PeckShield預警“玩家”高回報異常獲利
7月27日凌晨3點至上午10點,PeckShield安全盾風控平臺DAppShield監測到THeRTT開頭的地址在參與MULTI.TODAY合約游戲時,持續獲得高回報異常獲利,短短數小時內便獲利102,652個TRX。
PeckShield安全人員分析發現,該“玩家”采用了一種針對游戲機制的“卡位”回滾投注方式,通過部署腳本合約來參與游戲,利用游戲本身存在的運營機制“不平等”特性,成功實施“卡位”進而獲取最大的投資回報率。
這類似于互聯網上利用腳本程序惡意刷單,把原本屬于普通玩家的收益權限給侵占了。這讓人想起,去年Fomo3D火爆時,黑客利用以太坊公鏈因gas費用機制存在的交易擁堵問題,成功制造阻塞,拿走10,469個ETH獎金的攻擊事件。
FOMC會議后拋售壓力威脅比特幣支撐位:金色財經報道,在FOMC會議紀要發布后,比特幣遭遇了意外的拋售壓力激增。雖然大多數官員同意維持當前利率,但也有少數官員建議小幅上調25個基點。展望2023年,委員會大多數成員預計將進一步加息。結果,比特幣的價格從6月份的高點31,400美元跌至約30,700美元。這種下行壓力不僅限于比特幣,全球加密貨幣市場估值也同樣下降,從1.23萬億美元縮水逾1000億美元。
根據著名數據分析公司CoinCodex最近的估計,盡管小幅下跌,比特幣的價格仍高于30,533美元的直接支撐位,預計更強的支撐位為29,546美元。[2023/7/7 22:22:29]
這個“聰明”的玩家,采用了類似Fomo3D式的“特殊方式”,狠狠地薅了MULTI.TODAY游戲一把羊毛。
“wojak”重現江湖
FOMO Pay加入DDEx,為新加坡商家提供加密貨幣支付服務:12月14日消息,支付服務提供商FOMO Pay宣布加入星展銀行數字交易所(DDEx),使新加坡的商家能夠接受消費者的加密貨幣支付。作為DDEx生態系統的一部分,FOMO Pay計劃利用星展銀行支持的機構級數字托管和兌換服務,使商家能夠接受加密支付并確保其資金安全。星展銀行將擴展托管服務,使FOMO Pay能夠讓商家以安全的方式接受加密支付。
新加坡金融管理局官員表示,央行正在仔細研究零售中央銀行數字貨幣(CBDC)在新加坡背景下的經濟優勢和影響。數字新加坡元可能會建立一個高效和包容的支付生態系統,讓小公司更容易建立新的支付和相關的數字服務。(The PayPers)[2021/12/14 7:39:04]
這個“聰明”的玩家究竟是何方神圣呢?
PeckShield安全人員進一步分析發現,THeRTT開頭的地址就是此前大名鼎鼎的“wojak”,他曾經攻擊過TronBankPro,并因此獲利2,673萬個TRX。
Fompound單幣挖礦池3天內鎖倉量超420萬美金:據Fompound官方消息,Fompound已經和LAVAswap達成了戰略合作,并在3月8號21:00開啟了兩個單幣挖礦池,分別是“質押TPT,得到Fomp”、“質押LAVA,得到Fomp”。目前,總質押量已經超420萬美金,TPT質押量139314283 ,LAVA質押量366914。
接下來,LP挖礦池“質押 Fomp - TPT LP 代幣,得到Fomp”、“質押 Fomp - USDT LP 代幣,得到Fomp”、“質押 Fom-A - USDT LP 代幣,得到Fomp”也將在今晚開啟(3月11號21:00),
Fompound是致力于用區塊鏈技術打造IPFS領域的去中心化金融聚合器,對IPFS領域包括但不限于算力提供等方式進行投資。Fompound聚合器將使用Defi質押加流動性挖礦的方式產生平臺權益及治理代幣Fomp,并通過FOM-A至Fom-J分期分批的投資,對Fomp產生聚合效益,從而提升 Fompound的項目價值。[2021/3/11 18:36:10]
當時TronBankPro遭攻擊的原因是,其合約代碼中留有“后門”,而“wojak”則成功地命中了后門,并將合約余額全部取走了。盡管這件事情本身撲朔迷離,是巧合還是背后有陰謀,到現在都沒人說得清楚,然而,這倒讓“wojak”這一代號名揚四方了。不禁要問,此次“wojak”重現江湖,又會掀起怎樣的風浪呢?
BW.io11月9日上線FOMP項目,目前漲幅突破新高達2000%:據官方消息,BW于今日香港時間20:00上線交易對FOMP/USDT,開盤價為10USDT,目前最高價為200USDT,漲幅突破新高達2000%。
Fompound致力于用區塊鏈技術打造在IPFS領域的去中心化金融聚合器,包括但不限于對IPFS領域算力提供等方式進行投資。 FOMPOUND通過發行FOM-A至FOM-J等不同的資產包所有權通證進行分期分批的投資,從而提高收益率降低風險值。Fompound將使用DEFI質押加流動性挖礦的方式產生平臺權益及治理代幣FOMP,通過FOM-A至FOM-J分期分批的投資,對FOMP產生聚合效益,從而提升FOMPOUND的項目價值。[2020/11/9 12:07:55]
MULTI.TODAY游戲玩法說明
要理清這個問題,我們得先系統了解下MULTI.TODAY游戲。按照官方說明,所有參與投資的玩家會組成一個隊列,每次排名隊列首位的玩家會獲得投資額的11%—41%作為回報,之后該玩家會被移除隊列。
獨家 | 昨日新增188個代幣型智能合約 FoMoKiller long風險最高 ?:第三方大數據評級機構RatingToken最新數據顯示,2018年8月19日全球共新增1375個合約地址,其中188個為代幣型智能合約。
?
在RatingToken同時發布的“新增代幣型智能合約風險榜”中,FoMoKiller long(FoMoKiller)、Okami PK Soon(tm) Edition(Okami)和Partners.RPK.Capital_USD_2.0(RPK_USD_2.0)風險排名前三,其中FoMoKiller long(FoMoKiller)檢測得分1.5,存在22個安全風險。此外,此風險榜TOP10的其它合約還有BitLion Token(BOON)、DECENTURION Classic(DCNT)、Render It Coin(RNDIT)、Moonlight Token(LX)、zxl(朱學龍)、Yan Bo Coin(YBC)和
Scepter Advanced Blockchain Enterprise Rewards(SABER)。如需查看更多智能合約檢測結果,請點擊原文鏈接。[2018/8/20]
只要不斷有玩家參與投資,那么先參與游戲的玩家都將獲得豐厚回報,同時,為了避免最后一位玩家吃虧,游戲還規定如果持續30分鐘沒有后續玩家投資,那么最后一位玩家將獲得獎池的5%作為回報。
“wojak”的卡位回滾操作技術原理
MULTI.TODAY于每天的22:00GMT3(北京時間凌晨3點)開啟新的一輪游戲,只有當游戲正式開始后,玩家的投資才會被認可。由于游戲規則的設定,所有玩家都爭搶著第一個參與。
通過PeckShieldTRON大數據分析平臺,可以看到在北京時間07月27號凌晨3點之前,多個玩家嘗試參與游戲,但因為游戲時間還沒有開始,交易都被回滾了:
當游戲時間到達后,有多筆交易都被打包進了11315294區塊。在這個區塊中與該游戲合約有交互的前兩筆交易分別為“wojak”發起的Tx1合約交易,以及由普通玩家發起的Tx2交易。
下圖2為普通玩家發起的交易,圖3為“wojak”發起的合約交易:
“wojak”首先調用TK5HmY地址開頭的合約,再由TK5HmY地址開頭的合約調用游戲合約完成投資。PeckShield安全人員分析后發現,區別于普通玩家,“wojak”發起的交易可不簡單,存在多層調用。
TK5HmY地址開頭的合約首先調用MULTI.TODAY智能合約中的startTime(),prizeAmount()等靜態方法,以此來判斷游戲是否開始,是否已有玩家投資;當確認游戲開始,且尚未有玩家投資后,再多次調用游戲合約的deposit()方法進行投資。雖然游戲合約設置在返利后移除排名隊列首位的玩家,但因為該玩家是通過合約來進行多次投資的,可以保證被移除后仍然保持榜首。“wojak”獲利的關鍵是得讓這筆合約交易率先被SR節點打包。
在以太坊中,攻擊者可以通過提高gasPrice來惡意競爭,讓交易被礦工先打包處理,而波場沒有類似gasPrice的概念,所有交易是通過SR節點打包產生的。“wojak”事先準備好自動化腳本,在時間到達前通過自動化腳本不斷調用合約來完成交易,這會比普通玩家的手速要準確的多。同時,智能合約中的交易都是原子操作的,只要上鏈,合約可以保證交易中的所有操作按順序進行,這就大大提高了合約交易率先被SR節點處理的概率。
從鏈上數據分析看,“wojak”通過合約投資32次,單筆交易就獲利近10萬個TRX。他確實是一位極度聰明的玩家,當其他玩家還在拼手速時,他已經通過部署合約的方式,制造了不平等特殊權限,獲取了豐厚回報。
下圖為“wojak”的合約調用流程:
“wojak”除了在MULTI.TODAY每輪游戲開始時爭當頭名玩家外,PeckShield安全人員還發現,針對游戲第二種類似Fomo3D式的玩法,“wojak”也一直在“守株待兔”。
例如TKjcLB地址開頭的賬戶于07月27號09:13:57發起了一筆投資,在此之后的30分鐘內沒有玩家參與,直至09:43:57,“wojak”發起了另一筆交易,在最后時刻成功阻攔TKjcLB地址開頭的賬戶獲得大獎。跟之前分析類似,“wojak”的這筆交易也是調用游戲合約的stage(),getCurrentCandidateForPrize()等靜態方法,獲取游戲當前回合數和投資資金,以此判斷30分鐘內是否有玩家參與。
事件后續
PeckShield安全人員在發現該問題后,第一時間和游戲項目方取得了聯系,項目方也及時升級了合約。
需要說明的是,“wojak”并沒有攻擊MULTI.TODAY合約,MULTI.TODAY游戲本身也不存在相關智能合約的漏洞,“wojak”只是聰明地利用了合約的設定規則,達到了“薅羊毛”獲利的目的,不能稱其為一次黑客攻擊行為。
不過,透過事件本身我們看出,上次TronBankPro事件并非偶然,“wojak”確實是一位不折不扣的“技術牛人”。
寫在最后
雖然此次事件并非因漏洞誘發的黑客攻擊行為,僅是聰明“玩家”合理利用游戲機制實施的高智商薅羊毛行為,但其暴露的問題卻值得我們深思:
1、游戲運營機制設計的缺陷同樣會威脅到游戲的參與體驗,透支并傷害大部分普通用戶對游戲本身的信任;
2、合約玩家對如今DApp生態而言是把雙刃劍,合約會幫助黑客以最低的成本,掃蕩全網大量DApp,且總能找到疏漏之處,進而下手;
3、游戲項目方應完善自身的風控應急響應機制,一旦監測到異常獲利或攻擊行為,應立即對游戲實施一鍵暫停,終止正在進行的攻擊行為,必要時可尋求第三方安全公司幫助,進而減少或避免數字資產損失;
4、游戲玩家在參與游戲時,應時刻注意項目官方或者安全公司發出的預警消息,對于已經遭受攻擊尚未停止運營的游戲,應避免再次參與,以免遭受更大的數字資產損失。
尊敬的幣團用戶: ZHL是一種全新的可預知市場背后經濟理論的實踐,屬于創新品種,ZHL于7月31號19時19分開啟交易限購,每個UID賬戶當日最大買入量為5000枚,最大賣出量為5000枚.
1900/1/1 0:00:00尊敬的EZB用戶: 接到云服務器提供商通知,目前服務器網絡處于不穩定狀態。EZB平臺交易服務同步出現延遲,導致K線顯示異常,目前運營商正在全力修復,預計12小時內可以解決,我們會在修復完成后第一.
1900/1/1 0:00:00尊敬的LOEX用戶:為配合LCP進行主網升級,LOEX國際站將于新加坡時間2019年8月4日13:00關閉LCP充提幣業務,開啟時間另行通知!給您帶來的不便.
1900/1/1 0:00:00文:趙雪嬌編輯:王巧 自Libra白皮書發布以來,引發各國政府、金融監管機構對隱私、消費者保護和潛在系統性風險的擔憂。其實早在幾年前,各國央行就已經開始研究數字貨幣.
1900/1/1 0:00:00Overview概述 挖礦作為數字資產產業鏈的上游環節,正在進入前所未有的白熱化階段。隨著數字資產生態的擴大,數字貨幣價格的上漲,同時也得益于豐水期帶來的廉價水電降低了挖礦的電費成本,挖礦業的盈.
1900/1/1 0:00:00尊敬的BIONE用戶: BIONE將于2019年8月2日上午10:00開放EDE的充幣和提幣業務,并于下午15:00開放EDE的交易業務.
1900/1/1 0:00:00