BIT:分析 | Loot分叉的集体漏洞——稀缺性有规律可循_TRU

来源：Medium

作者：iamthetorn

翻译：思嘉

如果没有修改智能合约中使用随机性的方式，不要将Loot的代码用于新项目。

Loot的智能合约有一个设计限制，影响着初始代币分配的公平性。而那些使用Loot代码的新项目也存在这个漏洞。

本文不是要贬低Loot或任何相关公司，而是意在：

1.通过减少信息不对称，营造NFT的公平竞争环境；

2.减少程序错误或设计模式的继续扩散，以防将用户置于风险中。

Loot是一个由8000个代币组成的NFT集合，称为Bags。97%的NFT可由公众铸造，除了Gas费之外没有其他费用。

智能合约包含随机化和渲染层、逻辑层，允许它生成对应于任何代币ID的SVG。

每个Bag有8项属性，每一项都在智能合约上随机生成一个分值。分值越高，物品的名称可变性越强，物品也就更加稀有。

分析 | BTC 周均人气连续三周上升 搜索指数同步上升:据TokenInsight数据显示，反映区块链行业整体表现的TI指数北京时间02月19日8时报807.56点，较昨日同期上涨34.85点，涨幅为4.51%。此外，在TokenInsight密切关注的10大行业中，24小时内涨幅最高的为金融服务行业，涨幅为7.55%；24小时内跌幅最高的为治理协议行业，跌幅为1.44%。

据监测显示，BTC 24h成交额为$471亿，活跃地址数较前日下降3.1%，转账数较前日下降4.69%。Coinwalle分析师Jeffrey认为，BTC 周均人气连续三周上升，搜索指数同步上升，短期或将延续上行。

另据Bituniverse智能AI量化分析，今日行情可开启XRP/BTC币币网格交易，区间0.00002385-0.00003719 BTC，赚取币种轮动收益。[2020/2/19]

那么问题出在哪里呢？

Bag的内容是根据其代币ID确定的——这意味着在最初的代币分配之前或分配期间的任何节点，只要通过阅读智能合约，任何人都可以轻而易举地提前计算出整个Bag的供应量。

分析 | 比特币走势健康 “多军”依然坚定:瑞海君看币观点:目前比特币走势依然健康，没有出现放量上涨，说明持币者依然坚定，市场抛压继续减小；之前币安作为空军基地，持续打压比特币价格，今天早盘开始出现追涨现象，即市场上最坚决做空的力量已经翻多，放眼望去，身边已经全是多头战友，如果市场再次发生放量上涨的短线走势，即是波段见顶的信号，建议投资者提高自己的移动止损价位到11500附近。[2019/8/6]

由于claim()函数将代币ID作为一个参数，所以很容易从收藏品中挑选出最稀有的物品，并赶在其他人之前立即将其铸造完成。

如果合同代码在最初发行时是公开的，就会使得Loot和类似的项目很容易被游戏化。

事实上，Loot和其大多数模仿者都把使用Etherscan作为他们的造币UI，这要求源代码在Etherscan上经过验证。

公司已经确认，以下项目的初始发行版对上述的造币操作是开放的。Loot、Bloot、MoreLoot、n、CHAR0......

分析 | 比特币在避险资产中占据一席之地，公众参与度提高故推高其价格:据英国《金融时报》报道，比特币目前的上涨表明，公众参与程度提高从而推高了其价格，这是与“避险资产”相关的一个特征。比特币的飙升与日元、瑞士法郎和黄金等“经典避险资产”的价格飙升达成了一致。报道指出：“对于真正相信比特币的人来说这是一个迹象——表明比特币在避险资产中占据了一席之地。” 接受采访的还有数位业内人士。其中，印度新闻媒体Coin Crunch的Naimish Sanghvi表示，自2018年10月以来，他在投资组合中每月投入5000卢比用于投资比特币，利润率高达为100%。他补充称，就算是从2018年1月开始（在比特币价格达到历史高点之后）投资，利润率仍然可达64%。伦敦交易所LMAX Exchange首席执行官David Mercer亦表示：“比特币是数字黄金——它是传统避险资产的真正替代品。”[2019/7/4]

这是个非详尽的列表，在写这篇文章时，我还没有发现任何其他对此开放的项目。

分析 | 加密资产总市值若突破20均线压制 牛市或将启动:金色财经分析师：下图为当前加密资产总市值周线走势图，从图中可以看出自18年1月份以来随着比特币主流币等数字货币价格大幅下跌，加密货币总市值也在不断缩水，一直被周线20均线压制，目前总市值再次贴近该趋势线，对比上一次熊市走势，我们可以看到总市值尝试3次突破周线20均线下降趋势线的压制，不过均已失败告终，随后总市值进入长达31周217天的震荡筑底期，期间总市值成功突破20均线压制并且回踩确认，再次向上突破之后就一直在20均线上方运行，并开启了加密数字货币市场的慢牛走势。目前，总市值也已经连续3次突破20均线失败，大概率后期将进入底部盘整震荡区间，总市值也将有可能蓄力突破均线压制，开启下一次牛市，建议总市值下降至18年12月份低点时可加些仓位。[2019/3/12]

最令人担忧的是，这种游戏性会导致普通用户和内行或具有技术知识的用户之间产生的结果存在显著差距。

分析 | 0xeba开头地址清空18.7万个ETH:据searchain.io数据显示，今日13:33，0xeba开头的钱包地址向0x0bf开头的钱包地址单笔转入186,964个ETH，折合约37,953,692美元。金色财经分析师发现，0xeba开头的是一个创建于16年9月的地址，期间一直接收大额ETH的转账，仅此次一笔，清空其账户所有ETH。至于0x0bf开头的地址，为今日新建地址。金色财经分析师认为，此次大额转账为大户在迁移代币，仍需做进一步追踪。[2018/10/25]

漏洞1

MoreLoot是Loot的创造者dhof发布的Loot后续产品，截至本文写作时仅发布几个小时，从MoreLoot的链上数据中就可以明显地发现这一漏洞产生的影响。

上图显示了MoreLootBags可供铸币与实际铸币之间的分布差异。它包括目前该系列中超过130万个Bag的"greatness"分数。

如果铸币是随机的，我们期望这些分布是一致的。

恰恰相反，我们可以清楚地看到，虽然绝大多数的购买是"盲目的"，但有一小部分的交易是利用合同，只对最稀有的Bag铸币。

自GitHub上公布了稀有度排名后，这种有针对性的铸币活动的频率有所增加。

然而，即使在公开的LootDiscord中分享了这些数据后的几个小时，有针对性的铸币活动仍然只占铸币活动的一小部分，这表明大多数用户都被蒙在鼓里。

有些人可能会用MoreLoot来试试水，不会太认真对待，但仍应当考虑其实际影响。

比如用户为MoreLoot铸币支付了大约300万美元Gas费。这些铸币中的绝大部分是盲目的。

随着供应上限远远超过100万个代币，成千上万的"特殊"代币涌入市场，普通持有人的转售前景非常暗淡。

漏洞2：CHAR0

CHAR0是最近另一个基于Loot的项目，从UTC9月3日13:47到UTC9月4日11:56，在分发9700个代币的过程中，预计花费70万美元的Gas费。

作为这个项目的早期矿工，产出必要的数据来识别和获得该系列中许多最稀有的代币，对我来说非常容易。

为了演示，我只对一个小的收藏品进行铸币，但没有什么能阻止我迅速且隐蔽地获得前1%绝大所数的供应。

很明显，像我这样有动机获取者可以从CHAR0的用户群中提取巨大的价值，并对项目的结果产生相当大的影响。

可能的解决方案

我会把这一部分划定在比较高层次的讨论上，并留有一些后续解决空间。以下是解决上述问题的几种不同方法。

盲投

Hashmasks普及了盲投模式，在这种模式中创作者承诺为整个系列提供一个哈希值，在销售结束时通过链上随机性对系列顺序进行洗牌。

这可以创造出公平、随机的分配，即使是创作者也不能作弊。Hashmasks智能合约被BAYC和其他一些项目成功采用。

可改变盲投策略与Loot一起使用，同时保留所有LootSVG由智能合约生成的属性。

链上RNG

可在运行时使用链上随机性使每个铸币的结果随机产生。

对这种方法必须格外小心，因为链上随机性的来源可能会被他人以意想不到的方式利用。

最好的方法是利用VRF，如Chainlink的VRF，但这对某些应用来说可能过于昂贵。

未验证的合同

一个简单的修复方法是在最初发布时保持智能合约代码的私密性。在以下情况下，这种方法合理：

1.创建者的声誉受到威胁；

2.合同不接受付款。

虽然这可以说是一种改进，但我强烈建议不要采用这种方法。

与盲投不同，这种方法没有保护措施防止NFT创建者作弊。无论是通过分析铸币输出还是通过字节码反编译，合约可能会受到逆向工程的影响。

即使合同创建者是值得信任的，然而也存在不好的先例，包括合同不接受付款，要求用户与未经验证的合同互动。

抗Sybil投资

最后，我有一个建议想要呼吁：使用Mirror的数据来尝试抗Sybil的公平分配。

这是一个具有前瞻性的方法，我相信在未来会变得越来越有趣。

最后...

这些方法中的每一种都有取舍，有些可能是最初的Loot团队所考虑的。

事实是，当前版本的Loot智能合约扩散得越多，对用户来说情况就越糟糕。

在问题得到解决之前，这个智能合约不应该重新进行使用，至少在没有明确沟通的情况下，铸币是游戏化的，而且分配目的不是为了公平或随机。

结尾的呼吁

所有关于社区和公平分配的讨论都在于，NFT用户应该得到更好的待遇。

他们应该有一个公平的竞争环境，他们应该得到精心设计的、不会坑害他们的代币发行。

毋庸置疑，Loot已经引发了一场革命，是NFT持续发展的一个关键项目。

我想强调的是，即使是在试水，NFT开发者也要对他们的用户负责，这包括那些从其他项目中复制粘贴代码的开发者。

不要再吹嘘那个利用你的Loot进行抄袭的家伙通过看YouTube在一天之内学会了智能合约。

让我们为用户提供更安全的NFT空间，新型的和高价值的智能合约应该接受审查，或者至少由经验丰富的智能合约开发者进行代码审查。

众所周知的问题应该公开进行讨论，让我们改进优秀做法，并广泛分享，确保艺术家创作安全和富有意义的NFTs时有用武之地。

标签：ARBBITARBITRUArbitrumBitrockArbitrage Tokentrustwallet官网下载地址

TRX热门资讯