的 tokenWeight0 参数设置为 70,因此将会采用第二种算法对池子中的代币数量进行检查;
5. 而漏洞的关键点就在于采用第二种算法进行检查时,可以通过特殊构造的数据来使检查通过;
6. 第二种算法是通过调用 formula 合约的 ensureConstantValue 函数并传入池子中缓存的代币数量与实时的代币数量进行检查的;
7. 在通过对此算法进行具体分析调试后我们可以发现,在使用 WBNB 兑换最小单位(即 0.000000000000000001) vBSWAP 时,池子中缓存的 WBNB 值与实时的值之间允许有一个巨大的波动范围,在此范围内此算法检查都将通过;
8. 因此攻击者可以转入 WBNB 进行最小单位的 vBSWAP 代币兑换的同时,将池子中的大量 WBNB 代币通过闪电贷的方式借出,由于算法问题,在不归还闪电贷的情况下仍可以通过 vSwap 的检查;
9. 攻击者只需要在所有的 vSwap 池子中,不断的重复此过程,即可将池子中的流动性盗走完成获利。详情见原文链接。[2021/5/8 21:37:37]
电影《白兔》由Shibuya公司立项制作的Web3互动电影。Shibuya原意为「涩谷」,本是位于日本东京某著名商圈,是日本最声名显赫的流行文化发源地,也是日本文化和思想碰撞最激烈的地方之一。
Shibuya已经在2022年末,获得了690万美元的融资,由著名Web3投行a16z与Variant领投,Shibuya的愿景是创造一个去中心化的好莱坞,这只名为《白兔》的影片就是Shibuya发行的第一支流媒体作品,。
《白兔》项目具有一个较为简单的代币经济系统:由Producerpass和$WRAB构成。Producerpass即制作人通行证,是一种使用ERC-1155技术制作的NFT,是用户参与创意决策、电影制作的必备工具。用户通过将自己持有的Producerpass质押在Shibuya链上协议后,就可在每章节结尾投票决定电影剧情走向。Shibuya官方以0.08ETH的价格分别发售了5000枚、5500枚和2800枚的第一、二、三章节的Producerpass。并通过Telegram保证成员讨论电影走向以确保不泄露电影内容。
而$WRAB则是一种基于ERC-20技术的虚拟货币,也是该项目的治理代币,代表了用户对视频内容的所有权。当影片制作完毕后,项目方会将其铸造为NFT,所有权将归属于持有$WRAB代币的成员。当然,$WRAB代币与ProducerPass联系紧密,用户质押ProducerPass之后将会获得$WRAB空投。用户质押得越早,空投的$WRAB越多。在分润方面,根据该项目白皮书显示,最终50%的$WRAB会被分配给ProducerPass持有者,40%分配给艺术家和创作者,5%分给平台,5%分给项目方团队。
通过该代币经济系统,电影《白兔》成功完成了融资、制作、发行和利益分配的全过程,是目前国外最为成熟且具有可行性的Web3电影案例。
三、结语
Web3电影目前依然处于萌芽阶段,目前众多项目依然处于试验阶段,由于我国一直以来对影视作品采取较为严格的审核和监管制度,Web3电影虽然具有光明的前景,但想要在我国实际落地还需要很长时间的探索,并不是能一蹴而就的事情。
在2021年十部委发布9.24通知后,《白兔》这样涉及虚拟货币融资的玩法在我国已经不可能实现,但这种商业模式却可以通过NFT等工具变相实现。
当然,由于我国对虚拟资产特殊的监管规范和对金融领域的强监管政策,在整个探索的过程中我们不能照搬国外项目的经验,建议在具体实施项目前寻求专业律师的法律意见,避免踏足法律红线引发刑事风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。