简析Aave团队打造的web3社交协议 LensProtocol

BlockBeats 注：Aave打造的 LensProtocol 社交协议并非一个社交产品，而是协议服务层，帮助开发者在其上构建各类社交产品。目前Web3社交产品虽然给予了用户数据所有权，但仍没有解决用户数据在不同 web3 社交产品中互通性的问题。对此，BuidlerDAO 创始人 Jason Chen 在推特对 LensProtocol 社交协议进行简要分析，  BlockBeats 整理如下：

浅研了一下 LensProtocol, 由 Aave 团队打造的 web3 社交协议，它本身不是一个前端的社交产品，而是一个中后端的协议服务层，开发者基于其提供的 API 可以在上面低成本构建出社交产品，这应该也就是为什么 lens 的 logo-kcwr 是一束花的原因吧，它希望自己成为这片社交花园里的根和土壤，开发者们可以在其之上种出鲜花 。

相信大多数人对于 web3 的主要叙事都在于痛斥 web2 的 facebook、twitter 等公司垄断用户数据权，制造数据孤岛，用户拥有自己的社交数据和关系链也是 web3 原生的重要叙事，于是也冒出了很多号称 web3 twitter 的产品，但到现在为止 web3 的社交产品依然没有出现杀手级应用。

安全团队：Rubic被攻击事件简析:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Rubic项目被攻击，Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验，_params可以指定任意的参数，攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数，把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址，被盗资金近1100个以太坊，通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]

Web3 社交杀手级应用还未出现，我觉得抛开行业成熟度原因主要在于两点 ：

第一，在此之前多数 web3 社交产品依然在走制造数据孤岛的老路。怎么理解呢？基于区块链的社交产品确实可以让用户成为他数据的 owner，但产品数据的边界依然是合约，如果用户使用了 10 个产品，则用户的数据会散落在 10 个独立合约中，且每个产品合约的数据格式和标准都不一样，虽然透明了，但孤岛依然存在。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

从而导致用户的社交数据依然无法打通，用户在各个产品中产生的数据虽然属于其自己，因为独立的合约和不一致的数据格式，依然无法「带走」，假设一个产品挂了，那在此之前所产生的社交数据也很难被利用起来，除非其他的产品专门投入资源去做数据同步，所以目前 web3 社交产品只解决了拥有的问题，而非连接。

安全团队：Audius项目恶意提案攻击简析，攻击者总共获利约108W美元:7月24日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，Audius项目遭受恶意提案攻击。成都链安安全团队简析如下：攻击者先部署恶意合约并在Audius: Community Treasury 合约中调用initialize将自己设置为治理合约的监护地址，随后攻击者调用ProposalSubmitted 提交恶意85号提案并被通过，该提案允许向攻击合约转账1,856w个AudiusToken，随后攻击者将获得的AudiusToken兑换为ETH，总共获利约108W美元，目前获利资金仍然存放于攻击者地址上（0xa0c7BD318D69424603CBf91e9969870F21B8ab4c）。[2022/7/24 2:34:31]

第二，开发一个社交产品的成本也很高。其实这个成本主要还是在中后端，但是中后端的功能确可以被穷举且标准化，不外乎就是点赞、关注、发帖、收藏等功能，而前端业务层看似纷繁复杂也不过就是基于中后端标准功能的组合拼装 。

安全公司：Starstream Finance被黑简析:4月8日消息，据Agora DeFi消息，受 Starstream 的 distributor treasury 合约漏洞影响，Agora DeFi 中的价值约 820 万美金的资产被借出。慢雾安全团队进行分析后以简讯的形式分享给大家。

1. 在 Starstream 的 StarstreamTreasury 合约中存在 withdrawTokens 函数，此函数只能由 owner 调用以取出合约中储备的资金。而在 April-07-2022 11:58:24 PM +8UTC 时，StarstreamTreasury 合约的 owner 被转移至新的 DistributorTreasury 合约(0x6f...25)。

2. 新的 DistributorTreasury 合约中存在 execute 函数，而任意用户都可以通过此函数进行外部调用，因此攻击者直接通过此函数调用 StarstreamTreasury 合约中的 withdrawTokens 函数取出合约中储备的 532,571,155.859 个 STARS。

3. 攻击者将 STARS 抵押至 Agora DeFi 中，并借出大量资金。一部分借出的资金被用于拉高市场上 STARS 的价格以便借出更多资金。[2022/4/8 14:12:38]

所以我认为 lens 也是基于这两点认为如果他们再做一个社交产品，也不过就是市面上的 10 个产品变成了 11 个，继续增加孤岛，所以他们把自己向下藏了一层，首先制定了标准，将什么样的行为需要铸造为 NFT，发布的内容需要用什么样的数据格式等问题都标准化，能够保证基于其标准所开发出的产品是不存在孤岛问题。

慢雾简析Qubit被盗原因：对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报，2022 年 01 月 28 日，Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示，本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下，在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查，导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]

其次通过阅读其开发者文档会发现 lens 的模块化设计非常充分，将能力拆分的颗粒度很细，尽可能做了解耦，从而便于开发者在上面去灵活的拓展业务逻辑。 

如下图所示，这是 lens 的主合约，可以看到其上面已经产生了 540 万条社交数据，包含了发布、收藏、关注等动作，所以 lens 打造了一个大陆，而不是一个孤岛。 

关于标准，分为接口标准和数据标准，首先说一下接口标准，如下图 1 所示这是 lens 提供的所有一级 API，基本上社交关系的主要能力都包括了，图 2 是单关注这一个能力所拆分出来的二级 API，可见其颗粒度是做的很细的，开发者可以基于这些 API 自由拼装组合。

数据标准则又细分为 NFT 和非 NFT 两类，lens 的核心数据围绕 NFT 展开，首先每个用户需要一个.lens 域名才能拥有个人主页，其他的数据都是挂在这个域名下的，这个域名本身是一个 721 类型的 NFT，从这个角度也算是 DID 的范畴。

除了域名外用户的关注、收藏等动作也会被铸造为 NFT，如图 1 当用户进行关注时，触发了合约的 follow 函数，从所产生的链上数据可以看到 mint 了一个 NFT，如图 2 当取关的话则会将该 NFT 销毁掉 。

社交数据其实是索引关系非常复杂的，lens 的接口对于开发者也非常方便，将链上数据包了一层不需要开发者自己去分析数据，而是如下图为例，如果需要查询某个人的关注者，通过接口可以直接以很清晰的以拉清单的形式将数据获取到并层层下钻。

另外对于 post 内容发布，首先它不是作为 NFT 呈现的，我在此之前还以为用户发的内容都会铸造成 NFT，如图 1 所示就是正常的链上数据写入的过程，这里我还没有理解清楚为什么 lens 不把他们做成 NFT。如图 2 这是 post 的写入数据，包含的数据有挂载在谁身上，挂载的内容是什么，发布内容用 contentURI 一个外链来索引 。

具体内容则是存储在链下的，contentURI 会指向一个存储地址，但是 lens 对于数据的存储格式也是有一套标准规范的，这样就可以达到上文中提到的各产品基于 lens 构建后可以互通的效果，如图 1 为解析出来的一个数据格式，包括名称、内容、类型等。图 2 为枚举的数据格式，图文音视频等都包括，从而结构化内容数据。

以上就是对于 lens 的浅研，不愧是 Aave 出来的，确实对 web3 的原生很透彻，基于 lens 诞生出来 web3 原生 twitter 的可能性还是很大的，也许是研究还不够深，也存一些疑惑，比如个人主页是一个.lens 的 nft 域名，而所有的数据和关系链都挂在上面，但是该 nft 又是可以买卖的，社交关系可以买卖我觉得还是挺奇怪的。    

区块律动BlockBeats

媒体专栏

阅读更多

金色财经

CertiK中文社区

虎嗅科技

web3中文

深潮TechFlow

念青

DeFi之道

CT中文

标签：ENSWEBWEB3NFTSensei TokenWeb3游戏web3域名值钱吗Swiss NFT Fund

中币交易所热门资讯