我最近在重新学solidity,巩固一下细节,也写一个“WTF Solidity极简入门”,供小白们使用(编程大佬可以另找教程),每周更新1-3讲。
这一讲,我们将介绍智能合约的坏随机数(Bad Randomness)漏洞和预防方法,这个漏洞经常在 NFT 和 GameFi 中出现,包括 Meebits,Loots,Wolf Game等。
很多以太坊上的应用都需要用到随机数,例如NFT随机抽取tokenId、抽盲盒、gamefi战斗中随机分胜负等等。但是由于以太坊上所有数据都是公开透明(public)且确定性(deterministic)的,它没有其他编程语言一样给开发者提供生成随机数的方法,例如random()。很多项目方不得不使用链上的伪随机数生成方法,例如 blockhash() 和 keccak256() 方法。
坏随机数漏洞:攻击者可以事先计算这些伪随机数的结果,从而达到他们想要的目的,例如铸造任何他们想要的稀有NFT而非随机抽取。更多的内容可以阅读 WTF Solidity极简教程 第39讲:伪随机数。
Web3开源大学WTF Academy获得Starkware资助,将合作开发ZK和Cairo开源教程:11月5日,据官方消息,Web3开源大学WTF Academy获得以太坊二层扩容方案Starkware的资助,将合作开发ZK和Cairo的中英文开源教程,为以太坊和Layer2培养更多开发者。据介绍,WTF Academy是一个Web3开源学院,提供免费开源Web3技术教程,目前WTF Solidity极简教程已经更新50讲。据此前消息,WTF Academy发布习题测试和链上技能认证模块,并已开启公测。[2022/11/5 12:19:54]
原文作者:Arbitrum原文编译:angelilu,Foresight News在哥伦比亚波哥大举行的第一届 Arbitrum 黑客马拉松已经正式落下帷幕.
1900/1/1 0:00:00Web3技术使粉丝们能够以一种更加人际化的方式与同好、媒体、内容创作者甚至他们崇拜的名人进行互动,粉丝和创作者都可以获得更人性化的体验.
1900/1/1 0:00:00图片来源:由无界版图AI工具生成首先是 Terra 的崩盘,然后是中心化加密贷款机构破产,现在,世界上最大的加密货币交易所之一 FTX( 几乎可以肯定 ) 破产了.
1900/1/1 0:00:00区块链基础设施Polygon网络正在成为传统品牌进入Web3世界的入口。11月4日,Meta旗下社交平台Instagram宣布,将支持用户创建、购买和交易NFT,底层首选Polygon;更早前的.
1900/1/1 0:00:00近日美国证券交易委员会调查Yuga Labs的消息引发了NFT世界巨大震动。Yuga Labs是无聊猿BAYC的母公司,因无聊猿BAYC出圈而成为加密货币领域最突出的品牌之一.
1900/1/1 0:00:00作者:Ibiam Wayas来源:《10 takeaways from 80 minutes AMA with Binance CZ》周一.
1900/1/1 0:00:00
火星链
,用户调用时输入一个 0-99 的数字,如果和链上生成的伪随机数 randomNumber 相等,即可铸造幸运 NFT。伪随机数使用 blockhash 和 block</p>
<p> }攻击函数 attackMint()中的参数为 BadRandomness合约地址。在其中,我们计算了随机数 luckyNumber,然后将它作为参数输入到 luckyMint() 函数完成攻击。由于attackMint()和luckyMint()将在同一个区块中调用,blockhash和block.timestamp是相同的,利用他们生成的随机数也相同。</p>
<p> 仿goblintown.wtf的NFT项目进入OpenSea交易榜前五:金色财经消息,据OpenSea数据显示,仿goblintown.wtf(与其画风相似)的NFT项目zombiestown.wtf 24小时交易额达到578.7ETH,进入OpenSea 24小时交易额排行第五名。截至目前发稿时,zombiestown.wtf的地板价为0.14ETH。行情波动较大,请做好风险控制。 </p>
<p> 此前今日上午消息,goblintown.wtf NFT系列地板价突破8ETH,24小时交易额排名在OpenSea达到第一。[2022/6/2 3:58:28]</p>
<p> 由于 Remix 自带的 Remix VM不支持 blockhash函数,因此你需要将合约部署到以太坊测试链上进行复现。</p>
<p> 部署 BadRandomness 合约。</p>
<p> 部署 Attack 合约。</p>
<p> 将 BadRandomness 合约地址作为参数传入到 Attack 合约的 attackMint() 函数并调用,完成攻击。</p>
<p> goblintown.wtf系列NFT交易额突破5000万美元:金色财经报道,据nftgo最新数据显示,“哥布林”goblintown.wtf 系列 NFT交易额已突破 5000 万美元,截至目前为 5067 万美元,交易额排名前三的分别是goblintown #6485(77.75 ETH)、goblintown #8995(69.42 ETH)和goblintown #9249(31.04 ETH)。[2022/6/2 3:58:25]</p>
<p> 调用 BadRandomness 合约的 balanceOf 查看Attack 合约NFT余额,确认攻击成功。</p>
<p> 我们通常使用预言机项目提供的链下随机数来预防这类漏洞,例如 Chainlink VRF。这类随机数从链下生成,然后上传到链上,从而保证随机数不可预测。更多介绍可以阅读 WTF Solidity极简教程 第39讲:伪随机数。</p>
<p> 这一讲我们介绍了坏随机数漏洞,并介绍了一个简单的预防方法:使用预言机项目提供的链下随机数。NFT 和 GameFi 项目方应避免使用链上伪随机数进行抽奖,以防被黑客利用。</p>
<p> fees.wtf回应低流动性:团队正在逐步增加流动性以防止机器人抢跑:1月14日消息,Gas 使用统计查询网站 fees.wtf 在 Discord 社群中回应关于流动性不足的问题,并表示其在发布前提到将在发布不久之后添加流动性,但并未说明具体数量。是因为团队不希望机器人抢先运行,并提走全部原有流动性。因此导致市场上发生了一场机器人对机器人的斗争: </p>
<p> 由于初始发布时的流动性很低,有机器人将 100 ETH 投入一个仅有 1 到 2 个 ETH 的流动性池中。设置很高的滑点,最终被其他机器人耗尽了全部的 ETH,是一个高滑点、低流动性的案例。 </p>
<p> fees.wtf 团队希望用户没有受到影响,一起仍按原计划进行,团队正在增加流动性。[2022/1/14 8:48:44]</p>
<p> 推特:@0xAA_Science|@WTFAcademy_</p>
<p> 社区:Discord|微信群|官网 wtf.academy</p>
<p> 所有代码和教程开源在github: github.com/AmazingAng/WTFSolidity</p>
<p> 来源:bress</p>
<p> Bress</p>
<p> 个人专栏</p>
<p> 阅读更多</p>
<p> 金色早8点</p>
<p> 比推 Bitpush News</p>
<p> Foresight News</p>
<p> PANews</p>
<p> Delphi Digital</p>
<p> 区块链骑士</p>
<p> 深潮TechFlow</p>
<p> 链捕手</p>
<p> 区块律动BlockBeats</p>
<p> DeFi之道</p>
<p>标签:<a href=)
BSP