NER:安比实验室创始人郭宇：智能合约安全的严重性远超大家想象 | 区块链P.O.D大会

9月5日，由Odaily星球日报主办、36Kr集团战略协办的P.O.D大会在北京举行。在大会的安全论坛上，安比实验室创始人郭宇与众嘉宾共同探讨区块链的安全问题。郭宇就近期的安全热点话题Lastwinner展开报告，详细解释其中内幕。在谈及Lastwinner攻击母合约，为何需要传入Lastwinner合约地址时，郭宇表示Lastwinner攻击母合约实际上是一个通用武器,能攻击很多类Fomo3D游戏，这个合约构造的非常巧妙。在带领大家切身感受黑客如何一步步巧妙利用Fomo3D游戏中的漏洞实施攻击后，郭宇也表示，智能合约安全的严重性远超大家想象，我们在享受去中心化世界带来好处时也会面临新的安全风险和代价。以下为安比实验室创始人郭宇演讲实录：

我是安比实验室的郭宇，今天分享一下一些比较有意思的事情。

8月10日，一个合作伙伴突然跟我说以太坊似乎有一些很奇怪的事情，问我们能否分析一下。我们接过来后也觉得事情奇怪。这其中有连续且大量的失败交易，标红色的点中发现带的全都是0.1ETH，这些大量重复的东西好像在攻击什么。而且这些所有交易来源方均来自于一个前四个字母是0x5483的诡异智能合约。该智能合约的交易量还很大，一分钟有几十个，这很容易造成以太坊严重拥堵，这是我们发现一个初步特征。觉得奇怪，又感到很可疑，我们也想知道它到底要干什么。

俄罗斯总检察长要求加密交易所必须共享用户数据:金色财经报道，据俄罗斯总检察长办公室负责人Igor Krasnov表示，应要求加密服务提供商在俄罗斯注册，交易所有义务与俄罗斯安全部门共享用户信息。他还认为，仅仅根据俄罗斯法律授予加密货币财产地位，不足以打击犯罪收益的合法化。Krasnov敦促对其进行监管，以应对将其用于非法目的所带来的挑战。Igor Krasnov还呼吁将加密货币加入俄罗斯刑法，包括承认加密货币可能成为犯罪和侵占的对象，以及建立国家扣押、储存和没收加密货币的程序。

俄罗斯议会下院国家杜马仍在审议一项关于加密货币挖矿的法案。上个月有报道称，立法者正在考虑对矿工逃税和未向政府报告数字资产的行为追究刑事责任。[2023/4/9 13:53:12]

之后我们发现除了大量的失败交易外，还存在更大量的成功交易。成功交易没什么显著特征，投进去0.1个，出来有0.19个，这就特别奇怪。同时，失败交易的一个特别特征是Gas消耗特别低，感觉是一个非常高效的挖矿机，回报率相当高。

链游平台WEMIX将实施回购销毁和代币通缩策略:12月9日消息，韩国游戏公司Wemade旗下链游平台WEMIX宣布立即实施回购销毁活动，将在2022年12月9日至2023年3月8日的90天内将回购并销毁价值1000万美元的WEMIX代币。此外，基金会还将采用并实施WEMIX通缩政策，所有WEMIX3.0平台和基金会产生的投资收入的25%将按季度销毁。

此前报道，11月24日，韩国数字资产交易平台联合协会（DAXA）决定对韩国游戏巨头 WeMade旗下链游平台代币WEMIX停止交易支持，以保护投资者。受此影响，Bithumb、Upbit等多家韩国交易所宣布将下架WEMIX。[2022/12/9 21:33:37]

之后我们就发现，0X5483实际上是一个攻击Lastwinner的攻击合约，精心构造且非常强大，攻击步骤也特别复杂。合约中存在大量转账，比如PPT中的这个合约，扔进去的0.1ETH，最后出来是0.18ETH或者0.12ETH等。

Nomad：已追回1660万美元资金，其中白帽黑客主动归还1120万美元:8月4日消息，Nomad在推特上公布Nomad Bridge资金返还情况，总计1120万美元返还至官方地址，具体如下：

- ???.eth （400万美元）；

- 0xE3F40743cc18fd45D475fAe149ce3ECC40aF68c3（340万美元）；

- darkfi.eth （190万美元）；

- returner-of-beans.eth（100万美元）；

- anime.eth（90万美元）。

Nomad表示，截至目前总共追回1660万美元资金。希望退还资金的白帽黑客请将ETH/ ERC-20代币发送到官方以太坊钱包地址0x94A84433101A10aEda762968f6995c574D1bF154。[2022/8/4 5:15:06]

Lastwinner是什么？它是Fomo3D山寨版，主要面向国内。在百度能看到大量广告信息，还有很多微信群、QQ群。此外，Lastwinner还有安卓以及iOS客户端可以下载。当时高峰时期有16000，参与的人非常疯狂。

韩国电信巨头SK Telecom将于8月3日正式推出NFT市场TopPort:7月28日消息，韩国电信巨头SK Telecom开发并运营的NFT市场“TopPort”将于8月3日正式开始运营。目前，Topport已经开通了NFT生产者专用页面，预计普通买家从8月3日起就可以交易NFT。根据Topport服务条款，Topport是基于移动钱包提供的。

此前5月份消息， SK Telecom将在今年内为元宇宙平台Ifland引入游戏元素，并推出NFT市场、引入头像及创造空间平台等新功能。(FTnews)[2022/7/28 2:43:31]

Fomo3D是什么？这是前一段时间一个现象级的智能合约游戏，瞬间对以太坊用户造成拥堵。游戏中有一个巨大的奖励诱惑，规则是这样的。首先是需要兑换key，在拿到key之后扔给类Fomo3D游戏合约。这其中包括三种获利方式，第一种方式存在主奖池，可以有机会拿到最终大奖，即这个游戏不停倒计时，最后一个买key的人拿到最后的巨额奖励；第二种方式有一个副奖池，方式为随机概率抽奖，即兑换key时就有机会抽奖；第三种方式为小额度奖励，买key时间越早，就可以越早享受后来人进来的分红。基于这三种诱人的获奖模式，Fomo3D推出之后就一度造成以太坊拥堵。7月24日，安比实验室就已发现刚才第二项空投存在漏洞，有人可以通过不公平方式拿到抽奖结果，我们在8月10日才收到警告。之前被曝光的空投抽奖的模式，是有人公开了一个可以攻击的方案，但攻击方式非常低效，甚至不一定成功。大家知道但没有人去试，好像赚不到什么钱。但是这个攻击合约不一样，经过统计该合约成功率将近60%。第二天，我们开始对该合约进行分析后发现有三个疑点。一是有五个地址来调用攻击合约；二是Lastwinner合约地址作为参数传入攻击合约；三是每笔成功中奖的攻击交易中都带有合约的创建与自毁。当时也不知道为什么，但是可以肯定这是一个团伙，对其数据分析后发现，这个团伙做了很多别的事情，他们共同去攻击不同的游戏合约。我们把该攻击者组织命名为“BAPT-LW20”。12日，团队开始尝试逆向分析该合约代码。由于手上工具有限，只能看自解码，抠了一天还是没什么进展，分析过程陷入僵局。第二天，小伙伴建议把这个攻击合约拷贝下来，将攻击合约中的攻击者地址替换成我们的地址，是不是可以像他一样去拿到奖励？我们重新部署攻击合约，并发起试探性攻击。但经过多次尝试后，均无法赢得抽奖。我们做了非常完备的替换，并且跟踪这个过程，就不知道为什么，就是成功不了，也是挺郁闷。晚上12点，最后方案决定对合约进行死磕，开始对合约进行逆向分析。合约逆向很累，我们怎么办？我们思路就是开发逆向分析辅助工具。手头上并没有什么东西，我们要做几件事情。首先，针对EVM逆向分析工具很少，我们决定自己开发；再者合约多层嵌套很难跟踪；同时EVM字节码中的循环过程不易定位。我们花了三天时间开发工具，事情开始出现转机。第一个工具为awesome-tx-tracer，借助这个能够把智能合约整个过程产生若干个tracer，并把很多交易行为全部tracer分析，进而产生大量数据；第二个我们做了用来做逆向的工具——minievm，借助该工具能够批量定性分析很多tracer；第三个工具为ida-evm，这是基于evm的插件修改而来。产生的tracer可以自动往前往后，来回执行，这样就能够比较容易的把整个过程反复看。最终，我们终于发现真相，攻击合约是一个母合约，母合约驱动1000个子合约，这样能大大提高随机数的中奖率。同时，每个子合约攻击的时候会创建一个幽灵合约来发起攻击。什么是幽灵合约？就是在攻击的时候创建，等攻击完立即自毁，在区块链存储区域不留下任何痕迹。黑客通过某一个母合约驱动1000个子合约，又创建无数的自毁合约，自毁合约最终去攻击Lastwinner，这是一个非常巧妙的玩意。在17日早上开始复盘，我们敲定的最终结果是6天内抽走抽奖池50%，发起近5万笔攻击调用，创建2万多个幽灵合约。Lastwinner很有意思是把空投奖池比例由Fomo3D的1%提高到10%。因此，黑客在攻击Lastwinner成功以后，但是对Fomo3D并不那么了解。这个母合约在Lastwinner上线第一天几个小时之内就发动了攻击，在前几天每小时几十万的收入。巧合的是，上午10点Lastwinner大奖开出，即刚才说的三种获利模式中的第一个大奖。大奖被这五个攻击者其中一个人拿走，攻击者地址为0X5167，奖励额度也超高，比他们空投抽到的还要大。事情还没有结束。五天以后，下午3点02分，我们又有了一个惊人发现，Fomo3D第一轮结束，大奖被拿走。是被一个人拿走的吗？不是，他们用了同样手法拿走大奖。为什么？当时我们看到Fomo3D大奖的时候，就发现熟悉的一幕。在大奖开出时，出现一组连续的异常区块，且这组连续的异常区块中的消息数量骤减。最后，同一个知名miner打包获奖交易。Lastwinner结束前后，也出现过类似的异常区块，获奖消息也是由同一个miner打包，这时候我们就发现这太巧了。我们开始怀疑，矿池是不是真的对Fomo3D作弊？第一时间跟矿池负责人联系后，并把我们知道的所有信息拿出来跟对方对比发现，矿池并没有参与这次作弊，而是这个异常区块隐藏着一个巨大的秘密。这个秘密就是异常区块中的消息均调用同一个合约，这里面存放一些非常诡异的交易，所有交易的Gas相当于正常的Gas的100倍；而这个合约的创建者与中奖者是同一个人。矿工并没有作弊，而是攻击者利用矿工打包策略，即矿工会优先选择手续费很高的交易打包，这对矿工最有利。通过制造超高手续费来造成区块链的拥堵，阻隔其他玩家。攻击者也非常聪明，攻击合约能够智能判断是否启动网络阻塞功能，使其效益最大化，成本最小化。总之，这个合约构造的非常巧妙。若攻击者没有拿走大奖，它依然会存在于很多矿池的应用池，等待时机成熟，这些交易就会顺势变成交易费用非常高的交易。所以说，这个游戏漏洞使得前面主奖池和副奖池可以很轻松被攻击。还有一个问题，大家还记得Lastwinner攻击母合约，为什么需要Lastwinner作为合约地址？事实上，这个攻击母合约是一个通用母合约，能够攻击很多类Fomo3D游戏。在Fomo3D上线第二天就有人发现空投抽奖漏洞，并攻击成功。你面对的是全世界非常顶尖的黑客，你随时有可能受到损失。因此，智能合约安全严重性远超大家的想象，大家想象的未来去中心化世界真的那么美好吗？在享受去中心化世界带来好处的时候也同样会付出一些代价和面临一些新的安全风险。谢谢大家。

ZigZag：整合UST损害了财务状况，代币发售将让团队资金重回正轨:6月21日消息，ZK生态DEX ZigZag宣布，将于UTC时间6月24日下午3点（北京时间6月24日23:00）在其交易所出售治理代币 ZZ，此次 IDO 将提供200 万个代币，总供应量为200 万个代币，仅支持USDC支付。此外，ZigZag计划为早期采用者进行空投，但空投的要求将由在销售中购买治理代币的人决定。购买治理代币的人将成为 ZigZag DAO 的初始成员，该社区将帮助决定平台如何发展。

此外，团队表示，“我们与 UST 的整合以及之后该稳定币的脱钩对财务状况造成了影响。本次代币发售的目标之一就是让我们的资金重回正轨并与负债相匹配。 我们另一大优先事项是拥有足够的资金以支付开发者工资，这对 ZigZag 交易所的增长至关重要。”[2022/6/21 4:42:58]

标签：NERLASSTWTWINER币BLASTtrustwallet钱包怎么提币Twinci

抹茶交易所热门资讯