PeckShield預警“玩家”高回報異常獲利
7月27日凌晨3點至上午10點,PeckShield安全盾風控平臺DAppShield監測到THeRTT開頭的地址在參與MULTI.TODAY合約游戲時,持續獲得高回報異常獲利,短短數小時內便獲利102,652個TRX。PeckShield安全人員分析發現,該“玩家”采用了一種針對游戲機制的“卡位”回滾投注方式,通過部署腳本合約來參與游戲,利用游戲本身存在的運營機制“不平等”特性,成功實施“卡位”進而獲取最大的投資回報率。這類似于互聯網上利用腳本程序惡意刷單,把原本屬于普通玩家的收益權限給侵占了。這讓人想起,去年Fomo3D火爆時,黑客利用以太坊公鏈因gas費用機制存在的交易擁堵問題,成功制造阻塞,拿走10,469個ETH獎金的攻擊事件。這個“聰明”的玩家,采用了類似Fomo3D式的“特殊方式”,狠狠地薅了MULTI.TODAY游戲一把羊毛。“wojak”重現江湖
以太坊NFT FOMO情緒下滑至2021年以來最低水平:金色財經報道,據RoundtableSpace發推表示,“上周買賣以太坊NFT的活躍交易者數量下滑至約49,000人,為2021年以來的最低水平。以太坊NFT底價下跌,加上市場波動加劇,抑制了普通交易員通常的購買緊迫感,即FOMO情緒。”[2023/5/19 15:13:44]
這個“聰明”的玩家究竟是何方神圣呢?PeckShield安全人員進一步分析發現,THeRTT開頭的地址就是此前大名鼎鼎的“wojak”,他曾經攻擊過TronBankPro,并因此獲利2,673萬個TRX。當時TronBankPro遭攻擊的原因是,其合約代碼中留有“后門”,而“wojak”則成功地命中了后門,并將合約余額全部取走了。盡管這件事情本身撲朔迷離,是巧合還是背后有陰謀,到現在都沒人說得清楚,然而,這倒讓“wojak”這一代號名揚四方了。不禁要問,此次“wojak”重現江湖,又會掀起怎樣的風浪呢?MULTI.TODAY游戲玩法說明
現場 | 觀點:很多DeFi還是披著DeFi羊皮的fomo:金色財經現場報道,10月28日,第六屆區塊鏈全球峰會的數字金融主題論壇于上海開幕,在論壇的圓桌討論環節,
HashQuark首席執行官李晨分享表示,為什么Uniswap會火,因為很多DEX雖然用去中心化技術,但還是掛單模式,Uniswap使用了去中心化的模式和去中心化的技術實現的。此外,很多DeFi的超額抵押,
NEAR Protocol聯合創始人一龍分享表示,對于AMM來說,不能用戶和流量的思維去看。此外,目前加密貨幣在擴展性方面還遠遠不夠,所以要很多的資源帶動用戶參與進來。
Acala理事會成員姜富耀分享表示,很多DeFi還是披著DeFi羊皮的fomo,只是對于資產的再分配,對于收益非常大的產品,是不可能持續的,需要一些持續的產品出現。[2020/10/28]
要理清這個問題,我們得先系統了解下MULTI.TODAY游戲。按照官方說明,所有參與投資的玩家會組成一個隊列,每次排名隊列首位的玩家會獲得投資額的11%—41%作為回報,之后該玩家會被移除隊列。只要不斷有玩家參與投資,那么先參與游戲的玩家都將獲得豐厚回報,同時,為了避免最后一位玩家吃虧,游戲還規定如果持續30分鐘沒有后續玩家投資,那么最后一位玩家將獲得獎池的5%作為回報。“wojak”的卡位回滾操作技術原理
動態 | DApp影響力排行榜:FOMO類游戲再次上榜:今日,TokenInsight發布2019年第3周DApp影響力排行榜:ETH 排行榜第3的DApp是僅僅上線9天的Fomo2Moon,截止周日,相比最高點活躍用戶數已經跌去80%,交易額跌去96%。另外,質押借Dai?DApp受上周空投活動影響排名第4。EOS排行榜中由于鯨交所17日開始發起交易體驗活動,在用戶量和交易額上有所提升,重新占據了榜單第1名。TRON 排行榜中首次出現了糖果盒類DApp,排名第7,與EOS上的糖果盒類DApp玩法完全一樣。[2019/1/21]
MULTI.TODAY于每天的22:00GMT+3(北京時間凌晨3點)開啟新的一輪游戲,只有當游戲正式開始后,玩家的投資才會被認可。由于游戲規則的設定,所有玩家都爭搶著第一個參與。通過PeckShieldTRON大數據分析平臺,可以看到在北京時間07月27號凌晨3點之前,多個玩家嘗試參與游戲,但因為游戲時間還沒有開始,交易都被回滾了:
獨家 | Fomo3D玩法被Retro Block項目升級至“預購分紅” 資金監管存重大疑問:第三方大數據評級機構RatingToken最新數據顯示,2018年8月20日全球共新增1243個合約地址,其中340個為代幣型智能合約。在RatingToken同時發布的“新增代幣型智能合約風險榜”中,FourInOne Long Official(FD)、POHMO(POHMO)和duang8(duang8)風險最高排名前三,其中FourInOne Long Official(FD)存在23個安全風險,檢測得分為2。
另外RatingToken安全審計團隊發出風險提示,類Fomo3D的山寨項目層出不窮,未發布游戲項目出現利用“預購分紅”的形式,要求用戶提前購買游戲分紅配額的案例增加。近期上線的Retro Block項目官網和白皮書都頗為粗糙,更嚴重的是,80%的眾籌金額都會進入finance和jackpot兩個個人地址,白皮書所描述的資金分配和監管無任何約束力。官網顯示該項目眾籌金額已完成soft cap要求的300個 ETH。RatingToken提醒此類“預購分紅”玩法無任何有效約束風險極大,請投資者一定謹慎關注。
此外,其他登上該風險榜TOP10的還包括VRclearsky(SKY)、Orderbook GBP(OGBP)、abcdEfg(a2g)、NMB520(嫩模幣)、AssetAdviceRCompany(AARC)、多比特幣(DOBT)和FairyCoin(Fairy)。如需查看更多智能合約檢測結果,請查看原文鏈接。[2018/8/21]
當游戲時間到達后,有多筆交易都被打包進了11315294區塊。在這個區塊中與該游戲合約有交互的前兩筆交易分別為“wojak”發起的Tx1合約交易,以及由普通玩家發起的Tx2交易。下圖2為普通玩家發起的交易,圖3為“wojak”發起的合約交易:
動態 | Fomo3D quick版本存在交易異常 Fomo3D發出警告:據安比(SECBIT)實驗室,Fomo3D開發團隊發出最新警告,提醒大家暫勿參與Fomo3D quick版本,因為觀察到在每輪快結束時交易有異常失敗情況發生,具體原因正在調查中,初步懷疑有礦池礦工牽扯其中。[2018/8/5]
“wojak”首先調用TK5HmY地址開頭的合約,再由TK5HmY地址開頭的合約調用游戲合約完成投資。PeckShield安全人員分析后發現,區別于普通玩家,“wojak”發起的交易可不簡單,存在多層調用。TK5HmY地址開頭的合約首先調用MULTI.TODAY智能合約中的startTime(),prizeAmount()等靜態方法,以此來判斷游戲是否開始,是否已有玩家投資;當確認游戲開始,且尚未有玩家投資后,再多次調用游戲合約的deposit()方法進行投資。雖然游戲合約設置在返利后移除排名隊列首位的玩家,但因為該玩家是通過合約來進行多次投資的,可以保證被移除后仍然保持榜首。“wojak”獲利的關鍵是得讓這筆合約交易率先被SR節點打包。在以太坊中,攻擊者可以通過提高gasPrice來惡意競爭,讓交易被礦工先打包處理,而波場沒有類似gasPrice的概念,所有交易是通過SR節點打包產生的。“wojak”事先準備好自動化腳本,在時間到達前通過自動化腳本不斷調用合約來完成交易,這會比普通玩家的手速要準確的多。同時,智能合約中的交易都是原子操作的,只要上鏈,合約可以保證交易中的所有操作按順序進行,這就大大提高了合約交易率先被SR節點處理的概率。從鏈上數據分析看,“wojak”通過合約投資32次,單筆交易就獲利近10萬個TRX。他確實是一位極度聰明的玩家,當其他玩家還在拼手速時,他已經通過部署合約的方式,制造了不平等特殊權限,獲取了豐厚回報。下圖為“wojak”的合約調用流程:
“wojak”除了在MULTI.TODAY每輪游戲開始時爭當頭名玩家外,PeckShield安全人員還發現,針對游戲第二種類似Fomo3D式的玩法,“wojak”也一直在“守株待兔”。例如TKjcLB地址開頭的賬戶于07月27號09:13:57發起了一筆投資,在此之后的30分鐘內沒有玩家參與,直至09:43:57,“wojak”發起了另一筆交易,在最后時刻成功阻攔TKjcLB地址開頭的賬戶獲得大獎。跟之前分析類似,“wojak”的這筆交易也是調用游戲合約的stage(),getCurrentCandidateForPrize()等靜態方法,獲取游戲當前回合數和投資資金,以此判斷30分鐘內是否有玩家參與。事件后續
PeckShield安全人員在發現該問題后,第一時間和游戲項目方取得了聯系,項目方也及時升級了合約。需要說明的是,“wojak”并沒有攻擊MULTI.TODAY合約,MULTI.TODAY游戲本身也不存在相關智能合約的漏洞,“wojak”只是聰明地利用了合約的設定規則,達到了“薅羊毛”獲利的目的,不能稱其為一次黑客攻擊行為。不過,透過事件本身我們看出,上次TronBankPro事件并非偶然,“wojak”確實是一位不折不扣的“技術牛人”。
寫在最后
雖然此次事件并非因漏洞誘發的黑客攻擊行為,僅是聰明“玩家”合理利用游戲機制實施的高智商薅羊毛行為,但其暴露的問題卻值得我們深思:1、游戲運營機制設計的缺陷同樣會威脅到游戲的參與體驗,透支并傷害大部分普通用戶對游戲本身的信任;2、合約玩家對如今DApp生態而言是把雙刃劍,合約會幫助黑客以最低的成本,掃蕩全網大量DApp,且總能找到疏漏之處,進而下手;3、游戲項目方應完善自身的風控應急響應機制,一旦監測到異常獲利或攻擊行為,應立即對游戲實施一鍵暫停,終止正在進行的攻擊行為,必要時可尋求第三方安全公司幫助,進而減少或避免數字資產損失;4、游戲玩家在參與游戲時,應時刻注意項目官方或者安全公司發出的預警消息,對于已經遭受攻擊尚未停止運營的游戲,應避免再次參與,以免遭受更大的數字資產損失。
文|秦曉峰編輯|盧曉明出品|Odaily星球日報今年年后,比特幣走勢喜人,屢屢登上微博熱搜,吸引了大眾的目光。沒有登上比特幣列車的投資者,在轉身尋覓新的投資標的時,卻發現平臺幣的高鐵也開走了.
1900/1/1 0:00:00編者按:本文來自藍狐筆記,作者:ConsenSys,翻譯:HQ,Odaily星球日報經授權發布.
1900/1/1 0:00:00編者按:本文來自白話區塊鏈,作者:TimYang,Odaily星球日報經授權發布。我們每個人都需要擁有自己的一套數字身份,來安全地、私密地存儲我們數字身份相關的所有信息.
1900/1/1 0:00:00中國人民銀行8月2日召開2019年下半年工作電視會議,對下半年重點工作做出部署。會議要求,下半年要做好八項重點工作,其中一項重點工作就是,因勢利導發展金融科技,加強跟蹤調研,積極迎接新的挑戰.
1900/1/1 0:00:00七月初,BTC在創出14000美元的新高后遭遇“斷頭鍘”,主流通證紛紛深度回調。月內BTC兩次探底,在9000美元上方形成了雙底結構,后市有望走強.
1900/1/1 0:00:00從上周末開始,比特幣的漲勢驚人,一覺醒來,比特幣價格從9000多美金,直接漲到10000美金。上一次這樣的勢頭在是6月份,比特幣價格一度觸及14000美元,但是好景不長,七月份的時候,迎來了一場.
1900/1/1 0:00:00