我最近在重新学solidity,巩固一下细节,也写一个“WTF Solidity极简入门”,供小白们使用(编程大佬可以另找教程),每周更新1-3讲。
这一讲,我们将介绍智能合约的坏随机数(Bad Randomness)漏洞和预防方法,这个漏洞经常在 NFT 和 GameFi 中出现,包括 Meebits,Loots,Wolf Game等。
很多以太坊上的应用都需要用到随机数,例如NFT随机抽取tokenId、抽盲盒、gamefi战斗中随机分胜负等等。但是由于以太坊上所有数据都是公开透明(public)且确定性(deterministic)的,它没有其他编程语言一样给开发者提供生成随机数的方法,例如random()。很多项目方不得不使用链上的伪随机数生成方法,例如 blockhash() 和 keccak256() 方法。
坏随机数漏洞:攻击者可以事先计算这些伪随机数的结果,从而达到他们想要的目的,例如铸造任何他们想要的稀有NFT而非随机抽取。更多的内容可以阅读 WTF Solidity极简教程 第39讲:伪随机数。
Web3开源大学WTF Academy获得Starkware资助,将合作开发ZK和Cairo开源教程:11月5日,据官方消息,Web3开源大学WTF Academy获得以太坊二层扩容方案Starkware的资助,将合作开发ZK和Cairo的中英文开源教程,为以太坊和Layer2培养更多开发者。据介绍,WTF Academy是一个Web3开源学院,提供免费开源Web3技术教程,目前WTF Solidity极简教程已经更新50讲。据此前消息,WTF Academy发布习题测试和链上技能认证模块,并已开启公测。[2022/11/5 12:19:54]
NFT 聚合平台如何促进行业发展?早在2016-2018年,以OpenSea,MakersPlace,SuperRare 为代表的第一批NFT交易市场横空出世.
1900/1/1 0:00:00科幻作家刘慈欣认为,人类面前有两条路。一条向外,通往星辰大海;一条向内,通往虚拟现实。从英伟达宣布推出为元宇宙建立提供基础的模拟和协作平台,到脸书改名为元宇宙(Metaverse)一词中的Met.
1900/1/1 0:00:00在链上的生态其实有一个不可能的三角——去中心化,扩展性,经济性,现阶段 SocialFi 的存储赛道也是有这三个维度,本文从对 SocialFi 赛道的储存问题切入.
1900/1/1 0:00:00DeFi数据1、DeFi代币总市值:435.8亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量22.
1900/1/1 0:00:00消费者的行为可以在一夜之间或几十年内发生转变。几乎在一夜之间,这种大流行病将全球对远程工作的看法从 "一个不错的选择 "转变为正常商业运作的需要.
1900/1/1 0:00:00翻译者:DAOctor@DAOrayaki.org审核者:Shaun @DAOrayaki.org原文:Retrospective: hacks in web3本文对从2017年-2022年黑客.
1900/1/1 0:00:00
木星链
,用户调用时输入一个 0-99 的数字,如果和链上生成的伪随机数 randomNumber 相等,即可铸造幸运 NFT。伪随机数使用 blockhash 和 block</p>
<p> }攻击函数 attackMint()中的参数为 BadRandomness合约地址。在其中,我们计算了随机数 luckyNumber,然后将它作为参数输入到 luckyMint() 函数完成攻击。由于attackMint()和luckyMint()将在同一个区块中调用,blockhash和block.timestamp是相同的,利用他们生成的随机数也相同。</p>
<p> “哥布林” GoblintTown.wtf NFT系列市值突破1亿美元:金色财经报道,据最新数据显示,“哥布林” GoblintTown.wtf NFT系列市值突破1亿美元,本文撰写时达到1.105亿美元,交易额为6834万美元。此外,该NFT系列地板价已升至7.1 ETH,24小时涨幅达到37.18%。Goblintown NFT 通过免费公售的形式在以太链上发售,发行总数量为 9999 个,其中Goblintown #6485以77.75 ETH成交,约合 150,507.29 美元,为目前该系列最高交易记录。[2022/6/6 4:04:39]</p>
<p> 由于 Remix 自带的 Remix VM不支持 blockhash函数,因此你需要将合约部署到以太坊测试链上进行复现。</p>
<p> 部署 BadRandomness 合约。</p>
<p> 部署 Attack 合约。</p>
<p> 将 BadRandomness 合约地址作为参数传入到 Attack 合约的 attackMint() 函数并调用,完成攻击。</p>
<p> goblintown.wtf NFT系列24小时成交额超581万美元:金色财经消息,据NFTGo.io数据显示,goblintown.wtf NFT系列24小时成交额已达581.4万美元,增幅为173.19%。截止发稿,其地板价为0.55ETH,24小时涨幅为201.03%。据该项目网站信息显示,该NFT系列共1万枚NFT,发布时采取免费铸造形式,每个钱包地址限铸造一枚,项目团队和路线图信息都暂未发布。[2022/5/23 3:34:45]</p>
<p> 调用 BadRandomness 合约的 balanceOf 查看Attack 合约NFT余额,确认攻击成功。</p>
<p> 我们通常使用预言机项目提供的链下随机数来预防这类漏洞,例如 Chainlink VRF。这类随机数从链下生成,然后上传到链上,从而保证随机数不可预测。更多介绍可以阅读 WTF Solidity极简教程 第39讲:伪随机数。</p>
<p> 这一讲我们介绍了坏随机数漏洞,并介绍了一个简单的预防方法:使用预言机项目提供的链下随机数。NFT 和 GameFi 项目方应避免使用链上伪随机数进行抽奖,以防被黑客利用。</p>
<p> fees.wtf回应低流动性:团队正在逐步增加流动性以防止机器人抢跑:1月14日消息,Gas 使用统计查询网站 fees.wtf 在 Discord 社群中回应关于流动性不足的问题,并表示其在发布前提到将在发布不久之后添加流动性,但并未说明具体数量。是因为团队不希望机器人抢先运行,并提走全部原有流动性。因此导致市场上发生了一场机器人对机器人的斗争: </p>
<p> 由于初始发布时的流动性很低,有机器人将 100 ETH 投入一个仅有 1 到 2 个 ETH 的流动性池中。设置很高的滑点,最终被其他机器人耗尽了全部的 ETH,是一个高滑点、低流动性的案例。 </p>
<p> fees.wtf 团队希望用户没有受到影响,一起仍按原计划进行,团队正在增加流动性。[2022/1/14 8:48:44]</p>
<p> 推特:@0xAA_Science|@WTFAcademy_</p>
<p> 社区:Discord|微信群|官网 wtf.academy</p>
<p> 所有代码和教程开源在github: github.com/AmazingAng/WTFSolidity</p>
<p> 来源:bress</p>
<p> Bress</p>
<p> 个人专栏</p>
<p> 阅读更多</p>
<p> 金色早8点</p>
<p> 比推 Bitpush News</p>
<p> Foresight News</p>
<p> PANews</p>
<p> Delphi Digital</p>
<p> 区块链骑士</p>
<p> 深潮TechFlow</p>
<p> 链捕手</p>
<p> 区块律动BlockBeats</p>
<p> DeFi之道</p>
<p>标签:<a href=)
NBS