OOT:分析 | Loot分叉的集體漏洞——稀缺性有規律可循_ABTC幣

來源：Medium

作者：iamthetorn

翻譯：思嘉

如果沒有修改智能合約中使用隨機性的方式，不要將Loot的代碼用于新項目。

Loot的智能合約有一個設計限制，影響著初始代幣分配的公平性。而那些使用Loot代碼的新項目也存在這個漏洞。

本文不是要貶低Loot或任何相關公司，而是意在：

1.通過減少信息不對稱，營造NFT的公平競爭環境；

2.減少程序錯誤或設計模式的繼續擴散，以防將用戶置于風險中。

Loot是一個由8000個代幣組成的NFT集合，稱為Bags。97%的NFT可由公眾鑄造，除了Gas費之外沒有其他費用。

智能合約包含隨機化和渲染層、邏輯層，允許它生成對應于任何代幣ID的SVG。

每個Bag有8項屬性，每一項都在智能合約上隨機生成一個分值。分值越高，物品的名稱可變性越強，物品也就更加稀有。

金色財經合約行情分析 | 主流幣整理區間逐漸收窄:據火幣BTC永續合約行情顯示，截至今日18:00（GMT+8），BTC價格暫報11400美元（+1.21%），20:00（GMT+8）結算資金費率為0.010000%。

BTC昨晚再次下探11000美元，后震蕩往上重新測試11500美元。根據火幣交割合約數據，BTC當季合約成交額連續三日降低，持倉量震蕩上漲，精英多頭占比穩定，當季合約仍保持較大幅度的正溢價。各主流幣整理區間逐漸收窄，期間持倉量有所增加，后期大幅波動概率提升。

USDT于火幣全球站OTC的報價為6.93元，溢價率為-0.21%。[2020/8/5]

那么問題出在哪里呢？

Bag的內容是根據其代幣ID確定的——這意味著在最初的代幣分配之前或分配期間的任何節點，只要通過閱讀智能合約，任何人都可以輕而易舉地提前計算出整個Bag的供應量。

由于claim()函數將代幣ID作為一個參數，所以很容易從收藏品中挑選出最稀有的物品，并趕在其他人之前立即將其鑄造完成。

分析 | BTC人氣連續快速上升，交易活躍度與上周均值持平:據TokenInsight數據顯示，反映區塊鏈行業整體表現的TI指數北京時間02月10日8時報788.75點，較昨日同期上漲21.28點，漲幅為2.77%。此外，在TokenInsight密切關注10大行業中，24小時內漲幅最高的為中心化行業，漲幅為9.52%；24小時內跌幅最高的為治理協議行業，跌幅為4.91%。

據監測顯示，BTC 24h成交額為$357億，活躍地址數較前日下降7.26%，轉賬數較前日上升0.64%。Coinwalle分析師Jeffrey認為，BTC人氣連續快速上升，交易活躍度與上周均值持平，短期或將高位震蕩。

另據Bituniverse智能AI量化分析，今日行情可開啟BCH/BTC幣幣網格交易，區間0.034208-0.053081 BTC，同時賺取兩幣超額收益。

注：以上內容僅供參考，不構成投資建議。[2020/2/10]

如果合同代碼在最初發行時是公開的，就會使得Loot和類似的項目很容易被游戲化。

分析 | 通證通研究院：BTC強勢突破，上行周期或開啟:通證通研究院發表《BTC強勢突破，上行周期或開啟》區塊鏈周報，針對本周BTC所帶領的上行行情做出分析——BTC強勢突破，上行周期或開啟。本周，BTC強勢突破，站上5000美元一線，帶領市場大幅反彈。雖然2018年以來市場持續下跌，但區塊鏈行業逆周期發展，外部巨頭入場，落地應用增加。行業的發展將增加提高人們對區塊鏈技術的認同程度，BTC也將獲得更強的信仰支撐，其率先反彈意義重大，為市場和行業帶來了強烈的信心。BTC正處于第三輪價格周期和第四輪價格周期交替的時間節點，本次反彈很可能是行情大級別轉換的前兆，BTC引領的革新不斷被主流社會認同，通證市場的滲透率有較大增長空間，增量資金入場將推動BTC和通證市場再創輝煌。[2019/4/8]

事實上，Loot和其大多數模仿者都把使用Etherscan作為他們的造幣UI，這要求源代碼在Etherscan上經過驗證。

公司已經確認，以下項目的初始發行版對上述的造幣操作是開放的。Loot、Bloot、MoreLoot、n、CHAR0......

分析 | 當前BTC價格處于估值合理區間 ETH處于低估區間:據Searchain.io分析，目前市場動力不足，壓力持續波動；存在因門頭溝等事件砸穿3000至更低，最快2019年一季度末才有可能出現好轉。目前存在的風險有：1.門頭溝風險，13.7萬BTC及16萬的BCH待處置；2.以太坊減產、君士坦丁堡上線；3.一季度紐交所及納斯達克上線期貨交易。經判斷，BTC當前價格處于估值合理區間，ETH當前價格處于低估區間。[2018/12/19]

這是個非詳盡的列表，在寫這篇文章時，我還沒有發現任何其他對此開放的項目。

最令人擔憂的是，這種游戲性會導致普通用戶和內行或具有技術知識的用戶之間產生的結果存在顯著差距。

漏洞1

MoreLoot是Loot的創造者dhof發布的Loot后續產品，截至本文寫作時僅發布幾個小時，從MoreLoot的鏈上數據中就可以明顯地發現這一漏洞產生的影響。

分析 | 2016至2017年間 加拿大比特幣持有率增長了72%:據CCN報道，加拿大央行最近的一項調查顯示，從2016年到2017年，加拿大的比特幣持有率增長了72％。據該行2016年11月的調查，共2.9％的加拿大人擁有比特幣。而該行2017年12月進行的“2017年比特幣綜合調查”（BTCOS）顯示，共5％的加拿大人擁有比特幣。然而據CCN此前報道，最近的另一項調查發現，加拿大人口最多的安大略省已有40％的加密貨幣投資者平倉了其全部加密投資，這或許表明加密貨幣的持有率正在回落到2016年的水平。[2018/7/13]

上圖顯示了MoreLootBags可供鑄幣與實際鑄幣之間的分布差異。它包括目前該系列中超過130萬個Bag的"greatness"分數。

如果鑄幣是隨機的，我們期望這些分布是一致的。

恰恰相反，我們可以清楚地看到，雖然絕大多數的購買是"盲目的"，但有一小部分的交易是利用合同，只對最稀有的Bag鑄幣。

自GitHub上公布了稀有度排名后，這種有針對性的鑄幣活動的頻率有所增加。

然而，即使在公開的LootDiscord中分享了這些數據后的幾個小時，有針對性的鑄幣活動仍然只占鑄幣活動的一小部分，這表明大多數用戶都被蒙在鼓里。

有些人可能會用MoreLoot來試試水，不會太認真對待，但仍應當考慮其實際影響。

比如用戶為MoreLoot鑄幣支付了大約300萬美元Gas費。這些鑄幣中的絕大部分是盲目的。

隨著供應上限遠遠超過100萬個代幣，成千上萬的"特殊"代幣涌入市場，普通持有人的轉售前景非常暗淡。

漏洞2：CHAR0

CHAR0是最近另一個基于Loot的項目，從UTC9月3日13:47到UTC9月4日11:56，在分發9700個代幣的過程中，預計花費70萬美元的Gas費。

作為這個項目的早期礦工，產出必要的數據來識別和獲得該系列中許多最稀有的代幣，對我來說非常容易。

為了演示，我只對一個小的收藏品進行鑄幣，但沒有什么能阻止我迅速且隱蔽地獲得前1%絕大所數的供應。

很明顯，像我這樣有動機獲取者可以從CHAR0的用戶群中提取巨大的價值，并對項目的結果產生相當大的影響。

可能的解決方案

我會把這一部分劃定在比較高層次的討論上，并留有一些后續解決空間。以下是解決上述問題的幾種不同方法。

盲投

Hashmasks普及了盲投模式，在這種模式中創作者承諾為整個系列提供一個哈希值，在銷售結束時通過鏈上隨機性對系列順序進行洗牌。

這可以創造出公平、隨機的分配，即使是創作者也不能作弊。Hashmasks智能合約被BAYC和其他一些項目成功采用。

可改變盲投策略與Loot一起使用，同時保留所有LootSVG由智能合約生成的屬性。

鏈上RNG

可在運行時使用鏈上隨機性使每個鑄幣的結果隨機產生。

對這種方法必須格外小心，因為鏈上隨機性的來源可能會被他人以意想不到的方式利用。

最好的方法是利用VRF，如Chainlink的VRF，但這對某些應用來說可能過于昂貴。

未驗證的合同

一個簡單的修復方法是在最初發布時保持智能合約代碼的私密性。在以下情況下，這種方法合理：

1.創建者的聲譽受到威脅；

2.合同不接受付款。

雖然這可以說是一種改進，但我強烈建議不要采用這種方法。

與盲投不同，這種方法沒有保護措施防止NFT創建者作弊。無論是通過分析鑄幣輸出還是通過字節碼反編譯，合約可能會受到逆向工程的影響。

即使合同創建者是值得信任的，然而也存在不好的先例，包括合同不接受付款，要求用戶與未經驗證的合同互動。

抗Sybil投資

最后，我有一個建議想要呼吁：使用Mirror的數據來嘗試抗Sybil的公平分配。

這是一個具有前瞻性的方法，我相信在未來會變得越來越有趣。

最后...

這些方法中的每一種都有取舍，有些可能是最初的Loot團隊所考慮的。

事實是，當前版本的Loot智能合約擴散得越多，對用戶來說情況就越糟糕。

在問題得到解決之前，這個智能合約不應該重新進行使用，至少在沒有明確溝通的情況下，鑄幣是游戲化的，而且分配目的不是為了公平或隨機。

結尾的呼吁

所有關于社區和公平分配的討論都在于，NFT用戶應該得到更好的待遇。

他們應該有一個公平的競爭環境，他們應該得到精心設計的、不會坑害他們的代幣發行。

毋庸置疑，Loot已經引發了一場革命，是NFT持續發展的一個關鍵項目。

我想強調的是，即使是在試水，NFT開發者也要對他們的用戶負責，這包括那些從其他項目中復制粘貼代碼的開發者。

不要再吹噓那個利用你的Loot進行抄襲的家伙通過看YouTube在一天之內學會了智能合約。

讓我們為用戶提供更安全的NFT空間，新型的和高價值的智能合約應該接受審查，或者至少由經驗豐富的智能合約開發者進行代碼審查。

眾所周知的問題應該公開進行討論，讓我們改進優秀做法，并廣泛分享，確保藝術家創作安全和富有意義的NFTs時有用武之地。

Tags：LOOTOOTBTCNFTloot幣怎么買Argentine Football Association Fan TokenABTC幣GNFT幣

DAI