10月14日,CheezeWizards在以太坊主网上线。不到24小时,玩家@samczsun向官方反映,游戏合约存在一个严重的Bug,使用这个Bug可以利于不败之地。随后CheezeWizards决定采用分叉的解决方案来保护用户的权益。CheezeWizards已经修复了此Bug并部署了新的智能合约,奖池中损失的178ETH也已经被补上,但CW并没有关闭有问题的游戏而是让它成为了一个黑客乐园。
独孤求败的Bug
我们先来看看一场正常的芝魔师对决是如何进行的:玩家A挑战玩家B玩家B接受并提交出招玩家A回应并提交出招玩家A揭示出招玩家B揭示出招智能合约裁决战斗结果决斗动画在cheezewizards.com上生成,玩家可以看结果再来看看如果玩家B利用“死亡之铃”Bug后的对决方式:玩家A挑战玩家B玩家B接受并提交出招玩家A回应并提交出招玩家A揭示出招玩家B故意超时而不揭示出招玩家B恶意调用resolveTimedOutDuel函数,将两名参赛者都变为玩家A,导致玩家A既是胜利者又是失败者的bug恶意调用:函数resolveTimedOutDuel正常调用:函数resolveTimedOutDuel不难发现,二者的区别在于在第5步,本该揭示出招的玩家B采用拖延战术耗完时间,然后恶意调用上述函数,实现稳赢。恶意调用函数将耗尽芝魔师A的能量,玩家A被判定为负,不过芝魔师B也将处于无效状态。这时玩家B再次调用resolveTimedOutDuel(WIZARD-B,WIZARD-B)修复该错误状态。此时,芝魔师A的能量消失的事实无法更改,而芝魔师B毫发无损。。当然,恶意第三方也可以调用rTOD合约来消灭芝魔师A的能量,不一定非得由玩家B触发。CheezeWizards的智能合约是经过精心设计的,因此一旦发布,将无法取出奖池内的奖金。因此,解决这个bug的唯一方法是部署新合约。问题合约中已有150个钱包地址中的芝魔师,总价值175ETH。现在,40,000美元已锁定在该合约中,在当前的战斗逻辑下赢得锦标赛是取出这笔奖金的唯一办法。坏消息是,目前在编号6133以下的一些芝魔师受到了影响。游戏官方提供了Txhash供玩家参考:https://etherscan.io/tx/0x0d497ea959406909edad945d332d0aa1ed2a41273c694ad385910720af2f86f3好消息是,该bug并不会破坏整个游戏,作为一名普通玩家,你几乎不受任何影响。而且在允许上述这种肮脏的战斗方式存在的情况下,芝魔师锦标赛依然可以继续进行。官方称其为CheezeWizard:未杀菌版。所谓的未杀菌版是指DapperLabs于2019年10月14日部署的CheezeWizards智能合约的版本。未杀菌版包含上述的bug,恶意玩家可以利用该bug攻击普通玩家的能量,尤其是那些使用Web界面访问游戏的玩家。但CheezeWizards官方表示,此bug对某些喜欢耍花招的技术型玩家来说,会让游戏变得更加有趣。出了bug哪里"有趣"?
Larry Cermak:编写开源代码的能力和拥有隐私的普通用户是加密货币中最重要的原则之一:金色财经报道,The Block研究副总裁Larry Cermak在社交媒体上称,我认为现在要问的一个有趣的问题是,为什么只有 Tornado Cash 受到影响,而其他隐私项目(如 CoinJoin、Monero 甚至 Zcash)仍然可以,是因为最近使用了 Tornado,还是有其他一些因素在这里起作用?只是奇怪,无论如何,编写开源代码的能力和拥有隐私的普通用户是加密货币中最重要的原则之一。我们需要尽我们所能保护那些将他们的安全置于危险之中的开发者。[2022/8/13 12:23:23]
如上所述,似乎玩家A一直只能是受害者。他们按规则地展示了自己之前提交的游戏招式,然后他们的能量竟然就没了。当然玩家B并不能吸收这些能量,但是他成功地淘汰了对手让玩家A无法再继续参与游戏了。除非……有趣的地方来了。玩家B冒着风险没有揭示自己的招式,按照CheezeWizards的规则,不揭示已经成功提交的招式意味着自动弃权。这种时候,如果在玩家B恶意调用rTOD之前,玩家A或者系统使用正确的方式调用rTOD方法,提交正确的参数:functionresolveTimedOutDuel(WIZARD-A,WIZARD-B),玩家A将会取得胜利并且获得玩家B的所有能量!所以新的游戏玩法诞生了。如果玩家判断对手准备利用bug来对付自己,那么就可以反过来利用正确调用rTOD的方法来夺走对手的能量。胜负的关键在于谁率先调用rTOD(DR小伙伴注:即便是同一时刻调用,gasfee高的交易会更快被矿工打包)。不过诚实的玩家更有优势:他们获胜时可以淘汰掉不诚实玩家并吸收他们的能量,而不诚实玩家即便获胜了,也只是将诚实玩家淘汰,并不能让自己获得更多能量。而且不要忘了,CheezeWizards官方一直运行着后台程序监测有没有超过90分钟未揭示招式的比赛,一旦发现会自动触发正确的rTODs方法。需要注意的是:未杀菌版芝魔师并不适合所有玩家。参与者需要完全意识到风险。很多玩家将会运行自动化脚本来保证自己率先触发rTODs方法,不管是作为诚实方还是不诚实方。玩家需要想想自己是否有胆量来玩这个有趣的游戏。所以,找到适合自己的方式再来参与未杀菌版芝魔师吧。接下来让我们深入到代码层面。在代码层面检视bug
分析 | 无需过度指责MakerDAO的终止和暂停服务条款:推特用户grubles指出,根据第9条条款:MakerDAO能够“立即终止或暂停全部或部分服务以及您的DAI系统和软件访问,无需事先通知或承担责任”。只有当用户怀疑违反了MakerDAO的任何其他使用条款或条件时,才会发生这种情况。一些以太坊评论家指出这是一个缺陷,但是Beincrypto文章称实际上这个故事更复杂。毕竟,目前没有MakerDAO用户在没有被通知的情况下被删除的案例。可以说,这一规定只是出于常规的法律习惯,很可能永远不会被使用。此外,没有中央实体能够关闭MakerDAO。作为去中心化自治组织,MKR代币持有者的绝大多数必须投票才能决定暂停特定活动。这样的举动不仅极不可能,而且与持有者的利益背道而驰。分布式金融(DeFi)无疑将是未来几年以太坊的主要领域之一,实际上也是整个加密货币领域的主要领域之一。然而,就像常规金融一样,这必须带有一些法律术语。就像在传统金融中一样,将会有细则来确保对所有参与方的保护。这些法律约束是不可避免的,用它们来对付MakerDAO是不公平的。比特币可能没有任何“细则”,但它也没有试图进入分布式金融领域。(Beincrypto)[2019/11/20]
事情的起因是,两位玩家在战斗中相互提交招式,其中一位有意或无意地不揭示他放出的招式。这时,为了让另一个玩家可以结束这场漫长的战斗,CheezeWizards允许玩家发起一个"单边揭示"的交易。这其实是一个特殊情况,正常的游戏中不会遇见。rTOD漏洞只在一种情况下发生,也就是在战斗中。一位玩家已经揭示了招式,另一位玩家一直不揭示招式直到时间截止(90分钟)。当只有一边揭示招式然后另一边等待到时间截止时,任何一个怀有恶意的用户,都可以用错误的方式调用rTOD合约,以此来冻结诚实玩家的能量。假设诚实的玩家A正在使用号码#1000芝魔师与使用号码#2000芝魔师的玩家B作战,玩家B打算使用”死亡之铃“bug。两位巫师都选择了自己的招式进入决斗。玩家A展示了自己的出招,而玩家B等待决斗超时,并调用resolveTimedOutDuel。让我们来看一下智能合约中的部分代码:最终,智能合约执行一次能量转移,认为该合约将全部能量转移给获胜的芝魔师,然后抽干失败的芝魔师的能量。然而,由于双方wiz1并wiz2都指向一个索引(#1000),所以先翻倍了#1000芝魔师的能量......然后抽干了他。值得庆幸的是,通过在函数顶部添加一个简单的require语句来确保两个芝魔师ID是不同的,可以轻松修复此错误。require这个智能合约已经过SigmaPrime的正式安全审查,CheezeWizards相信没有其他问题可以阻止比赛按预期进行。看到这里,想必大家已经了解,要玩转未杀菌版CheezeWizards还是需要一定技术门槛的。如果你是一个想要黑吃黑的黑客,请跳到unp.cheezewizards.com。普通玩家请依然在cheezewizards.com参赛吧。
动态 | Celsius Network创始人发推文抨击DeFi,MakerDAO代表已做出回应:加密货币借贷平台Celsius Network的创始人Alex Mashinsky今日发推称:”Celsius的用户数量是所有DeFi产品加起来的两倍。这是因为我们将80%回馈给社区,而Maker和其他DeFi产品则会保留50%。你认为DeFi是真是在乎你的利益?”随后,MakerDAO欧洲业务发展代表Gustav Arentoft发推回应称:“Maker并未保留50%,我们把所有赚回来的钱都还给了用户。我们没有中心化平台的开销。你能更正推文内容吗?同时,祝贺Celsius取得的进展。Celsius表现不错,但没有理由抨击。”(CoinGape)[2019/10/23]
动态 | MakerDAO中出现近100万美元贷款:据coindesk报道,MakerDAO系统中第五大贷款头寸今日增发了100万枚新的DAI代币,高达99.62万美元贷款的交易费仅为73美分。此前在6月下旬,MakerDAO系统中的第七大抵押债券头寸(CDP)发行了100万新的DAI代币。 据报道,CDP基本上是程序性贷款,用户锁定持有的ETH以从MakerDAO系统中提取后续的DAI。维持该系统的基金会表示,最近ETH价格的上涨使得大额贷款变得更加普遍。[2019/7/10]
声音 | MakerDao中国区负责人:DAI稳定费利率提升是为了促进还款:近日,去中心化借贷平台 Makerdao将DAI的年化利率再度提升。MakerDao中国区负责人潘超表示:利率提升最根本的原因在于DAI目前的价格低于锚定的1美元;由于过去几个月抵押ETH数量增加,DAI的出借数量猛增,导致价格近期低于1美元,为了促使更多的人还款,Makerdao本月连续两次调整利率;目前来看,利率增加后还款数量开始增加,Dai有回归1美元的趋势。[2019/3/26]
标签:WIZWIZARDMAKEMakerWIZZWIZARD Vault (NFTX)Moon Maker Protocolmaker币行情
头条 香港证监会发布虚拟资产交易所监管细则,目前没有一家获得牌照今天下午17点,香港金融监管机构——香港证券及期货事务监察委员会发布《有关虚拟资产期货合约的警告》和《立场书:监管虚拟资产交易平台.
编者按:本文来自一本区块链,作者:棘轮比萨,Odaily星球日报经授权转载。币圈资金盘的受害者,都是从哪里入坑的?线下广告、微信朋友圈、身边朋友……如今还得再加一条:百度搜索.
MakerDao和CoinbaseEarn合作教会了10万美国用户如何使用智能合约借贷。最近DragonFlyCapital通过中国的一系列路演,也让这个最早的ETH去中心化组织项目更为中国市场.
编者按:本文来自区块律动BlockBeats,作者:0x22、0x29,Odaily星球日报经授权转载.
文|秦晓峰编辑|卢晓明出品|Odaily星球日报最近Tether又因为被集体诉讼火了。作为圈内一个“众矢之的”,Tether常常因为USDT发行和背后锚定资产的不透明而备受诟病,不过,通过一些公.
编者按:本文来自中本小葱,作者:小葱姐,Odaily星球日报经授权发布。Libra董事会成员与Facebook及其高管关系密切,Libra协会宣称的“多样化和全球化”或再遭质疑.