https://movectf.movebit.xyz/
Git: https://github.com/shanxuanchen/MoveCTF
第一题是check in题,需要用户准备好环境即可。触发合约,然后提交对应的签名即可。
这道题其实稍微有点难~~~~
我们先看一下get flag的条件:
要拿到Treasury Box
随机数要刚好达到0
我们知道其实随机数达到0的概率非常小,其实此时几乎可以确定此题的最大考点:
Hamster 发布自研 Sui 自动化流水线以及模板兼容并支持 Sui 网络:金色财经报道,Web3安全开发环境及中间件引擎 Hamster 宣布对基于 Move 的 Sui 网络进行全面支持并兼容。截止目前,Hamster 已顺利完成基于 Move 语言的 Sui 合约模板自动化流水线调用,并开放 Sui 网络的一站式节点部署 RPC 服务。借由此,Sui 生态内开发者可模块化、工具化、流程化地完成开发流程并能快速上手及接入生态。[2023/4/23 14:20:47]
**随机数攻击**
Ankr成为Sui首批RPC提供商之一:11月23日消息,据官方公告,Web3基础设施提供商Ankr宣布已成为Sui首批RPC提供商之一。该服务现在可用于Sui测试网,并将在上线后立即扩展到主网连接(预计2023年初)。此外,它还与Sui SDK兼容,使开发更加精简。[2022/11/23 7:59:40]
从slay_boar_king的方法里可以看到,当满足d100 == 0时(随机数的结果为0),sender就可以拿到box资源。当然,我们前提是要能打赢怪物boar。打赢怪物boar纯属就是一个简单的循环逻辑了,只要攻击力和防御力有一定就可以了。
公链Sui新版本将用动态字段替换子对象:10月26日消息,公链Sui宣布其0.13.0版本将施行重大更改,用动态字段替换子对象的概念。借助动态字段,Sui Move开发人员可以使用新数据动态扩展其结构。目前团队正在开发动态字段的某些部分。为避免使用子对象的应用程序出错,Sui还发布了动态字段迁移指南,以供开发人员在Devnet更新到0.13.0时进行更改。[2022/10/26 16:39:19]
所以,我们需要循环100多次slay_boar。然后积累一定的经验值,然后升级即可。
本题的两个随机数重要变量是:
tx hash
ids_created(这个是object new出来之后的自增ID)
我们采取的攻击方法很简单:
**固定tx Hash,然后模拟随机数的生成,然后遍历ids_created**。
最难的部分是自己手动组装seed,这里直接放答案:
这套我是AC了的。这道题有很大的漏洞,因为create_lend是一个public方法。通过创建一个0债务的新的资源,然后提交flag即可。
这道题其实就是考move的循环题,基本功的题目,两次循环结果就能出来了。
参考链接:
https://mp.weixin.qq.com/s/-OFe_E_XTzdRgBB0ilu9aw
来源:bress
Bress
个人专栏
阅读更多
金色早8点
比推 Bitpush News
Foresight News
PANews
Delphi Digital
区块链骑士
深潮TechFlow
链捕手
区块律动BlockBeats
DeFi之道
当我们发现自己正处于另一个“加密货币寒冬”之中——这在很大程度上是由一系列项目破产、监管打击和宏观看跌推动的——但重要的是,我们不要忽视促成下一次牛市的技术突破和将权力下放的精神重新引入大众.
1900/1/1 0:00:00原文来源:Kelsey Piper,Vox原文编译:Leo、0x9F、FYJ,BlockBeats这是 Vox 的记者 Kelsey Piper 在 11 月 16 日晚与 FTX 创始人 SB.
1900/1/1 0:00:00原文:The Crypto Winter of 2022撰文:Megan Dyamond编译:0x11,Foresight News? 图片来源:由无界版图 AI 工具生成.
1900/1/1 0:00:00撰文:Babywhale,Foresight NewsTwitter:/img/2022111200724/0.jpg" />Crypto.com:将在新地址之间重新平衡多个资产.
1900/1/1 0:00:00Web3 时而神秘代表未来、有时又充满黑暗与。因为 Web3 与科技和金融紧密相关,而这两者又代表着当今世界的方向与人性.
1900/1/1 0:00:00原文标题:《前 Spartan Group 合伙人怒撰长文:关于 FTX 的一切真相》原文作者:Jason Choi针对《纽约时报》今日发布的一篇 SBF「洗地文」.
1900/1/1 0:00:00