PeckShield预警“玩家”高回报异常获利
7月27日凌晨3点至上午10点,PeckShield安全盾风控平台DAppShield监测到THeRTT开头的地址在参与MULTI.TODAY合约游戏时,持续获得高回报异常获利,短短数小时内便获利102,652个TRX。
PeckShield安全人员分析发现,该“玩家”采用了一种针对游戏机制的“卡位”回滚投注方式,通过部署脚本合约来参与游戏,利用游戏本身存在的运营机制“不平等”特性,成功实施“卡位”进而获取最大的投资回报率。
这类似于互联网上利用脚本程序恶意刷单,把原本属于普通玩家的收益权限给侵占了。这让人想起,去年Fomo3D火爆时,黑客利用以太坊公链因gas费用机制存在的交易拥堵问题,成功制造阻塞,拿走10,469个ETH奖金的攻击事件。
Kleiman团队声称澳本聪已拥有加密“Satoshi”文件密钥:Ira Kleiman的法律团队声称澳本聪已经有能力打开该案核心的加密文件,该文件据信包含超过82万比特币的私人密钥。根据5月21日提交的法庭文件,Kleiman团队声称赖特“有能力打开加密文件,但不会,因为它将包含合作关系及其比特币持有的证据”。 Kleiman方面称,价值160万美元的比特币(BTC)是从提供给法庭的地址中支出的,以此作为澳本聪有权使用比特币的证据。还有澳本聪公开威胁要搞垮比特币市场的行为,这些都需要使用大量比特币。文件中写道:“澳本聪一直在从事伪证、伪造证据、误导性文件和妨碍的行为。”(Cointelegraph)[2020/5/22]
这个“聪明”的玩家,采用了类似Fomo3D式的“特殊方式”,狠狠地薅了MULTI.TODAY游戏一把羊毛。
“wojak”重现江湖
声音 | 澳本聪:不要向我问投资建议:澳本聪(CSW)刚刚在推特表示:不要向我问投资建议,现在和将来我都不会是某人的顾问。如果想致富,那就应该学习、工作、创业,这才是致富的路径。[2018/12/11]
这个“聪明”的玩家究竟是何方神圣呢?
PeckShield安全人员进一步分析发现,THeRTT开头的地址就是此前大名鼎鼎的“wojak”,他曾经攻击过TronBankPro,并因此获利2,673万个TRX。
当时TronBankPro遭攻击的原因是,其合约代码中留有“后门”,而“wojak”则成功地命中了后门,并将合约余额全部取走了。尽管这件事情本身扑朔迷离,是巧合还是背后有阴谋,到现在都没人说得清楚,然而,这倒让“wojak”这一代号名扬四方了。不禁要问,此次“wojak”重现江湖,又会掀起怎样的风浪呢?
声音 | 澳本聪:比特币的P2P网络不是矿工 而是用户:nChain首席科学家澳本聪(Craig Wright)发推称,比特币矿工不是比特币的P2P网络,用户才是。这是核心协议所改变的东西。IP-2-IP模式已经被彻底抛弃了。P2P意味着用户之间可以直接发送交易或进行协商,而不需要涉及节点(矿工)。[2018/12/5]
MULTI.TODAY游戏玩法说明
要理清这个问题,我们得先系统了解下MULTI.TODAY游戏。按照官方说明,所有参与投资的玩家会组成一个队列,每次排名队列首位的玩家会获得投资额的11%—41%作为回报,之后该玩家会被移除队列。
只要不断有玩家参与投资,那么先参与游戏的玩家都将获得丰厚回报,同时,为了避免最后一位玩家吃亏,游戏还规定如果持续30分钟没有后续玩家投资,那么最后一位玩家将获得奖池的5%作为回报。
独家 | 昨日新增188个代币型智能合约 FoMoKiller long风险最高 ?:第三方大数据评级机构RatingToken最新数据显示,2018年8月19日全球共新增1375个合约地址,其中188个为代币型智能合约。
?
在RatingToken同时发布的“新增代币型智能合约风险榜”中,FoMoKiller long(FoMoKiller)、Okami PK Soon(tm) Edition(Okami)和Partners.RPK.Capital_USD_2.0(RPK_USD_2.0)风险排名前三,其中FoMoKiller long(FoMoKiller)检测得分1.5,存在22个安全风险。此外,此风险榜TOP10的其它合约还有BitLion Token(BOON)、DECENTURION Classic(DCNT)、Render It Coin(RNDIT)、Moonlight Token(LX)、zxl(朱学龙)、Yan Bo Coin(YBC)和
Scepter Advanced Blockchain Enterprise Rewards(SABER)。如需查看更多智能合约检测结果,请点击原文链接。[2018/8/20]
“wojak”的卡位回滚操作技术原理
独家 | FoMo3D系列山寨合约出现爆发式增长均被检测为高危Dapp:继第三方评级机构RatingToken连续2日对FoMo 3D合约进行报道后,今日又涌现出更多仿冒的智能合约,且大小资金盘相继流入到该类仿冒Dapp中。
RatingToken.net网站监控到,AirDropMe 、F3D Plus、FoMo Now和FoMo Lightning等新合约均为FoMo 3D的“修改版”。这些仿冒智能合约不仅代码抄袭(仅分别将FoMo 3D合约代码中的倒计时更改为3分钟、10分钟不等),连网站源码也像素级拷贝,因此同样不可避免地存在各类高风险漏洞。例如风险榜排名第一的AirDropMe.io网站的智能合约得分仅为2.0分(满分5.0分),共存在18个漏洞,合约内资金存在重大安全隐患。RatingToken提醒Dapp玩家,一定要远离该类存在重大安全漏洞合约的庞氏局游戏。[2018/7/23]
MULTI.TODAY于每天的22:00GMT3(北京时间凌晨3点)开启新的一轮游戏,只有当游戏正式开始后,玩家的投资才会被认可。由于游戏规则的设定,所有玩家都争抢着第一个参与。
通过PeckShieldTRON大数据分析平台,可以看到在北京时间07月27号凌晨3点之前,多个玩家尝试参与游戏,但因为游戏时间还没有开始,交易都被回滚了:
当游戏时间到达后,有多笔交易都被打包进了11315294区块。在这个区块中与该游戏合约有交互的前两笔交易分别为“wojak”发起的Tx1合约交易,以及由普通玩家发起的Tx2交易。
下图2为普通玩家发起的交易,图3为“wojak”发起的合约交易:
“wojak”首先调用TK5HmY地址开头的合约,再由TK5HmY地址开头的合约调用游戏合约完成投资。PeckShield安全人员分析后发现,区别于普通玩家,“wojak”发起的交易可不简单,存在多层调用。
TK5HmY地址开头的合约首先调用MULTI.TODAY智能合约中的startTime(),prizeAmount()等静态方法,以此来判断游戏是否开始,是否已有玩家投资;当确认游戏开始,且尚未有玩家投资后,再多次调用游戏合约的deposit()方法进行投资。虽然游戏合约设置在返利后移除排名队列首位的玩家,但因为该玩家是通过合约来进行多次投资的,可以保证被移除后仍然保持榜首。“wojak”获利的关键是得让这笔合约交易率先被SR节点打包。
在以太坊中,攻击者可以通过提高gasPrice来恶意竞争,让交易被矿工先打包处理,而波场没有类似gasPrice的概念,所有交易是通过SR节点打包产生的。“wojak”事先准备好自动化脚本,在时间到达前通过自动化脚本不断调用合约来完成交易,这会比普通玩家的手速要准确的多。同时,智能合约中的交易都是原子操作的,只要上链,合约可以保证交易中的所有操作按顺序进行,这就大大提高了合约交易率先被SR节点处理的概率。
从链上数据分析看,“wojak”通过合约投资32次,单笔交易就获利近10万个TRX。他确实是一位极度聪明的玩家,当其他玩家还在拼手速时,他已经通过部署合约的方式,制造了不平等特殊权限,获取了丰厚回报。
下图为“wojak”的合约调用流程:
“wojak”除了在MULTI.TODAY每轮游戏开始时争当头名玩家外,PeckShield安全人员还发现,针对游戏第二种类似Fomo3D式的玩法,“wojak”也一直在“守株待兔”。
例如TKjcLB地址开头的账户于07月27号09:13:57发起了一笔投资,在此之后的30分钟内没有玩家参与,直至09:43:57,“wojak”发起了另一笔交易,在最后时刻成功阻拦TKjcLB地址开头的账户获得大奖。跟之前分析类似,“wojak”的这笔交易也是调用游戏合约的stage(),getCurrentCandidateForPrize()等静态方法,获取游戏当前回合数和投资资金,以此判断30分钟内是否有玩家参与。
事件后续
PeckShield安全人员在发现该问题后,第一时间和游戏项目方取得了联系,项目方也及时升级了合约。
需要说明的是,“wojak”并没有攻击MULTI.TODAY合约,MULTI.TODAY游戏本身也不存在相关智能合约的漏洞,“wojak”只是聪明地利用了合约的设定规则,达到了“薅羊毛”获利的目的,不能称其为一次黑客攻击行为。
不过,透过事件本身我们看出,上次TronBankPro事件并非偶然,“wojak”确实是一位不折不扣的“技术牛人”。
写在最后
虽然此次事件并非因漏洞诱发的黑客攻击行为,仅是聪明“玩家”合理利用游戏机制实施的高智商薅羊毛行为,但其暴露的问题却值得我们深思:
1、游戏运营机制设计的缺陷同样会威胁到游戏的参与体验,透支并伤害大部分普通用户对游戏本身的信任;
2、合约玩家对如今DApp生态而言是把双刃剑,合约会帮助黑客以最低的成本,扫荡全网大量DApp,且总能找到疏漏之处,进而下手;
3、游戏项目方应完善自身的风控应急响应机制,一旦监测到异常获利或攻击行为,应立即对游戏实施一键暂停,终止正在进行的攻击行为,必要时可寻求第三方安全公司帮助,进而减少或避免数字资产损失;
4、游戏玩家在参与游戏时,应时刻注意项目官方或者安全公司发出的预警消息,对于已经遭受攻击尚未停止运营的游戏,应避免再次参与,以免遭受更大的数字资产损失。
01 LedgerX推出首个实物交割比特币期货合约据Coindesk报道,LedgerX已在美国正式推出首批实物交割的比特币期货合约.
BiKi.com即将开放QQBC的充值、提现,并开放QQBC/USDT交易对,具体时间如下:1、开放充值时间:8月5日10:00;2、开放提现时间:8月5日10:00;3、开放交易时间:8月6日.
前言:本文分析了加密市场中比特币与其他代币资产之间可能的相关关系,当市场处于不同的周期时,代币之间产生不同的影响。比如比特币呈现抛物线增长时,具有明显的吸血效应.
近日,自称比特币发明者的CSW对BitcoinCash支持者RogerVer提起的诽谤诉讼已被英国一家法院驳回,理由是该诉讼“站不住脚”且“不合理”.
2008年的次贷危机,美国的利率一路降至接近零利率的0.25%,全球进入的降息周期,在“滔天洪水”下美股也走出超级大长牛,中国的房子也飞起来了。从历史上看,每一轮降息周期都会都会对应一个牛市.
作者|胡琛,转载请注明出处从回购销毁到活动赠送,币圈交易所在市值管理的路上越走越溜。现在,市值管理的指针指向了“锁仓”,玩家是火币.