Paradigm 与 Hasu 最新研究：NFT 高效启动机制设计指南

从 Loot、Meebit 等启动示例入手分析，一个好的 NFT 启动应该满足什么指标？

撰文： Hasu 和 Anish Agnihotri，前者为著名加密货币研究者、Uncommon Core 播客主持人 ，后者为区块链投资机构 Paradigm 副研究员
编译：Perry Wang

区块链彻底颠覆了开源软件的募资方式，但并非一切新模式都能从一开始就运转良好。事实上，2016-2018 年的首次代币发行（ICO）多数沦为非常糟糕的案例，项目创始人可以在未交付任何产品之前就能兑现筹集获得的财富。加密社区从那以后吸取了很多教训，当前的项目在代币发行、发币激励使用和去中心化治理之前，都会先拿出一个可运行的产品。

事实证明，非同质化代币（NFT）是另一个明显很契合加密产品市场的产品，但它们正在经历自己的成长阵痛。每个 NFT 的生命周期都始于 NFT 的启动（有时也称为铸造 / mint 或空投 / drop）。具体到 NFT 启动，首先是创建新的系列 NFT，将其出售并分发给买家，然后买家决定持有它或在二级市场上进行交易。

与任何首次发售的商品一样，NFT 的启动面临着定价挑战：如何为以前从未定价过的商品定价。但与多数其他商品销售不同的是，NFT 在高度对抗性环境中发生的难度更大，这些环境（公有链）的大量特质已经将没有经验的用户拒之门外。 因此，开发者必须设计对开发工作有效且健全的机制。

本文从真实世界的启动示例（都曾伤害了自己的用户）入手分析，以确定一个好的 NFT 启动应该满足什么指标。我们接下来将启动的构想拆解为单独的步骤，探索每个步骤的设计空间。最后，我们提供了一个自认为设计良好的启动机制，供社区使用和日趋完善。

损害用户的实例

随着时间推移，我们开始注意到，NFT 启动中的某些设计模式会始终给用户带来糟糕的结果。

作弊

当 NFT 新系列启动时，用户可以与其智能合约进行交互，以创建具有随机属性集的 NFT。这些属性往往具有不同的稀缺性，使某些组合比其他组合更稀有和更有价值。 例如，10,000 个 CryptoPunks 中只有 9 个具有超稀有的「外星人」属性，其中最便宜的一个现在的市场挂牌价为 35,000 ETH。

不同的人出于各种原因参与新 NFT 的铸造，很多人享受的是买盲盒和抽中隐藏稀有款的兴奋。从这个意义上说，NFT 铸造只是模拟世界（例如，交易卡游戏的补充包）和数字世界（例如，视频游戏中的装备箱）中流行的扭蛋（盲盒）机制的延续。

参加扭蛋游戏的人往往会做出一个重要的假设：他们从随机分布的物品中抽取，并且有实际（尽管很小）机率获得非常罕见品种。不幸的是，过去的 NFT 铸币项目经常无法满足这一假设并创造真正的随机性。在实践中，具备高度技术性和积极性高的团体能够利用作弊机制、狙击藏品最稀有的品类，将它们从诚实的参与者手中夺走。

我们将分享两个 NFT 铸币项目被通过这种模式盘剥的案例。两次漏洞盘剥事件都依赖于相同的两步过程：

• 盘剥者提取集合的元数据，使其单个稀有度得分表中展示出所有特征的相对频率。使用这一得分表，他们可以迅速找出集合中价值最高的 NFT。
• 然后，盘剥者打破铸造合约的随机性，只铸造他们想要的价值最高的稀有 NFT。

Loot 衍生品和链上原数据盘剥

最近，一个名为 Loot 的项目以飓风之势席卷了 NFT 世界。该项目看似简单，但包含 8,000 个战利品袋，由胸甲、足甲、手甲、头盔、颈部、戒指、腰部和不同稀有度的武器装备组成。

每个项目槽的所有属性都直接存储在合约中，铸币者收到了一个伪随机 Bag，Bag ID 被用作哈希值。虽然只要以太坊存在，这些装备就永久存在，但链上存储的元数据也将 Loot 的伪随机性暴露给了作弊者。他们通过在本地模拟随机化函数，快速抓取了所有 8,000 个 Bag 的元数据，获取了整个系列的图片（和衍生品的稀有度）。有了这些信息，他们只需要利用合同最后剩下的弱点：能够准确地铸造他们想要的 ID，并只狙击最稀有的装备 Bag。

不过，尽管这种漏洞攻击很简单，但有理由相信，没有人能真正盘剥原始的 Loot 所铸成的 NFT：

来源 : https://github.com/Anish-Agnihotri/blog-effective-nft-launches-data/tree/master/01-exploitable-fairness/loot

我们一直观察装备袋的稀有性，直到铸币结束的最后一刻，我们发现，稀有物品在铸币的整个时间范围内分布良好，这表明，没有一场严重的盘剥案例。

Loot 没有被盘剥，有两种可能的解释：

• 这是一份全新的合约，因此人们还没有准备好或没有时间发现漏洞。
• 铸造 Loot 的可提取价值（EV）尚不清楚，因为该藏品的价值几天后才在二级市场上爆炸式上涨。这一 nNFT 系列花了 2.5 小时才全部售完，进一步支持了这一假设。

然而，随着 Loot 价格不断上涨， More Loot 和 Extension Loot 等一系列衍生项目开始出现，其中大部分只是原始 Loot 合约的小型分叉。新的 NFT 系列继承了 Loot 的薄弱环节，但具有更高的市场价值，并吸引了更高的的关注度。这些所铸 NFT 的公平性（或缺乏公平性）产生了很大的影响。

More Loot

依据铸造时间对 More Loot 中稀有物品的分布与原始 Loot 之间进行比较，可以发现，More Loot 中存在作弊的迹象变得非常明显。 仅仅几个区块之后，所有稀有的 NFT 都已被铸造出来，之后的铸造者只能吃到残羹剩饭，他们基本上不知道老练的用户已经对这次 NFT 启动动了手脚。

来源： https://github.com/Anish-Agnihotri/blog-effective-nft-launches-data/tree/master/01-exploitable-fairness/mLoot

下图：红线表示 Anish 在 Twitter 上公开 他的稀有度分数的时间点，争夺可用稀有包的竞赛随之揭开序幕。

来源 : https://github.com/Anish-Agnihotri/blog-effective-nft-launches-data/tree/master/01-exploitable-fairness/mLoot

此外，由于 More Loot 的供应量不断膨胀，因此可以预期作弊者会对未来登场的装备 dai 进行预先评分，并竞相铸造高分装备袋。

Extension Loot

与 More Loot 类似， Extension Loot 有一个单一地址可以铸造最稀有十个装备袋中的五个（所有铸造的 NFT 红色高亮显示）。独特的是，这些铸币隐藏在近处视线中，因为作弊者会随着时间分发它们和可用的装备袋，然后再连续瞄准稀有装备袋。

来源 : https://github.com/Anish-Agnihotri/blog-effective-nft-launches-data/tree/master/01-exploitable-fairness/xLoot

Meebit NFT 和链下原数据作弊

Meebits 曾是备受期待的 NFT 铸币项目，由 CryptoPunks 的创建者 Larva Labs 提供的 20,000 个独特 3D 角色组成。

Larva Labs 知道精明的用户可以使用元数据集来计算稀有性并狙击稀有 NFT。 为了解决这个问题，他们设计了自己的网站，让买家可以看到每个 Meebit NFT 的完整元数据，但这些数据只能在它被铸造出来之后。

虽然该网站明确隐藏了未铸造的 Meebit，但有人检查了源代码，发现 Larva Labs 从 IPFS 中提取了元数据。 他们使用这些信息抓取 IPFS 以提取未铸造的 Meebit NFT 的元数据，从中找出最想要的 NFT 个体。

不过，Larvalabs 仍然没有让开发者轻松得逞：与 Loot 不同，用户无法创建特定的 Meebit ID。相反，利用链上随机性生成哈希（理论上仍可被矿工作弊）使这一特定用户更难铸造稀有的 Meebit。

然而，作弊者「魔高一丈」。他们写了一份 购买 Meebit NFT 的合约，查看他们的 ID，然后「刷初始」。 具体来说，Meebit 合约是一个带有 mint() 函数的 ERC721 标准合约，它返回一个随机的 Meebit ID。 开发者的合约会调用 mint，根据他们的稀有度列表检查返回的 Meebit ID，如果它没有超过某个稀有度分数，则还原交易（示例代码）。使用这个技巧，他们只需支付大约 0.03 ETH 来检查每个 ID，而不是花费 2.5 ETH 直接购买每个 Meebit。

虽然攻击者在这一过程中消耗了许多失败的交易，并因此产生了 gas 费用，但他们却获得了约 400 ETH 的利润。 今天，同一个作弊者可以通过 Flashbots 捆绑发送他们的交易，并且只有在获得他们想要的 ID 之一时才向矿工付款——使得交易还原完全免费。

攻击者铸造并出售了 Meebit ＃16647，后者具有超级稀有的「访客」特征

Gas 拍卖

9 月时，以太坊每 Gas 的基本费用曾在七个 epoch 超过了 1,250 gwei。令人震惊的是，所有这七起事件都是因为备受期待的 NFT 发布而导致以太坊网络瘫痪。

从左到右：G’EVOLS, The Sevens, Sipher, Galaxy Eggs, Omnimorphs ＋ ArtBlocks Democracity, Galactic Apes, King Frogs

这些 NFT 启动大多采用固定价格、先到先得 (FCFS) 机制。 由于价格低廉且需求过多，获取此类 NFT 的竞争从合约销售变为内存池中的 Gas 拍卖竞争。

其中一个例子是 The Sevens NFT 空投事件，这是一个备受期待的 7,000 张反乌托邦角色的头像 NFT 集合。 每个 NFT 的初始价格为 0.07 ETH，热切的参与者急于访问合约。在短短 6 分钟内，Gas 价格达到 12,246 gwei 的峰值，参与者中位数为每个 NFT 支付了约 1.49 ETH，而最高的 5％ 个人仅为从合约中铸造 NFT 就用 为每个 NFT 支付了超过 2.44 ETH 的 Gas 费用。

在 Sevens NFT 铸造期间，区块基础费用快速飞涨

Gas 拍卖的问题不仅在于使得以太坊的使用更具挑战性，而且通过以这种方式「滥用」公共内存池，它们为所有以太坊用户创造了负面的外部性。还强迫用户为同一个 NFT 支付不同的金额，因投标不足而导致数以千计的交易失败，对用户造成伤害。

高技能用户的优势

正如我们之前充分见识到，以太坊是一片黑暗森林（备注：链闻翻译版），高技能的对抗性角色总是在四处寻找暴利机会。 NFT 铸币项目，尤其是买家希望在铸币后在二级市场获得溢价的稀有铸币项目，为技术娴熟的各方提供了跑赢普通参与者的有利可图机会。

这些参与者通过机器人和自动化策略直接与 NFT 铸币合约交互，通常绕过前端，有时甚至绕过内存池。

TIMEPieces NFT 空投就是一个很好的现实例子。操纵先进机器人的黑客在 NFT 铸造过程之前检查了 nft.time.com 前端源代码。通过这种方式，他们能够在主网上找到已部署的铸币合约，并提前数小时构建机器人。因此这些机器人在 NFT 铸造期间具有显著的抢跑优势，这批 NFT 在不到三分钟的时间内完全售罄。当普通参与者连上他们的钱包并提交交易时，已经颗粒无收。

此外，部分参与方使用 Flashbots 来绕过以太坊公共内存池，提交直接到矿工的交易。虽然 TIMEPieces 合约限制参与者每个地址最多铸造 10 个 NFT，但机器人操纵者 0 x35…ce5 提前计划，将资金分配到五个钱包，在单个 Flashbots 包中狙击了 50 个 NFT。即使向矿工支付了 20 ETH 的小费（使他们的平均铸币成本达到每个 NFT/0.5 ETH），当这批 NFT 开始进入二级市场时，这一机器人运营商仍能获利近 120 ETH。

这一捆绑包包括来自五个不同地址的铸币交易，绕过了每个地址只能铸造 10 个 NFT 的限制

此外，由于该参与者使用了 Flashbots （可以以零成本复原失败的交易），因此他们不会受到我们在前文演示的失败交易的影响。其他近 10,962 名参与者则大不不同，他们在 100 个区块中进行了 12,743 次还原，因为他们的尝试未成功，他们累计损失了 252.62 ETH （近 800,000 美元）的交易费用。

追求公平而导致 Gas 费用高企及效率低下

一个高效的 NFT 铸造机制，意味着对所有参与者来说都很容易使用——理想情况下，只需几个步骤和简单的实现。实施 先到先得分发模式替代方案的铸币项目，其中一个常见陷阱是它们引入了复杂性，增加了用户必须进行的链上交易数量。

一个例子是在 Miso 上的 Jay Pegs Auto Mart ￥DONA 的拍卖。虽然这一铸币活动开创了批量拍卖 NFT 分发，有效地展示了公平的元数据生成在实践中的样子，但这样做是以高 Gas 费用和牺牲交易效率为代价的。

要参与该 NFT 铸造过程，用户必须在八天内至少进行四次链上交易：

• 最开始，用户在不知道他们会收到多少 DONA 代币的情况下，将 ETH 提交给 Miso 批量拍卖（取决于最终清算价格）
• 拍卖结束后，用户必须领取他们的 ￥DONA 代币
• 此时，所有用户获得的代币要么太少，无法铸造 NFT，要么刚好够，要么太多。根据对参与的 1,363 名铸币者的调查结果，我们发现 273 人得到太少，0 人刚好够用，1,090 人太多（铸造一个代币剩的多余部分）。
• 代币太少的用户必须进行交易才能从 Sushiswap 获得必要的盈余。
• 拥有过多代币的用户可以选择批准 ￥DONA 代币进行交易，然后通过 Sushiswap 进行交易，以出售他们的盈余代币。
• 当用户有足够的 DONA 来铸造一个 NFT 时，他们可以批准 NFT 合约来花费他们的 DONA，然后将其 DONA 代币销毁来铸造 NFT。
• 最后，元数据将批量分配给 NFT，无法单方面透露一个人的 NFT 具体内容。

虽然这种机制力求公平，但它使用户参与变得非常困难，且 gas 成本高、效率低下。

排他性铸币

Obenbenbenne 项目追求公平的方式是由 NFT 收藏家和爱好者评估收藏价值，这是借助其社区的实力。通常这牵扯到衡量持币者之间代币的集中度。理想的收藏境况往往集中度较低，有利于个人参与者，而不是被巨鲸掌控。

不过，在最近的铸币项目中，出现了引入批量铸币的新趋势，参与者可以在一次交易中同时铸造一个以上的代币。通过这种机制，巨鲸铸造者完全可以以更少的 Gas 开销来铸造许多 NFT。

实践中的一个例子是 Stoner Cats 空投，这是一个可收藏的 NFT 铸币项目，用于支持好莱坞女影星 Mila Kunis 和她的朋友制作动画短片，允许一次铸造多达 20 个 NFT。 鉴于此功能的存在，其中 89％ 的 NFT 是通过批量铸造功能铸造的，近 31％ 的 Stoner Cats 全部是由单次铸造 20 个 NFT 的有钱人批量生产而出。

此外，所有以固定价格出售的 NFT 都隐含地将出资能力低于清算价格的人群挡在门槛之外。考虑到铸造成本高昂，这降低了分配的公平性，让那些财力更为雄厚的人群受益。

受信任的运营者

无论是实施中心化摇号机制以防止 Gas 战争，还是通过 Chainlink 以提高公平性，一个常见的权衡是对第三方引入信任假设。NFT 铸币项目必须依赖的链下基础设施越多，用户就需要对中心化的链下实体有越多信任。

完美启动的小目标

通过观察这些启动活动并分析人们在实践中遇到的问题，我们现在可以得出我们所认为的 NFT 启动的六个理想属性。我们不奢求这是一个尽善尽美的清单，但这是一个起点。

无法作弊的公平性：NFT 启动必须具有真正的随机性，以确保作弊用户不能以牺牲欠成熟用户的利益为代价来狙击最稀有的物品。

不设竞争条件： 每当 NFT （或实际上是任何商品）以低于其公允市场价格的价格出售时，它就会变成以太坊联合创始人 Vitalik Buterin 所说的「其他手段的拍卖」。在实践中，买家竞相让自己的交易尽快被挖到区块中，或附上大笔贿赂来激励矿工。任何以其他手段拍卖的人都对区块链有深入了解，并可以使用机器人等动力工具、Flashbots 或 Eden 等私人中继，甚至直接提交给矿工。

不受时区制约： 通常「先来先得」的模式在特定区块高度发布，然后在短时间内售罄。无论选择什么区块高度，它总是会对当前正处于睡眠时间或忙于工作的其他时区用户不利。因此，发布时间跨度不应太短，使人们可以在不改变日常生活的情况下参与其中。

节省 Gas 费用： 在链上交易（尤其是在以太坊上）的成本非常昂贵，因此一个好的 NFT 启动，应该尽量减少用户必须进行的交易数量。

包容性和抗 sybil 攻击： 通常，确保 NFT 创作者的最佳利益是确保发布对不同的持币者群体开放，即使它最初导致市场清算速度略低。这是因为，一个充满活力的社区最终会推动收藏品在二级市场上的价值。

无需信任：当然，综上所述，启动机制应该能够保持底层区块链的属性。这意味着它必须提供上述好处，而不会遭遇监管，或需要对运营商进行过多的信任假设。

「不公开即安全」不应是启动机制糟糕设计的借口

大多数 NFT 启动理论上存在上述一个或几个问题，但在实践中，同时出现这些问题的需求不足。 这是一个「不公开即安全」的示例。

例如，如果一个新 NFT 系列的市场感知价值较低，则可能不存在导致内存池中竞标战的竞争条件，不需要购买优先区块空间，掠夺性用户也没有对其作弊的动机。同样，如果一个新 NFT 系列有太多需求，那么该系列可能会很快售罄，以至于没有时间为其编写定制软件或对其公平性进行作弊。

虽然安全需求太少是个问题，但我们认为，人们应该始终将其 NFT 启动设计为在所有市场条件下都保持稳健，尤其不要过于依赖快速售罄的产品系列，作为保护它们免受作弊的一种手段。

NFT 启动细节拆解

虽然我们现在知道，我们需要一个出色的发布，但仍然不知道如何实现。可以通过拆解幕后实际发生的事情，来慢慢揭示这条路径（或者，正如我们将看到的，会有很多路径）。

每次 NFT 启动都包含四个步骤：

• 竞标 : 销售激活，用户向运营商（可以是智能合约）提交出价。
• 清算 : 运营商将收集到的投标竞标与剩余供应进行匹配，确定清算价格，并选择中标者。
• 分发 : 竞标赢家可以领取他们新铸造的 NFT （或从运营商处接收）。
• 原数据披露 : 运营商披露 NFT 属性数据。

以 Loot 为例。Loot 的先来先得销售在 13,108,877 区块高度上线。该收藏品的创作者 dom 在智能合约中将销售价格设置为零，但用户仍然必须通过 gas 竞标拍卖。每个区块，矿工都会对剩余供应清算的新出价，决定谁赢谁输。用户竞标成功时，会在同一笔交易中收到了该 NFT。

大多数用户在收到 NFT 后才了解 NFT 的具体属性。不过，在实践中，一个高技能用户可以在铸造之前从智能合约中读取 NFT 的属性，使得他们可以狙击收藏中最稀有的物品。这表明，无论其他步骤是顺序发生还是连续发生，必须在物品被购买并最终清算后，才能显示元数据。

接下来，我们将探索 NFT 开发者在四个步骤中每个步骤中所拥有的选项。我们讨论每个选项对理想属性的影响，从而筛选掉坏的选择，优选出好的设计选择。

步骤 1: 竞标

在这一阶段，运营商从其用户中收集竞标（例如，求购请求）。

连续 vs. 顺序清算

首先，运营商必须决定他们是否希望在相同或两个非重叠阶段内连续进行竞标和清算。

任何先来先得、固定价格销售（迄今为止大多数 NFT 启动是这些形式）都是持续清算的一个例子。每个区块，矿工都会查看竞标，并根据剩余供应量进行清算。

这种机制存在几个问题：如果运营商高估了 NFT 的清算价格，则 NFT 价格太贵，可能卖不完。如果运营商低估了 NFT 的清算价格，则这些 NFT 价格太便宜，用户会通过速度（谁最直接访问区块空间）或 Gas 价格（谁可以为其交易向矿工支付最多费用）展开竞争。正如前文所讨论的，这会导致因交易失败导致大量经济损失，并极大地有利于高技能参与者。如果必须的话，第一种选择可以通过将所有用户交易路由到 Flashbots RPC，并让拍卖在失败交易没有成本的环境中进行来予以缓解。

当采用第二种选择时，投标和清算发生在两个不重叠的阶段。在实践中，运营商首先收集所有投标，然后将它们与可用供应进行匹配，以公平的价格清算。这种方法包括批量拍卖或摇号等机制。这种方法的一个例子是 Jay Pegs Auto Mart，它给了用户一周的时间在市场清算之前提交他们的出价。

顺序方法有多个好处，与我们所阐述的目标一致：

• 不设竞争条件：用户有足够时间提交他们的出价，结果取决于用户愿意支付多少，而不是其速度或技能。
• 不受时区约束：这一方法尊重在其他时区工作或生活的人。

此外，由于没有 Gas 竞拍，因此对其他网络用户不存在负外部性。

不过，这种方法存在缺点，例如需要更多的链上交易（取决于拍卖设计）或降低了参与者的乐趣，因为他们现在不得不等待更长的时间。我们建议不要让投标期太长，以减轻后一种担忧，也许最好