SUI:Sui MoveCTF 攻防_MOVE

https://movectf.movebit.xyz/

Git: https://github.com/shanxuanchen/MoveCTF

第一題是check in題，需要用戶準備好環境即可。觸發合約，然后提交對應的簽名即可。

這道題其實稍微有點難～～～～

我們先看一下get flag的條件：

要拿到Treasury Box

隨機數要剛好達到0

我們知道其實隨機數達到0的概率非常小，其實此時幾乎可以確定此題的最大考點：

Mysten Labs和Battlemon合作在Sui上推出Web3游戲:金色財經報道，Web3基礎設施公司和Sui Layer1區塊鏈的初始開發商Mysten Labs今天宣布，它已與Web3 GameFi生態系統Battlemon建立合作伙伴關系。通過此次合作，Battlemon將推出其領先的NFT、DeFi和游戲中心，包括各種鏈上和鏈下游戲的開放世界。Battlemon將利用Sui獨特的去中心化NFT和鏈上游戲基礎設施、機制和智能合約，為玩家提供一流的體驗。[2023/3/22 13:18:26]

**隨機數攻擊**

Sui Network正募集Wave 3測試網驗證者，2月28日截止:金色財經報道，公鏈項目Sui Network正在募集Wave 3測試網的驗證者，截止日期為太平洋標準時間2月27日23:59（北京時間2月28日15:59）。

金色財經此前報道，Sui Network于2月17日宣布結束Wave 2測試網活動已結束，并關閉質押游戲Frenemies。目前尚未發布Wave 2測試網活動回顧以及Wave 3測試網的更多細節。[2023/2/23 12:23:57]

瑞士加密資產經紀商Bitcoin Suisse完成4800萬美元A輪融資:瑞士加密資產經紀商Bitcoin Suisse宣布在A輪融資中成功籌集了4800萬美元，這使該公司的總估值超過了3億瑞士法郎（約合3.27億美元）。該公司稱計劃在啟動STO之前，利用這筆資金來增強其抵押服務和保管解決方案。（cryptopotato）[2020/7/25]

從slay_boar_king的方法里可以看到，當滿足d100 == 0時（隨機數的結果為0），sender就可以拿到box資源。當然，我們前提是要能打贏怪物boar。打贏怪物boar純屬就是一個簡單的循環邏輯了，只要攻擊力和防御力有一定就可以了。

所以，我們需要循環100多次slay_boar。然后積累一定的經驗值，然后升級即可。

本題的兩個隨機數重要變量是：

tx hash

ids_created（這個是object new出來之后的自增ID）

我們采取的攻擊方法很簡單：

**固定tx Hash，然后模擬隨機數的生成，然后遍歷ids_created**。

最難的部分是自己手動組裝seed，這里直接放答案：

這套我是AC了的。這道題有很大的漏洞，因為create_lend是一個public方法。通過創建一個0債務的新的資源，然后提交flag即可。

這道題其實就是考move的循環題，基本功的題目，兩次循環結果就能出來了。

參考鏈接：

https://mp.weixin.qq.com/s/-OFe_E_XTzdRgBB0ilu9aw

來源：bress

Bress

個人專欄

閱讀更多

金色早8點

比推 Bitpush News

Foresight News

PANews

Delphi Digital

區塊鏈騎士

深潮TechFlow

鏈捕手

區塊律動BlockBeats

DeFi之道

Tags：SUIAVEREAMOVESUIAaave幣未來一個多少錢DREAMmove幣能長起來嗎

SHIB