Fomo3D式套利形式再现：“智慧”玩家狠狠地薅了一把羊毛_数字货币

[2021-02-10 19:23:01] 来源：编辑：wangjia 点击量：

评论 点击收藏

导读： 这个“聪明”的玩家，采用了类似 Fomo3D 式的“特殊方式”，狠狠地薅了 MULTI.TODAY 游戏一把羊毛。蚂蚁“最烧钱”的蒋国飞：落地40+区块链应用，构建价值互联网支付宝从15年前首创的

这个“聪明”的玩家，采用了类似 Fomo3D 式的“特殊方式”，狠狠地薅了 MULTI.TODAY 游戏一把羊毛。

蚂蚁“最烧钱”的蒋国飞：落地40+区块链应用，构建价值互联网

支付宝从15年前首创的担保交易，到现在举公司之力投入区块链，都是为了解决一个社会问题：降低社会信任成本。

还记得此前进击 TronBank Pro 赢利2,673万个 TRX 的黑客“wojak”吗？近来，他又出来搞事变了！
PeckShield 预警“玩家”高报答非常赢利
7月27日凌晨3点至上午10点，PeckShield 平安盾风控平台 DAppShield 监测到 THeRTT 开头的地点在介入 MULTI.TODAY 合约游戏时，延续取得高报答非常赢利，短短数小时内便赢利102,652个TRX。
PeckShield 平安职员剖析发明，该“玩家”采用了一种针对游戏机制的“卡位”回滚投注体式格局，经由过程布置剧本合约来介入游戏，应用游戏本身存在的运营机制“不平等”（比方先入场的玩家赢利大）特征，胜利实行“卡位”进而猎取最大的投资报答率。
这相似于互联网上应用剧本程序歹意刷单，把底本属于一般玩家的收益权限给侵占了。这让人想起，客岁 Fomo3D 火爆时，黑客应用以太坊公链因 gas 用度机制存在的生意业务拥堵问题，胜利制作壅塞，拿走10,469个 ETH 奖金的进击事宜。
这个“智慧”的玩家，采用了相似 Fomo3D 式的“特别体式格局”，狠狠地薅了 MULTI.TODAY 游戏一把羊毛。
“wojak”重现江湖
这个“智慧”的玩家究竟是何方神圣呢？
PeckShield 平安职员进一步剖析发明，THeRTT 开头的地点就是此前赫赫有名的“wojak”，他曾进击过 TronBank Pro，并因而赢利 2,673万个 TRX。
当时 TronBank Pro 遭进击的原因是，其合约代码中留有“后门”，而“wojak”则胜利地命中了后门，并将合约余额悉数取走了。只管这件事变本身虚无缥缈，是偶合照样背地有诡计，到现在都没人说得清晰，但是，这倒让“wojak”这一代号名扬四方了。不禁要问，此次“wojak”重现江湖，又会掀起如何的风波呢？
MULTI.TODAY 游戏弄法申明
要理清这个问题，我们得先体系了解下 MULTI.TODAY 游戏。根据官方申明，一切介入投资的玩家会构成一个行列，每次排名行列首位的玩家会取得投资额的11%—41%作为报答，以后该玩家会被移除行列。
只需不停有玩家介入投资，那末先介入游戏的玩家都将取得丰盛报答，同时，为了防止末了一名玩家吃亏，游戏还划定假如延续30分钟没有后续玩家投资，那末末了一名玩家将取得奖池的5%作为报答。
“wojak”的卡位回滚操纵手艺道理
MULTI.TODAY 于天天的 22:00 GMT+3(北京时候凌晨3点)开启新的一轮游戏，只有当游戏正式入手动手后，玩家的投资才会被承认。由于游戏划定规矩的设定，一切玩家都争抢着第一个介入。
经由过程 PeckShield TRON 大数据剖析平台，能够看到在北京时候07月27号凌晨3点之前，多个玩家尝试介入游戏，但由于游戏时候还没有入手动手，生意业务都被回滚了:

（图示1：游戏入手动手前的生意业务）
当游戏时候抵达后，有多笔生意业务都被打包进了 11315294 区块（即游戏入手动手的区块）。在这个区块中与该游戏合约有交互的前两笔生意业务分别为“wojak”提议的 Tx1 合约生意业务，以及由一般玩家提议的 Tx2 生意业务。
下图2为一般玩家提议的生意业务，图3为“wojak”提议的合约生意业务：

（图示2：一般玩家生意业务）

（图示3：“wojak”提议的合约生意业务）
“wojak”起首挪用 TK5HmY 地点开头的合约，再由 TK5HmY 地点开头的合约挪用游戏合约完成投资。PeckShield 平安职员剖析后发明，区分于一般玩家，“wojak”提议的生意业务可不简朴，存在多层挪用。
TK5HmY 地点开头的合约起首挪用 MULTI.TODAY 智能合约中的 startTime()，prizeAmount() 等静态要领，以此来推断游戏是不是入手动手，是不是已有玩家投资；当确认游戏入手动手，且还没有有玩家投资后，再屡次挪用游戏合约的 deposit()要领举行投资。虽然游戏合约设置在返利后移除排名行列首位的玩家，但由于该玩家是经由过程合约来举行屡次投资的，能够保证被移除后依然坚持榜首。
“wojak”赢利的关键是得让这笔合约生意业务领先被 SR 节点打包。
在以太坊中，进击者能够经由过程进步 gasPrice 来歹意合作，让生意业务被矿工先打包处置惩罚，而波场没有相似 gasPrice 的观点，一切生意业务是经由过程 SR 节点打包发生的。“wojak”事前准备好自动化剧本，在时候抵达前经由过程自动化剧本不停挪用合约来完成生意业务，这会比一般玩家的手速要正确的多。同时，智能合约中的生意业务都是原子操纵的，只需上链，合约能够保证生意业务中的一切操纵按次序举行，这就大大进步了合约生意业务领先被 SR 节点处置惩罚的几率。
从链上数据剖析看，“wojak”经由过程合约投资32次，单笔生意业务就赢利近10万个 TRX。他确实是一名极端智慧的玩家，当其他玩家还在拼手速时，他已经由过程布置合约的体式格局，制作了不平等特别权限，猎取了丰盛报答。
下图为“wojak”的合约挪用流程：

（图示4：“wojak”挪用合约流程图）

“wojak”除了在 MULTI.TODAY 每轮游戏入手动手时争当头名玩家外，PeckShield 平安职员还发明，针对游戏第二种相似 Fomo3D 式的弄法，“wojak”也一直在“守株待兔”。
比方 TKjcLB 地点开头的账户于07月27号 09:13:57提议了一笔投资，在此以后的30分钟内没有玩家介入，直至09:43:57，“wojak”提议了另一笔生意业务，在末了时候胜利阻止 TKjcLB 地点开头的账户取得大奖。跟之前剖析相似，“wojak”的这笔生意业务也是挪用游戏合约的 stage()，getCurrentCandidateForPrize()等静态要领，猎取游戏当前回合数和投资资金，以此推断30分钟内是不是有玩家介入。
事宜后续
PeckShield 平安职员在发明该问题后，第一时候和游戏项目方取得了联络，项目方也实时升级了合约。
须要申明的是，“wojak”并没有进击 MULTI.TODAY 合约，MULTI.TODAY 游戏本身也不存在相干智能合约的破绽，“wojak”只是智慧地应用了合约的设定划定规矩，达到了“薅羊毛”赢利的目标，不能称其为一次黑客进击行动。
不过，透过事宜本身我们看出，上次 TronBank Pro 事宜并不是有时，“wojak”确实是一名不折不扣的“手艺牛人”。
写在末了
虽然此次事宜并不是因破绽引发的黑客进击行动，仅是智慧“玩家”合理应用游戏机制实行的高智商薅羊毛行动，但其暴露的问题却值得我们沉思：
1、游戏运营机制设想的缺点同样会要挟到游戏的介入体验，透支并危险大部分一般用户对游戏本身的信托；
2、合约玩家对现在 DApp 生态而言是把双刃剑，合约会协助黑客以最低的本钱，扫荡全网大批 DApp，且总能找到疏漏的地方，进而动手；
3、游戏项目方应完美本身的风控应急相应机制，一旦监测到非常赢利或进击行动，应立即对游戏实行一键停息，住手正在举行的进击行动，必要时可追求第三方平安公司协助，进而削减或防止数字资产丧失；
4、游戏玩家在介入游戏时，应时候注重项目官方或许平安公司发出的预警音讯，关于已遭遇进击还没有住手运营的游戏，应防止再次介入，以避免遭遇更大的数字资产丧失。
比特币：www.btcmoney.cc 比特币； https://www.btcmoney.cc/detail/37807.html