ETA:簡析 MetaMask 商業模式：年入上億美元的流量入口生意_MetaMask安卓安裝包

原文標題：《IOSGWeeklyBrief|年入上億美金的流量入口生意—MetaMask#91》撰文：IOSGVentures

一、MetaMask交易收費商業模式解析

Consensys?的四月份報告顯示，MetaMask月活用戶斬獲500萬量級。這表明對于新用戶來說，MetaMask確實是進入去中心化經濟的門戶或者說首要選擇。值得注意的是：去年10月份MetaMask的月活就已經突破了100萬。

10月份之所以達到100萬數據，很大一部分是由于DeFi的狂熱。而從100萬用戶增長到現在的500萬，主要得益于這次的NFT浪潮，將大量的主流用戶吸引到了以太坊。

來源:https://consensys.net/blog/MetaMask/MetaMask-surpasses-5-million-monthly-active-users/

安全公司：AurumNodePool合約遭受漏洞攻擊簡析:金色財經報道，據區塊鏈安全審計公司Beosin EagleEye監測顯示，2022年11月23日，AurumNodePool合約遭受漏洞攻擊。

Beosin分析發現由于漏洞合約的changeRewardPerNode函數未進行驗證，導致攻擊者可以調用該函數進行任意值設置。

攻擊者首先調用changeRewardPerNode函數將每日獎勵值設置成一個極大數，接下來調用claimNodeReward函數提取節點獎勵，而節點獎勵的計算取決于攻擊者設置的rewardPerDay值，導致計算的節點獎勵非常高。而在這一筆交易之前，攻擊者便通過一筆交易(0xb3bc6ca257387eae1cea3b997eb489c1a9c208d09ec4d117198029277468e25d)向合約存入了1000AUR，創建了攻擊者的節點記錄，從而使得攻擊者能夠提取出該節點獎勵。最終攻擊者通過該漏洞獲得約50個BNB($14,538.04)。[2022/11/23 8:01:04]

根據Consensys的報告，Swap是MetaMask用戶使用頻率最高的功能，而鏈接錢包購買NFT現在已經是MetaMask第二大最受歡迎的使用場景。MetaMask月活突破100萬的同月推出了Swap功能，同時交易量也暴增到了130億美元)。

慢霧簡析Qubit被盜原因：對白名單代幣進行轉賬操作時未對其是否是0地址再次進行檢查:據慢霧區情報，2022 年 01 月 28 日，Qubit 項目的 QBridge 遭受攻擊損失約 8000 萬美金。慢霧安全團隊進行分析后表示，本次攻擊的主要原因在于在充值普通代幣與 native 代幣分開實現的情況下，在對白名單內的代幣進行轉賬操作時未對其是否是 0 地址再次進行檢查，導致本該通過 native 充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。慢霧安全團隊建議在對充值代幣進行白名單檢查后仍需對充值的是否為 native 代幣進行檢查。[2022/1/28 9:19:19]

MetaMaskSwap聚合器的聚合器。MetaMask集合了不同的流動性來源，不僅限于專業的做市商，還有Uniswap等DEX、1inch和Matcha等聚合器。所以，每次用戶使用Swap功能，都能得到目標代幣的最佳報價。

慢霧：BSC項目Value DeFi vSwap 模塊被黑簡析:據慢霧區情報，幣安智能鏈項目 Value DeFi 的 vSwap 模塊被黑，慢霧安全團隊第一時間介入分析，并將結果以簡訊的形式分享，供大家參考：

1. 攻擊者首先使用 0.05 枚 WBNB 通過 vSwap 合約兌換出 vBSWAP 代幣；

2. 攻擊者在兌換的同時也進行閃電貸操作，因此 vSwap 合約會將兌換的 vBSWAP 代幣與閃電貸借出的 WBNB 轉給攻擊者；

3. 而在完成整個兌換流程并更新池子中代幣數量前，會根據池子的 tokenWeight0 參數是否為 50 來選擇不同的算法來檢查池子中的代幣數量是否符合預期；

4. 由于 vSwap 合約的 tokenWeight0 參數設置為 70，因此將會采用第二種算法對池子中的代幣數量進行檢查；

5. 而漏洞的關鍵點就在于采用第二種算法進行檢查時，可以通過特殊構造的數據來使檢查通過；

6. 第二種算法是通過調用 formula 合約的 ensureConstantValue 函數并傳入池子中緩存的代幣數量與實時的代幣數量進行檢查的；

7. 在通過對此算法進行具體分析調試后我們可以發現，在使用 WBNB 兌換最小單位(即 0.000000000000000001) vBSWAP 時，池子中緩存的 WBNB 值與實時的值之間允許有一個巨大的波動范圍，在此范圍內此算法檢查都將通過；

8. 因此攻擊者可以轉入 WBNB 進行最小單位的 vBSWAP 代幣兌換的同時，將池子中的大量 WBNB 代幣通過閃電貸的方式借出，由于算法問題，在不歸還閃電貸的情況下仍可以通過 vSwap 的檢查；

9. 攻擊者只需要在所有的 vSwap 池子中，不斷的重復此過程，即可將池子中的流動性盜走完成獲利。詳情見原文鏈接。[2021/5/8 21:37:37]

對于許多每天都要交易的用戶來說，MetaMask是一個非常方便的應用。而且，用戶也愿意為此付費。對于MetaMask身后的支持者Consensys來說，MetaMaskSwap功能就是一顆印鈔機。

Force DAO 代幣增發漏洞簡析:據慢霧區消息，DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現： 在用戶進行 deposit 操縱時，Force DAO 會為用戶鑄造 xFORCE 代幣，并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度，當用戶的授權額度不足時 transferFrom 函數返回 false，而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行，xFORCE 代幣被順利鑄造給用戶，但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法，但外部合約在對其進行調用時并未嚴格的判斷其返回值，最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查，以避免此問題的發生。[2021/4/4 19:45:30]

換句話說，MetaMask的官網信息顯示「每次報價都自動包含了0.875%的服務費」。如果從年初開始計算服務費，基于2021年產生的交易量，截至幾周之前MetaMask已經盈利1億美元了。

來源:?https://dune.xyz/momir/MetaMask-Swap

二、1億美元的盈利在DeFi世界到底意味著什么？

許多DeFi協議嚴格意義上來說還處在做公益的階段。比如，Uniswap一般收取0.3%的交易費，但是所有收益都拿去做市了，也就是提供流動性。

另一方面，Sushiswap和Curve也想嘗試通過設置不同的費用結構來為代幣持有者帶來收益。

比如，Sushiswap給流動性提供者分了0.25%，總交易量的0.05%作為收益分給SUSHI代幣的持有人。Curve也是每次交易收取0.04%費用，其中的1/2劃分給流動性提供者，剩下1/2分給CRV質押者。

而MetaMask則不需要關心流動性提供者，因為它的流動性來源和普通的DEX不一樣。所以，每1000美元的交易量，MetaMask都會賺取8.75美元，SUSHI質押者賺取0.5美元，CRV質押者0.2美元。

簡單來說，MetaMask上每產生1美元交易量的收益是Shshiswap和Curve收益的17倍和44倍。

因此，盡管MetaMask的交易量比Sushiswap或Curve低幾倍，但它卻是這三家公司中最大的印鈔機。

來源:?https://dune.xyz/momir/MetaMask-Swap

三、為何產生如此大的定價權？

MetaMask作為最安全和最簡單的參與去中心化經濟的方式之一吸引了來自全球的用戶。

用戶無需為使用MetaMaskSwap之外的功能而付費，對于不喜歡使用Swap功能的用戶也支持直接無縫銜接到如Uniswap之類的通用流動性來源，避免支付0.875%的費用。

事實上，大多數MetaMask用戶根本不使用Swap功能。然而驚人的是，MetaMask在只有不到2%的活躍用戶通過MetaMaskswap執行交易的情況下，創造了1億美元的收入。

來源:?https://dune.xyz/momir/MetaMask-Swap

此外，瀏覽器錢包領域缺乏競爭。即使該領域有許多入場者，也很難擺脫同質化并贏得龐大用戶群的信任。然而，考慮到MetaMask創下的超強營收記錄，我們將期待市場力量吸引更多可能挑戰頭號瀏覽器錢包的主導地位的競爭者。

目前，終端用戶有一個完整的鏈路來執行交易。聚合器的聚合器->聚合器->DEX

未來的發展有幾條不同的路徑。

一條是這些垂直行業專注在各自的賽道上，并試圖貨幣化各自的倉位，增加Web3.0用戶的成本。

或者，我們可能看到這些垂直領域的協議之間的直接競爭。例如，1inch開始是一個聚合器，但后來推出了他們自己的DEX-Mooniswap，以及1inch錢包。

除了MetaMask，Consensys也同時負責Airswap。如果Web3.0行業發展出與Web2.0相同的商業模式，即大集團以犧牲用戶利益為代價保護自己在每個垂直領域的地位，那無疑是令人失望的。

當然，目前并沒有跡象表明這種情況會發生，例如，即使Consensys在一人同時負責兩個項目的情況下也保持著較為公正的態度與公平的商業模式——比起其他的流動性來源，MetaMaskswap并沒有「特殊照顧」或是資源傾斜Airswap。

總而言之，MetaMask剛剛開始收獲看似為可持續的經濟護城河的收益。考慮到其獨特的地位，MetaMask沒有真正的競爭對手。在可預見的未來，MetaMask可能仍然是Web3.0領域最大的現金印鈔機之一。

Tags：ETAMASAMASASKDeltaThetaMASQMetaMask安卓安裝包metamask下載ios

Uniswap