北京時間9月24日深夜11點32分,Fomo3D第二輪最終大獎由地址0x18a0獲得,獎金為3,264.668Ether。安比實驗室分析發現,此輪游戲獲獎技巧與第一輪如出一轍,均為黑客「阻塞交易」攻擊。
與此前第一輪游戲相比,這輪游戲持續33天,無論是從入場資金、持續時長,亦或是最終大獎獎金額來說,相比上輪均大幅縮水。
回首兩月之前,Fomo3D第一輪游戲入場資金一度超過40,000Ether,第一輪游戲最終大獎獎金額超過10,000Ether,游戲參與者眾多,類似的資金盤游戲也如雨后春筍般相繼冒出,一時間好不熱鬧。
然而,自9月以來,隨著市場整體的大蕭條,類Fomo3D游戲也幾近沒落。以Fomo3D和LastWinner為代表的幾款較活躍的游戲,熱度明顯下降。而大部分的同類合約由于無人開啟下輪游戲,都處在擱置狀態。
因而到如今,Fomo3D第二輪大獎已經開出,黑客獲獎幾無懸念,游戲的熱度已不可同日而語。
安比實驗室針對這一變化展開分析,分析結果表明,不久前連續揭露的游戲空投機制漏洞和「阻塞交易」攻擊事件,盡管在短時間內將該類游戲的關注度推上了新的高度,但本質上也是導致游戲沒落的主要原因。
繁華vs涼涼?曾經多火爆,如今就多冷清
游戲熱度全景
7月20日,資金盤游戲Fomo3D在國內迅速傳播開來,引起了廣泛的關注。隨后,一系列類似Fomo3D的游戲陸續上線。8月6日,另一款類Fomo3D游戲LastWinner部署上線。在其團隊的大力推廣下,LastWinner迅速火爆起來,甚至一度造成以太坊擁堵和Gas費用暴漲。但在游戲第一輪結束后,各個游戲的熱度都開始持續下降。
動態 | Fomo3D團隊制作的基于波場發行的Just Game將于11點上線:據官方最新信息,Fomo3D團隊制作的首款區塊鏈與人工智能結合的DApp Just Game將于北京時間11:00正式上線,Just Game于波場TRON獨家發行,這將打破現實與科幻小說之間的障礙,推動區塊鏈行業更快的發展。Fomo3D的開發團隊Team Just于 2017 年成立,曾推出多款爆款DApp,包括日活過萬的Fomo3D。波場TRON致力于推動互聯網去中心化,為去中心化互聯網搭建基礎設施。旗下的TRON協議是基于區塊鏈的去中心化應用操作系統協議,為協議上的去中心化應用運行提供高吞吐,高擴展,高可靠性的底層公鏈支持。[2019/12/23]
圖一:Fomo3D玩家參與度與入場資金狀況
上圖展示了「Fomo3D玩家參與度與入場資金狀況」。紅色代表調用合約參與游戲的人次,藍色則代表進入游戲合約的資金量。圖左側出現數據曲線最高峰,對應時間分別是7月20日和7月21日。這兩天恰好大量媒體瘋狂報道Fomo3D這一現象級游戲。當時眾多玩家跟風入場,游戲合約的參與次數和入場資金均達到了最高峰,入場資金量超過40,000Ether,而參與次數最高超過18,000次。而曲線的最高點則對應著Fomo3D游戲第一輪最高峰。
高峰過后,Fomo3D游戲熱度驟降,于8月22日前后結束第一輪,并隨即進入第二輪,但游戲熱度已然無法恢復。
分析 | 谷歌趨勢顯示FOMO驅動的BTC投資尚未達到顯著水平:據bitcoinist報道,谷歌趨勢的數據顯示,全球對比特幣的搜索與2017年5月相比勉強達到相同的水平。從短期來看,谷歌搜索顯示,人們對比特幣的興趣實際上正在上升。在2019年5月中旬,對BTC的興趣達到了六個月的高點,但此后有所下降。比較2019年比特幣出色的價格表現和2017年末高峰時期的興趣水平,可以合理地得出結論,即FOMO(害怕錯過)驅動的BTC投資尚未達到顯著水平。這種相對較低的興趣水平可能是2018年熊市的后遺癥。從全球的角度來看,對BTC的興趣似乎很小。但是,巴西、哥倫比亞、德國和阿根廷等國家正顯示出顯著的比特幣FOMO情緒。[2019/5/29]
圖二:LastWinner玩家參與度與入場資金狀況
類似地,上圖展示了「LastWinner玩家參與度與入場資金狀況」。LastWinner針對Fomo3D游戲做了部分修改,降低了游戲時間上限,因此每輪結束得更快。第一輪高峰出現在8月8日,此后有多個局部波峰,代表著不同輪次的開啟,但顯然調用次數和入場資金一輪不如一輪。
獎池資金
下圖為Fomo3D合約中Ether余額的變化情況。Fomo3D游戲在迅速火爆后,合約內Ether余額一度上升到峰值,第一輪游戲結束后,合約中的余額立即呈斷崖式下跌,至今還處在緩慢減少的過程。
圖三:Fomo3D合約Ether余額變化狀況
動態 | Fomo3D總流入ETH再次突破了1000ETH:據第三方大數據機構RatingToken監測數據顯示,Fomo3D流入ETH在近8輪指數式遞減至2ETH下方后,于最新一輪引起反彈。從2018年11月16日開始的新一輪游戲,Fomo3D總流入ETH再次突破了1000ETH,截止發稿參與地址總數超過1000個,其中最大的一筆交易花費了140ETH來購買游戲中的Key。[2019/2/13]
無獨有偶,LastWinner合約中的余額也曾在短時間內迅速增長,而后隨著幾輪游戲的迭代而逐步下降,至今所剩的余額更是不足5,000Ether。
圖四:LastWinner合約Ether余額變化狀況
最終大獎
8月17日,安比實驗室與Anchain.ai團隊聯合揭露了黑客團隊**BAPT-LW20?**利用空投機制漏洞,攫取大量獎金的攻擊事件。同一天,LastWinner游戲第一輪結束,最終大獎的獲得者也是**BAPT-LW20?**團隊。據統計,該黑客團隊從LastWinner首輪游戲中獲利累計達12,948Ether。
在LastWinner已完成的前9輪游戲中,黑客團伙持有的賬戶0x5167共奪得4次最終大獎。
仔細觀察每輪游戲的最終大獎金額和持續時間,不難發現,獎金數量衰減非常快,而每輪也結束得越來越快。這與上面的游戲參與數據圖十分吻合。
動態 | FOMO山寨合約全家桶連續三日霸榜危險合約榜:區塊鏈項目評級機構RatingToken最新數據顯示,2018年7月22日全球共新增7643個合約地址,其中276個為代幣型智能合約。此外,RatingToken發布最新“新增代幣型智能合約風險榜”。榜單顯示,當日TOP 20 危險合約項目均被FOMO 3D山寨合約占領,例如FOMO Free、FOMO Short、f3dplus等。其中f3dplus創建不到24小時,交易量已超過10000筆,累計交易額超128 ETH。RatingToken安全審計團隊分析發現,這些山寨合約均存在較為嚴重的安全漏洞,其中FOMO Free合約安全漏洞高達24個,在RatingToken.net檢測得分僅為1.5分,涉及資金安全堪憂。RatingToken與區塊風豹實驗室旗下“Dapp瀏覽器”合作,為其接入合約鑒別功能。幫助用戶鑒別Dapp地址真偽,避免被山寨版欺詐。了解智能合約更多詳情,請訪問RatingToken官網。[2018/7/23]
類似地,Fomo3D游戲首輪和第二輪大獎分別于8月22日和9月24日開出,獎金額分別為10,469.66和3,264.66Ether。除了獎金數額銳減之外,安比實驗室還發現大獎獲得者均使用了相同的攻擊技巧。
反思機制漏洞是游戲沒落的主因
除了市場萎靡以及玩家熱情降低,安比實驗室認為「阻塞交易」攻擊和空投漏洞攻擊打破了合約機制設計中的關鍵部分。這才是使游戲變冷的主要原因。
獨家 | ”FOMOShort”旁氏騙局持續 莊家創建多個高危馬甲合約:繼昨天RatingToken安全團隊對”MOFO”合約的報道后,FOMO Short龐氏騙局還在持續,今日該騙子地址又創建了多個代碼完全一樣的合約,懷疑為分渠道行騙做準備。據RatingToken合約審計團隊深入調查,發現FOMOShort完全抄襲了FOMO3D的代碼,并將自己的合約取名為“MOFO”,僅僅是”FOMO\"字母的倒置,并做了玩法的微創新,將24小時倒計時改為了1小時倒計時。FOMOShort同時還存在admin可以操作用戶資產的漏洞,該合約在Ratingtoken.net的檢測得分僅為2分,為最高風險等級,玩家請勿參與此旁氏游戲,否則將隨時面臨被盜取ETH資金的危險。[2018/7/21]
圖五:Fomo3D游戲合約被攻擊狀況
上圖是「Fomo3D游戲合約被攻擊狀況」,第一輪游戲高峰前后以及第二輪開始后,有黑客瘋狂地利用空投漏洞進行攻擊,攫取高額收益。而在第一輪臨近結束,以及第二輪倒計時快結束之際,有黑客瘋狂嘗試「阻塞交易」攻擊,目標在于奪取巨額的最終大獎。
北京時間9月24日深夜11點32分,Fomo3D第二輪最終大獎由地址0x18a0451Ea56Fd4FF58f59837e9EC30f346ffDCa5獲得,獎金達3,264.668Ether。安比實驗室發現Fomo3D第二輪大獎獲得者0x18a0創建了攻擊合約0x705203fc06027379681AEf47c08fe679bc4A58e1,并發起大量攻擊交易,連續堵塞10余個區塊,時間長達2分鐘以上。這一系列攻擊,在上圖的游戲被攻擊監控數據中展露無疑。
圖六:LastWinner游戲合約被攻擊狀況
上圖是「LastWinner游戲合約被攻擊狀況」,與Fomo3D類似,黑客攻擊規模在游戲熱度高時十分巨大。
「阻塞交易」攻擊
Fomo3D游戲巧妙地設計了一個環節,最后一個參與游戲的人將獲得獎池中一半的Ether做為獎勵。開發者想通過此設計保持大量的玩家陸續進場,任何人都有可能成為那個「幸運兒」。但是在黑客利用「阻塞交易」攻擊來加快游戲結束成為受益人后,這個吸引玩家的設計被打破了。因此后進場的普通玩家只能成為被割的韭菜,自然很難再吸引玩家參與。
「空投漏洞」攻擊
除了最后的大獎,游戲中還設計了空投獎勵機制,玩家有一定的概率獲得空投獎勵,這也是吸引玩家參與的一個重要原因。但是由于空投機制存在隨機數漏洞,黑客可以通過一定的技巧持續高概率地拿走獎勵,而普通玩家幾乎不可能成功。這樣空投獎勵的公平性也同樣受到了挑戰。
對策與展望DApp還有很長的路要走
這樣一類紅極一時的爆款游戲,必定會成為DApp游戲發展史上的一個重要里程碑。但是過快的蕭條速度也給我們帶來了很多的反思。對于類Fomo3D游戲,甚至是所有的DApp游戲,還有很長的路要走。要及時從黑客攻擊的案例中吸取教訓,并做好防御措施。
「空投漏洞」攻擊是類Fomo3D游戲遭受攻擊次數最多的一個破綻。黑客可低成本持續地攫取獎池中的資金。
一方面,Fomo3D游戲的空投機制利用隨機數來控制中獎概率,但是由于隨機數的來源都是區塊或者交易中特定的一些公開參數,如交易發起者地址、區塊時間戳、區塊難度等,所有以太坊智能合約都可以很容易的預測隨機數。因此在涉及到隨機數的場景下,安比實驗室建議開發者應尤為慎重,或通過一定的手段來增加隨機源的預測難度。如開發者可通過使用多次提交再披露、或延遲若干個區塊開獎的方法來規避隨機數被預測的風險。
另一方面,為了防止合約自動化攻擊,Fomo3D游戲合約對調用者是普通賬戶還是合約賬戶做了檢測,但由于檢測方式存在漏洞,黑客可以利用一些技巧繞開檢測。因此項目方在對參與DApp游戲的玩家的身份做檢測的時候,也應采用更加可靠的方式。例如,通過判斷該筆交易最初的發起者與當前合約的調用者是否為同一地址。
前文提到的「阻塞交易」攻擊,也是類Fomo3D游戲面臨的另一重大挑戰。
黑客通過高額手續費吸引礦工優先打包,并利用合約自動判斷游戲進行狀態,以之作為是否采取攻擊的依據。黑客最終能夠以較低成本堵塞區塊,每個區塊中僅打包很少的交易,使得游戲快速結束,并提高自己獲得最終大獎的概率。
其實這一問題不止會威脅類Fomo3D游戲。所有類似機制,即需要玩家搶在某個時間范圍內完成某種競爭操作的智能合約,都會受此威脅。要杜絕這一問題,安比實驗室建議游戲開發者,從游戲機制入手,切斷游戲最終勝利和倒計時結束之間的必然聯系,從而使黑客的攻擊獲利概率和攻擊意愿都降到最低。
類Fomo3D游戲中黑客利用了以太坊共識協議的特點,找到游戲機制的漏洞進而發起攻擊。這也提醒我們,DApp應用中的機制設計是一項極其復雜的工程,除了技術本身,還涉及到平臺外部環境,博弈論等方面問題,這也是容易被黑客攻擊的環節。因此,DApp項目在機制設計過程中應尤為慎重。
正如安比實驗室創始人郭宇所說:「新世界有生命,就有捕食者。有交易者,就有黑客。區塊鏈上的應用在進化,攻擊者也同樣」。在技術和財富的交匯處,黑客永遠保持著最靈敏的嗅覺。黑客的一次次攻擊,給了我們很多的反思和改進的機會,這也是應用不斷進化的催化劑。
參考文獻
PwningFomo3DRevealed:Iterative,Pre-CalculatedContractCreationForAirdropPrizes!,https://peckshield.com/2018/07/24/fomo3d/智能合約史上最大規模攻擊手法曝光,盤點黑客團伙作案細節https://zhuanlan.zhihu.com/p/42318584Fomo3D千萬大獎獲得者「特殊攻擊技巧」最全揭露https://zhuanlan.zhihu.com/p/42742004PéterSzilágyi提出的空投漏洞利用POC,https://www.reddit.com/r/ethereum/comments/916xni/how_to_pwn_fomo3d_a_beginners_guide/,2018/07/23區塊律動:8萬筆交易「封死」以太坊網絡,只為搶奪Fomo3D大獎?https://mp.weixin.qq.com/s/5nrgj8sIZ0SlXebG5sWVPwPredictingRandomNumbersinEthereumSmartContractshttps://blog.positive.com/predicting-random-numbers-in-ethereum-smart-contracts-e5358c6b8620
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
安比實驗室SECBIT
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627041.html
游戲鏈游漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
比特幣驚現重大漏洞后,代碼審查工作將更加嚴苛
尊敬的BITKER用戶:BITKER將于2019年2月15日上午10點正式開啟SHK/USDT交易對。iShook滿足了希望在社交網絡列表中分享經驗的用戶的需求.
1900/1/1 0:00:00今日上午9時開始,BTC持續快速拉升,短時突破至7900美元上方,最高漲至7925.99美元,目前在7900美元附近震蕩。主流幣普遍大幅上漲.
1900/1/1 0:00:00漏洞描述 英特爾近日公布了三個被稱為L1TF漏洞:L1TF–SGX>>>CVE-2018-3615.
1900/1/1 0:00:00世界上有一群人,互聯網對于他們來說就是提款機。是的,過去是,現在更是,因為電子貨幣的出現,他們提款的速度變得更瘋狂.
1900/1/1 0:00:00事件回顧: 9月9日,每周200萬下載量的「event-stream」NodeJS模塊中,一個正常的「flatmap-stream」被合并到代碼庫;10月5日.
1900/1/1 0:00:00尊敬的BITKER用戶:BITKER將于2019年4月18日18點正式開啟QIPC/USDT交易對.
1900/1/1 0:00:00