以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > USDT > Info

卷走千萬 TRX 的黑客 wojak 重現江湖,技術詳解操作手法_WOJAK:wojak幣發行價

Author:

Time:1900/1/1 0:00:00

還記得此前攻擊TronBankPro獲利2,673萬個TRX的黑客「wojak」嗎?最近他又出來搞事情了!

原文標題:《Fomo3D式套利模式再現:「聰明」玩家狠狠地薅了一把羊毛!》作者:PeckShield

「玩家」高回報異常獲利

7月27日凌晨3點至上午10點,PeckShield安全盾風控平臺DAppShield監測到THeRTT開頭的地址在參與MULTI.TODAY合約游戲時,持續獲得高回報異常獲利,短短數小時內便獲利102,652個TRX。

PeckShield安全人員分析發現,該「玩家」采用了一種針對游戲機制的「卡位」回滾投注方式,通過部署腳本合約來參與游戲,利用游戲本身存在的運營機制「不平等」特性,成功實施「卡位」進而獲取最大的投資回報率。

這類似于互聯網上利用腳本程序惡意刷單,把原本屬于普通玩家的收益權限給侵占了。這讓人想起,去年Fomo3D火爆時,黑客利用以太坊公鏈因gas費用機制存在的交易擁堵問題,成功制造阻塞,拿走10,469個ETH獎金的攻擊事件。

香港財政司司長:穩慎推進虛擬資產業在港發展:金色財經報道,香港特區政府財政司司長陳茂波發文《穩慎推進虛擬資產業在港發展》,提到代幣化的綠色債券預計年底前推出,這將成為全球首批代幣化的政府綠色債券,金管局亦正研究數碼港元,可作為銜接法定貨幣與虛擬資產之間的骨干和支柱,為推動更多創新提供所需的配套。此外金管局已于較早前進行咨詢,探討如何規管用作支付用途的穩定幣,稍后會公布下一步的跟進工作。陳茂波強調,在穩守安全、適切管控風險的前提下,擁抱創新必定能為經濟和產業發展帶來新力量,而其潛力的發揮和應用的創新,需要相關技術及整個生態圈發展,包括虛擬貨幣、虛擬資產交易所、元宇宙開發及以代幣化方式進行證券發行、貿易金融等的創新應用。[2022/11/13 12:57:41]

這個「聰明」的玩家,采用了類似Fomo3D式的「特殊方式」,狠狠地薅了MULTI.TODAY游戲一把羊毛。

「wojak」重現江湖

這個「聰明」的玩家究竟是何方神圣呢?

PeckShield安全人員進一步分析發現,THeRTT開頭的地址就是此前大名鼎鼎的「wojak」,他曾經攻擊過TronBankPro,并因此獲利2,673萬個TRX。

分析:BTC市場進入潛在增持季新階段:金色財經報道,資產經理似乎對增加他們對比特幣的敞口感到滿意。將當前的加密冬季稱為積累季節。近幾個月比特幣和以太幣的大幅下跌為看漲的投資者提供了以有利的成本基礎進行增持的機會。更大的加密投資者正在繼續探索這個機會。

近五個月來,比特幣一直在窄幅交易,大部分時間支撐位在19,000美元左右。以太幣曾一度跌至1,000美元,但同期大多徘徊在1,300美元左右。現在,兩者都提高了一個檔次,支撐位分別超過20,000美元和1,500美元。(CoinDesk)[2022/11/3 12:11:56]

當時TronBankPro遭攻擊的原因是,其合約代碼中留有「后門」,而「wojak」則成功地命中了后門,并將合約余額全部取走了。盡管這件事情本身撲朔迷離,是巧合還是背后有陰謀,到現在都沒人說得清楚,然而,這倒讓「wojak」這一代號名揚四方了。不禁要問,此次「wojak」重現江湖,又會掀起怎樣的風浪呢?

MULTI.TODAY游戲玩法說明

要理清這個問題,我們得先系統了解下MULTI.TODAY游戲。按照官方說明,所有參與投資的玩家會組成一個隊列,每次排名隊列首位的玩家會獲得投資額的11%—41%作為回報,之后該玩家會被移除隊列。

富蘭克林鄧普頓正在考慮推出更多加密貨幣策略:金色財經報道,資管規模超1.3萬億美元的資產管理巨頭富蘭克林鄧普頓(Franklin Templeton)自上個月推出以加密為重點的獨立管理賬戶(SMA)后,正在探索將更多數字資產投資策略推向市場的方法。

其數字資產負責人Roger Bayston稱數字資產為“前沿風險替代品”,并表示,根據監管環境的演變,未來其提供的加密產品“可能會采取多種形式”。[2022/10/30 11:58:19]

只要不斷有玩家參與投資,那么先參與游戲的玩家都將獲得豐厚回報,同時,為了避免最后一位玩家吃虧,游戲還規定如果持續30分鐘沒有后續玩家投資,那么最后一位玩家將獲得獎池的5%作為回報。

「wojak」的卡位回滾操作技術原理

MULTI.TODAY于每天的22:00GMT3(北京時間凌晨3點)開啟新的一輪游戲,只有當游戲正式開始后,玩家的投資才會被認可。由于游戲規則的設定,所有玩家都爭搶著第一個參與。

通過PeckShieldTRON大數據分析平臺,可以看到在北京時間07月27號凌晨3點之前,多個玩家嘗試參與游戲,但因為游戲時間還沒有開始,交易都被回滾了:

報告:Cardano現已成為交易量第三大NFT協議:金色財經報道,據DappRadar的報告顯示,按交易量計算,Cardano現已成為第三大NFT協議。在截至9月30日的30個期間內,該Cardano的NFT總交易量達到1.91億美元,僅次于以太坊和Solana,Cardano最大NFT市場本季度的交易量增長了40%,僅該平臺交易量就達到了1120萬美元。[2022/10/30 11:58:16]

圖示1:游戲開始前的交易

當游戲時間到達后,有多筆交易都被打包進了11315294區塊。在這個區塊中與該游戲合約有交互的前兩筆交易分別為「wojak」發起的Tx1合約交易,以及由普通玩家發起的Tx2交易。

下圖2為普通玩家發起的交易,圖3為「wojak」發起的合約交易:

圖示2:普通玩家交易

圖示3:「wojak」發起的合約交易

「wojak」首先調用TK5HmY地址開頭的合約,再由TK5HmY地址開頭的合約調用游戲合約完成投資。PeckShield安全人員分析后發現,區別于普通玩家,「wojak」發起的交易可不簡單,存在多層調用。

XRP 被高盛、富國銀行和匯豐銀行歸類為“數字貨幣”:金色財經報道,近期,美國地方法官 Sarah Netburn 批準了 Ripple 的請求,即向視頻托管平臺提供非黨派傳票,以驗證美國證券交易委員會高級官員發表演講的一些視頻。XRP 社區認為,除了視頻之外,一些將 XRP 列為非安全性的出版物可能會在某種程度上有所幫助。是匯豐銀行在 DLT 技術上提到的 Ripple,指出:DLT可以簡化端到端的價值轉移,降低成本、運營風險和結算周期。例如,Ripple 的 XRP 賬本提供實時跨邊境結算,使用代表中央銀行貨幣的代幣。

此外,在一篇專欄文章中,Ripple總法律顧問Stuart Alderoty在一次監督聽證會上提到了眾議員Sherman的言論,在聽證會上他將 XRP稱為安全。Alderoty稱,美國證券交易委員會不是通過制定規則提供監管清晰度,而是通過提出或威脅提出執法案件來欺負市場。[2022/8/16 12:28:54]

TK5HmY地址開頭的合約首先調用MULTI.TODAY智能合約中的startTime(),prizeAmount()等靜態方法,以此來判斷游戲是否開始,是否已有玩家投資;當確認游戲開始,且尚未有玩家投資后,再多次調用游戲合約的deposit()方法進行投資。雖然游戲合約設置在返利后移除排名隊列首位的玩家,但因為該玩家是通過合約來進行多次投資的,可以保證被移除后仍然保持榜首。

「wojak」獲利的關鍵是得讓這筆合約交易率先被SR節點打包。

在以太坊中,攻擊者可以通過提高gasPrice來惡意競爭,讓交易被礦工先打包處理,而波場沒有類似gasPrice的概念,所有交易是通過SR節點打包產生的。「wojak」事先準備好自動化腳本,在時間到達前通過自動化腳本不斷調用合約來完成交易,這會比普通玩家的手速要準確的多。同時,智能合約中的交易都是原子操作的,只要上鏈,合約可以保證交易中的所有操作按順序進行,這就大大提高了合約交易率先被SR節點處理的概率。

從鏈上數據分析看,「wojak」通過合約投資32次,單筆交易就獲利近10萬個TRX。他確實是一位極度聰明的玩家,當其他玩家還在拼手速時,他已經通過部署合約的方式,制造了不平等特殊權限,獲取了豐厚回報。

下圖為「wojak」的合約調用流程:

圖示4:「wojak」調用合約流程圖

「wojak」除了在MULTI.TODAY每輪游戲開始時爭當頭名玩家外,PeckShield安全人員還發現,針對游戲第二種類似Fomo3D式的玩法,「wojak」也一直在「守株待兔」。

例如TKjcLB地址開頭的賬戶于07月27號09:13:57發起了一筆投資,在此之后的30分鐘內沒有玩家參與,直至09:43:57,「wojak」發起了另一筆交易,在最后時刻成功阻攔TKjcLB地址開頭的賬戶獲得大獎。跟之前分析類似,「wojak」的這筆交易也是調用游戲合約的stage(),getCurrentCandidateForPrize()等靜態方法,獲取游戲當前回合數和投資資金,以此判斷30分鐘內是否有玩家參與。

事件后續

PeckShield安全人員在發現該問題后,第一時間和游戲項目方取得了聯系,項目方也及時升級了合約。

需要說明的是,「wojak」并沒有攻擊MULTI.TODAY合約,MULTI.TODAY游戲本身也不存在相關智能合約的漏洞,「wojak」只是聰明地利用了合約的設定規則,達到了「薅羊毛」獲利的目的,不能稱其為一次黑客攻擊行為。

不過,透過事件本身我們看出,上次TronBankPro事件并非偶然,「wojak」確實是一位不折不扣的「技術牛人」。

寫在最后

雖然此次事件并非因漏洞誘發的黑客攻擊行為,僅是聰明「玩家」合理利用游戲機制實施的高智商薅羊毛行為,但其暴露的問題卻值得我們深思:

1、游戲運營機制設計的缺陷同樣會威脅到游戲的參與體驗,透支并傷害大部分普通用戶對游戲本身的信任;

2、合約玩家對如今DApp生態而言是把雙刃劍,合約會幫助黑客以最低的成本,掃蕩全網大量DApp,且總能找到疏漏之處,進而下手;

3、游戲項目方應完善自身的風控應急響應機制,一旦監測到異常獲利或攻擊行為,應立即對游戲實施一鍵暫停,終止正在進行的攻擊行為,必要時可尋求第三方安全公司幫助,進而減少或避免數字資產損失;

4、游戲玩家在參與游戲時,應時刻注意項目官方或者安全公司發出的預警消息,對于已經遭受攻擊尚未停止運營的游戲,應避免再次參與,以免遭受更大的數字資產損失。

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

Chinanews

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3977845.html

TRX波場

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

幣安與黑客談判記錄首次披露,梳理幣安KYC泄露事件始末

下一篇:

簡明Staking防割指南

Tags:OJAWOJWOJAKULTwojak幣發行價wojak幣怎么樣wojak幣上火必Ultiledger

USDT
關于Hotcoin Global開放淶幣(LB)充值交易的公告_LET:OTC

尊敬的用戶: ????Hotcoin?Global將于2019年7月29日10:00?開放LB充提業務,7月29日14:00在主板開放LB/USDT交易.

1900/1/1 0:00:00
Bibox Orbit第二期項目Xenoverse(XENO)信息展示_BIB:XENOX

尊敬的用戶:??BiboxOrbit第二期將于北京時間2019年7月14日18:00正式開啟認購,此次重磅推出的項目為Xenoverse.

1900/1/1 0:00:00
以太坊:接下來的四年將是什么樣的?_ETH:以太坊

周二,以太坊慶祝了它的第四個生日。四年前的2015年7月30日,世界上第一個通用區塊鏈平臺上線,該平臺名為以太坊,這是第一個以圖靈完備的虛擬機和本地編程語言為特色的平臺,能夠部署任何算法復雜度的.

1900/1/1 0:00:00
ZG.TOP首發上線HZT公告_COM:TOP

尊敬的ZG.TOP用戶:ZG.TOP即將首發上線黑鉆評級積分HZT。并開放HZT/USDT的交易市場,具體時間如下:1,HZT充提:2019年08月08日15:00;CWS于3月30日16:00.

1900/1/1 0:00:00
BTC第三輪牛市周期開啟?Circle最新報告“泄露天機”_比特幣:以太坊幣最新價格美元是多少

近日,美國加密貨幣公司、區塊鏈獨角獸公司Circle發布加密貨幣市場研究報告,回顧2019年第二季度加密市場的變化.

1900/1/1 0:00:00
張雪春:盡管我國金融科技世界領先,仍然需要在數字貨幣方面先行一步_Aptos:aptos幣怎么參與

中國人民銀行研究局張雪春發文《金融供給側改革該做什么》,文章表示,要應對國內外沖擊,我們需要一個有彈性的、開放的金融體系,為此,需要關注四個方面的問題,其中包括積極推進數字貨幣.

1900/1/1 0:00:00
ads