原文标题:《IOSGWeeklyBrief|年入上亿美金的流量入口生意—MetaMask#91》撰文:IOSGVentures
一、MetaMask交易收费商业模式解析
Consensys?的四月份报告显示,MetaMask月活用户斩获500万量级。这表明对于新用户来说,MetaMask确实是进入去中心化经济的门户或者说首要选择。值得注意的是:去年10月份MetaMask的月活就已经突破了100万。
10月份之所以达到100万数据,很大一部分是由于DeFi的狂热。而从100万用户增长到现在的500万,主要得益于这次的NFT浪潮,将大量的主流用户吸引到了以太坊。
来源:https://consensys.net/blog/MetaMask/MetaMask-surpasses-5-million-monthly-active-users/
慢雾:DEUS Finance 二次被黑简析:据慢雾区情报,DEUS Finance DAO在4月28日遭受闪电贷攻击,慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者在攻击之前先往DeiLenderSolidex抵押了SolidexsAMM-USDC/DEI的LP。
2.在几个小时后攻击者先从多个池子闪电贷借出143200000USDC。
3.随后攻击者使用借来的USDC在BaseV1Pair进行了swap操作,兑换出了9547716.9个的DEI,由于DeiLenderSolidex中的getOnChainPrice函数是直接获取DEI-USDC交易对的代币余额进行LP价格计算。因此在此次Swap操作中将拉高getOnChainPrice函数获取的LP价格。
4.在进行Swap操作后,攻击者在DeiLenderSolidex合约中通过borrow函数进行借贷,由于borrow函数中用isSolvent进行借贷检查,而在isSolvent是使用了getOnChainPrice函数参与检查。但在步骤3中getOnChainPrice的结果已经被拉高了。导致攻击者超额借出更多的DEI。
5.最后着攻击者在把用借贷出来DEI兑换成USDC归还从几个池子借出来的USDC,获利离场。
针对该事件,慢雾安全团队给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/4/28 2:37:18]
根据Consensys的报告,Swap是MetaMask用户使用频率最高的功能,而链接钱包购买NFT现在已经是MetaMask第二大最受欢迎的使用场景。MetaMask月活突破100万的同月推出了Swap功能,同时交易量也暴增到了130亿美元)。
慢雾简析Qubit被盗原因:对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报,2022 年 01 月 28 日,Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示,本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下,在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查,导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]
MetaMaskSwap聚合器的聚合器。MetaMask集合了不同的流动性来源,不仅限于专业的做市商,还有Uniswap等DEX、1inch和Matcha等聚合器。所以,每次用户使用Swap功能,都能得到目标代币的最佳报价。
慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:
1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;
2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;
3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;
4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;
5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;
6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;
7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;
8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;
9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]
对于许多每天都要交易的用户来说,MetaMask是一个非常方便的应用。而且,用户也愿意为此付费。对于MetaMask身后的支持者Consensys来说,MetaMaskSwap功能就是一颗印钞机。
Harvest.Finance被黑事件简析:10月26号,据慢雾区消息 Harvest Finance 项目遭受闪电贷攻击,损失超过 400 万美元。以下为慢雾安全团队对此事件的简要分析。
1. 攻击者通过 Tornado.cash 转入 20ETH 作为后续攻击手续费;
2. 攻击者通过 UniswapV2 闪电贷借出巨额 USDC 与 USDT;
3. 攻击者先通过 Curve 的 exchange_underlying 函数将 USDT 换成 USDC,此时 Curve yUSDC 池中的 investedUnderlyingBalance 将相对应的变小;
4. 随后攻击者通过 Harvest 的 deposit 将巨额 USDC 充值进 Vault 中,充值的同时 Harvest 的 Vault 将铸出 fUSDC,而铸出的数量计算方式如下:
amount.mul(totalSupply()).div(underlyingBalanceWithInvestment());
计算方式中的 underlyingBalanceWithInvestment 一部分取的是 Curve 中的 investedUnderlyingBalance 值,由于 Curve 中 investedUnderlyingBalance 的变化将导致 Vault 铸出更多的 fUSDC;
5. 之后再通过 Curve 把 USDC 换成 USDT 将失衡的价格拉回正常;
6. 最后只需要把 fUSDC 归还给 Vault 即可获得比充值时更多的 USDC;
7. 随后攻击者开始重复此过程持续获利;
其他攻击流程与上诉分析过程类似。参考交易哈希:0x35f8d2f572fceaac9288e5d462117850ef2694786992a8c3f6d02612277b0877。
此次攻击主要是 Harvest Finance 的 fToken(fUSDC、fUSDT...) 在铸币时采用的是 Curve y池中的报价(即使用 Curve 作为喂价来源),导致攻击者可以通过巨额兑换操控预言机的价格来控制 Harvest Finance 中 fToken 的铸币数量,从而使攻击者有利可图。[2020/10/26]
换句话说,MetaMask的官网信息显示「每次报价都自动包含了0.875%的服务费」。如果从年初开始计算服务费,基于2021年产生的交易量,截至几周之前MetaMask已经盈利1亿美元了。
来源:?https://dune.xyz/momir/MetaMask-Swap
二、1亿美元的盈利在DeFi世界到底意味着什么?
许多DeFi协议严格意义上来说还处在做公益的阶段。比如,Uniswap一般收取0.3%的交易费,但是所有收益都拿去做市了,也就是提供流动性。
另一方面,Sushiswap和Curve也想尝试通过设置不同的费用结构来为代币持有者带来收益。
比如,Sushiswap给流动性提供者分了0.25%,总交易量的0.05%作为收益分给SUSHI代币的持有人。Curve也是每次交易收取0.04%费用,其中的1/2划分给流动性提供者,剩下1/2分给CRV质押者。
而MetaMask则不需要关心流动性提供者,因为它的流动性来源和普通的DEX不一样。所以,每1000美元的交易量,MetaMask都会赚取8.75美元,SUSHI质押者赚取0.5美元,CRV质押者0.2美元。
简单来说,MetaMask上每产生1美元交易量的收益是Shshiswap和Curve收益的17倍和44倍。
因此,尽管MetaMask的交易量比Sushiswap或Curve低几倍,但它却是这三家公司中最大的印钞机。
来源:?https://dune.xyz/momir/MetaMask-Swap
三、为何产生如此大的定价权?
MetaMask作为最安全和最简单的参与去中心化经济的方式之一吸引了来自全球的用户。
用户无需为使用MetaMaskSwap之外的功能而付费,对于不喜欢使用Swap功能的用户也支持直接无缝衔接到如Uniswap之类的通用流动性来源,避免支付0.875%的费用。
事实上,大多数MetaMask用户根本不使用Swap功能。然而惊人的是,MetaMask在只有不到2%的活跃用户通过MetaMaskswap执行交易的情况下,创造了1亿美元的收入。
来源:?https://dune.xyz/momir/MetaMask-Swap
此外,浏览器钱包领域缺乏竞争。即使该领域有许多入场者,也很难摆脱同质化并赢得庞大用户群的信任。然而,考虑到MetaMask创下的超强营收记录,我们将期待市场力量吸引更多可能挑战头号浏览器钱包的主导地位的竞争者。
目前,终端用户有一个完整的链路来执行交易。聚合器的聚合器->聚合器->DEX
未来的发展有几条不同的路径。
一条是这些垂直行业专注在各自的赛道上,并试图货币化各自的仓位,增加Web3.0用户的成本。
或者,我们可能看到这些垂直领域的协议之间的直接竞争。例如,1inch开始是一个聚合器,但后来推出了他们自己的DEX-Mooniswap,以及1inch钱包。
除了MetaMask,Consensys也同时负责Airswap。如果Web3.0行业发展出与Web2.0相同的商业模式,即大集团以牺牲用户利益为代价保护自己在每个垂直领域的地位,那无疑是令人失望的。
当然,目前并没有迹象表明这种情况会发生,例如,即使Consensys在一人同时负责两个项目的情况下也保持着较为公正的态度与公平的商业模式——比起其他的流动性来源,MetaMaskswap并没有「特殊照顾」或是资源倾斜Airswap。
总而言之,MetaMask刚刚开始收获看似为可持续的经济护城河的收益。考虑到其独特的地位,MetaMask没有真正的竞争对手。在可预见的未来,MetaMask可能仍然是Web3.0领域最大的现金印钞机之一。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。