還記得此前攻擊TronBankPro獲利2,673萬個TRX的黑客「wojak」嗎?最近他又出來搞事情了!
原文標題:《Fomo3D式套利模式再現:「聰明」玩家狠狠地薅了一把羊毛!》作者:PeckShield
「玩家」高回報異常獲利
7月27日凌晨3點至上午10點,PeckShield安全盾風控平臺DAppShield監測到THeRTT開頭的地址在參與MULTI.TODAY合約游戲時,持續獲得高回報異常獲利,短短數小時內便獲利102,652個TRX。
PeckShield安全人員分析發現,該「玩家」采用了一種針對游戲機制的「卡位」回滾投注方式,通過部署腳本合約來參與游戲,利用游戲本身存在的運營機制「不平等」特性,成功實施「卡位」進而獲取最大的投資回報率。
這類似于互聯網上利用腳本程序惡意刷單,把原本屬于普通玩家的收益權限給侵占了。這讓人想起,去年Fomo3D火爆時,黑客利用以太坊公鏈因gas費用機制存在的交易擁堵問題,成功制造阻塞,拿走10,469個ETH獎金的攻擊事件。
黑山檢察官對Do Kwon提起公訴:金色財經報道,黑山首都波德戈里察檢察官辦公室官員Dusko Milanovic表示,黑山檢察官已針對Terraform Labs聯合創始人Do Kwon,及首席財務官Han Chang-joon提交起訴書,指控他們偽造個人文件。[2023/4/20 14:15:57]
這個「聰明」的玩家,采用了類似Fomo3D式的「特殊方式」,狠狠地薅了MULTI.TODAY游戲一把羊毛。
「wojak」重現江湖
這個「聰明」的玩家究竟是何方神圣呢?
PeckShield安全人員進一步分析發現,THeRTT開頭的地址就是此前大名鼎鼎的「wojak」,他曾經攻擊過TronBankPro,并因此獲利2,673萬個TRX。
當時TronBankPro遭攻擊的原因是,其合約代碼中留有「后門」,而「wojak」則成功地命中了后門,并將合約余額全部取走了。盡管這件事情本身撲朔迷離,是巧合還是背后有陰謀,到現在都沒人說得清楚,然而,這倒讓「wojak」這一代號名揚四方了。不禁要問,此次「wojak」重現江湖,又會掀起怎樣的風浪呢?
NYDFS主管:監管機構試圖讓加密貨幣去銀行化的想法是愚蠢的:金色財經報道,紐約金融服務部 (NYDFS) 主管 Adrienne Harris 表示,Signature Bank 上個月的收購并不是任何所謂的Choke Point 2.0的一部分,她稱這個想法荒謬可笑,介入并關閉 Signature 的決定與加密貨幣完全無關,監管機構試圖讓加密貨幣去銀行化的想法是愚蠢的。[2023/4/6 13:47:21]
MULTI.TODAY游戲玩法說明
要理清這個問題,我們得先系統了解下MULTI.TODAY游戲。按照官方說明,所有參與投資的玩家會組成一個隊列,每次排名隊列首位的玩家會獲得投資額的11%—41%作為回報,之后該玩家會被移除隊列。
只要不斷有玩家參與投資,那么先參與游戲的玩家都將獲得豐厚回報,同時,為了避免最后一位玩家吃虧,游戲還規定如果持續30分鐘沒有后續玩家投資,那么最后一位玩家將獲得獎池的5%作為回報。
「wojak」的卡位回滾操作技術原理
NFT游戲協議Aavegotchi新提案AGIP 61通過,擬進行“Forge”升級改善可穿戴裝備市場:金色財經報道,Aavegotchi DAO 的社區成員本周一(2月13日)已完成投票,宣布推出“Aavegotchi Forge”,這是對該加密藏品游戲的最新升級,旨在改善Aavegotchi的可穿戴裝備市場。作為一種“開源、社區擁有的 NFT 游戲協議” ,Aavegotchis 鏈上藏品 NFT具有三個屬性(質押、特征和可穿戴裝備)并尤其決定NFT價值和稀有性。本次提案提案集中在可穿戴裝備上,這是 Aavegotchi 協議的一項基礎資產,為每個NFT提供了時尚裝束,并能在游戲中表現更好。(雅虎財經)[2023/2/14 12:04:54]
MULTI.TODAY于每天的22:00GMT3(北京時間凌晨3點)開啟新的一輪游戲,只有當游戲正式開始后,玩家的投資才會被認可。由于游戲規則的設定,所有玩家都爭搶著第一個參與。
通過PeckShieldTRON大數據分析平臺,可以看到在北京時間07月27號凌晨3點之前,多個玩家嘗試參與游戲,但因為游戲時間還沒有開始,交易都被回滾了:
大摩:將元宇宙概念股Roblox評級從平配下調至減持:金色財經報道,摩根士丹利分析師近日發布研究報告,將元宇宙概念股Roblox(NYSE:RBLX)評級從平配下調至減持,并將目標價從27.5美元下調至24美元,理由是下半年增長放緩,短期內廣告的上升空間很小。分析師強調,Roblox去年12月的用戶活躍度報告強于預期,提振股價今年迄今上漲了28%,而這一升幅意味著2023年上半年可望重新加速增長的預期現在已經完全消化了。
摩根士丹利稱現在只看該公司前景喜憂參半,并指出從2023年5月開始,競爭實質上會變得更加激烈,我們預計2023年第三季度開始將同比大幅放緩。分析師提到了廣告收益前景,他們指出雖然市場仍然專注廣告作為關鍵的增長動力......惟我們預計在短期內促進作用緩慢,財務影響也有限。
綜合上述因素,摩根士丹利認為Roblox股票的風險回報比已轉為負面。[2023/1/20 11:23:21]
圖示1:游戲開始前的交易
當游戲時間到達后,有多筆交易都被打包進了11315294區塊。在這個區塊中與該游戲合約有交互的前兩筆交易分別為「wojak」發起的Tx1合約交易,以及由普通玩家發起的Tx2交易。
Osprey創始人:OBTC的比特幣由Coinbase Custody持有:金色財經報道,加密資產管理公司Osprey創始人兼首席執行官Greg King在社交媒體上表示,Osprey Bitcoin Trust (OBTC) 的比特幣由Coinbase Custody持有,King并公布了該錢包地址,據悉,Osprey信托的管理資產 (AUM) 約為 4600 萬美元。[2022/11/22 7:54:10]
下圖2為普通玩家發起的交易,圖3為「wojak」發起的合約交易:
圖示2:普通玩家交易
圖示3:「wojak」發起的合約交易
「wojak」首先調用TK5HmY地址開頭的合約,再由TK5HmY地址開頭的合約調用游戲合約完成投資。PeckShield安全人員分析后發現,區別于普通玩家,「wojak」發起的交易可不簡單,存在多層調用。
TK5HmY地址開頭的合約首先調用MULTI.TODAY智能合約中的startTime(),prizeAmount()等靜態方法,以此來判斷游戲是否開始,是否已有玩家投資;當確認游戲開始,且尚未有玩家投資后,再多次調用游戲合約的deposit()方法進行投資。雖然游戲合約設置在返利后移除排名隊列首位的玩家,但因為該玩家是通過合約來進行多次投資的,可以保證被移除后仍然保持榜首。
「wojak」獲利的關鍵是得讓這筆合約交易率先被SR節點打包。
在以太坊中,攻擊者可以通過提高gasPrice來惡意競爭,讓交易被礦工先打包處理,而波場沒有類似gasPrice的概念,所有交易是通過SR節點打包產生的。「wojak」事先準備好自動化腳本,在時間到達前通過自動化腳本不斷調用合約來完成交易,這會比普通玩家的手速要準確的多。同時,智能合約中的交易都是原子操作的,只要上鏈,合約可以保證交易中的所有操作按順序進行,這就大大提高了合約交易率先被SR節點處理的概率。
從鏈上數據分析看,「wojak」通過合約投資32次,單筆交易就獲利近10萬個TRX。他確實是一位極度聰明的玩家,當其他玩家還在拼手速時,他已經通過部署合約的方式,制造了不平等特殊權限,獲取了豐厚回報。
下圖為「wojak」的合約調用流程:
圖示4:「wojak」調用合約流程圖
「wojak」除了在MULTI.TODAY每輪游戲開始時爭當頭名玩家外,PeckShield安全人員還發現,針對游戲第二種類似Fomo3D式的玩法,「wojak」也一直在「守株待兔」。
例如TKjcLB地址開頭的賬戶于07月27號09:13:57發起了一筆投資,在此之后的30分鐘內沒有玩家參與,直至09:43:57,「wojak」發起了另一筆交易,在最后時刻成功阻攔TKjcLB地址開頭的賬戶獲得大獎。跟之前分析類似,「wojak」的這筆交易也是調用游戲合約的stage(),getCurrentCandidateForPrize()等靜態方法,獲取游戲當前回合數和投資資金,以此判斷30分鐘內是否有玩家參與。
事件后續
PeckShield安全人員在發現該問題后,第一時間和游戲項目方取得了聯系,項目方也及時升級了合約。
需要說明的是,「wojak」并沒有攻擊MULTI.TODAY合約,MULTI.TODAY游戲本身也不存在相關智能合約的漏洞,「wojak」只是聰明地利用了合約的設定規則,達到了「薅羊毛」獲利的目的,不能稱其為一次黑客攻擊行為。
不過,透過事件本身我們看出,上次TronBankPro事件并非偶然,「wojak」確實是一位不折不扣的「技術牛人」。
寫在最后
雖然此次事件并非因漏洞誘發的黑客攻擊行為,僅是聰明「玩家」合理利用游戲機制實施的高智商薅羊毛行為,但其暴露的問題卻值得我們深思:
1、游戲運營機制設計的缺陷同樣會威脅到游戲的參與體驗,透支并傷害大部分普通用戶對游戲本身的信任;
2、合約玩家對如今DApp生態而言是把雙刃劍,合約會幫助黑客以最低的成本,掃蕩全網大量DApp,且總能找到疏漏之處,進而下手;
3、游戲項目方應完善自身的風控應急響應機制,一旦監測到異常獲利或攻擊行為,應立即對游戲實施一鍵暫停,終止正在進行的攻擊行為,必要時可尋求第三方安全公司幫助,進而減少或避免數字資產損失;
4、游戲玩家在參與游戲時,應時刻注意項目官方或者安全公司發出的預警消息,對于已經遭受攻擊尚未停止運營的游戲,應避免再次參與,以免遭受更大的數字資產損失。
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
Chinanews
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3977845.html
TRX波場
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
幣安與黑客談判記錄首次披露,梳理幣安KYC泄露事件始末
下一篇:
簡明Staking防割指南
Earliertoday,KrakenannouncedthatwehaveacquiredInterchange–aleadingportfolioreconciliationtoolfori.
1900/1/1 0:00:0001 LedgerX推出首個實物交割比特幣期貨合約據Coindesk報道,LedgerX已在美國正式推出首批實物交割的比特幣期貨合約.
1900/1/1 0:00:00Overview概述 挖礦作為數字資產產業鏈的上游環節,正在進入前所未有的白熱化階段。隨著數字資產生態的擴大,數字貨幣價格的上漲,同時也得益于豐水期帶來的廉價水電降低了挖礦的電費成本,挖礦業的盈.
1900/1/1 0:00:00親愛的用戶: Binance將于2019年08月03日18:00上線Contentos,并開通COS/BNB、COS/BTC、COS/USDT交易市場,邀您體驗!COS充值通道現已開放.
1900/1/1 0:00:00活動時間:2019年08月2日00:00:00到2019年08月07日23:59:591.交易抽獎競賽:瓜分1,368,000TRX37,680,000BTT!活動期間.
1900/1/1 0:00:00今天凌晨,美聯儲降息了。總統特朗普表示十分不滿,他即刻在Twitter上開炮,矛頭直指降得不夠猛。按照他一貫以來的激進作風,區區25個基點如隔靴搔癢,應該大降特降.
1900/1/1 0:00:00