OOT:分析 | Loot分叉的集体漏洞——稀缺性有规律可循

来源：Medium

作者：iamthetorn

翻译：思嘉

如果没有修改智能合约中使用随机性的方式，不要将Loot的代码用于新项目。

Loot的智能合约有一个设计限制，影响着初始代币分配的公平性。而那些使用Loot代码的新项目也存在这个漏洞。

本文不是要贬低Loot或任何相关公司，而是意在：

1.通过减少信息不对称，营造NFT的公平竞争环境；

2.减少程序错误或设计模式的继续扩散，以防将用户置于风险中。

Loot是一个由8000个代币组成的NFT集合，称为Bags。97%的NFT可由公众铸造，除了Gas费之外没有其他费用。

智能合约包含随机化和渲染层、逻辑层，允许它生成对应于任何代币ID的SVG。

每个Bag有8项属性，每一项都在智能合约上随机生成一个分值。分值越高，物品的名称可变性越强，物品也就更加稀有。

分析 | BTC交易手续费一度高于BCH每日区块链奖励:4月15日，LongHash发文称，4月3日，BTC交易手续费总额超过BCH区块奖励总价值。这是自2018年2月以来首次出现这样的情况。这就意味着，有些时候，BTC网络会比BCH网络更加安全。就算货币供应达到上限，每个区块12.5个BTC的补贴没有了，情况也会是如此。 据此前分析，BCH要在BTC下次减半前40天左右的时间里迎来该网络的首次减半。在这两次减半之间的40天空档里，矿工的奖励变少了，失去了挖矿动力，这很可能会削弱BCH网络的相对安全性。而如果在明年BCH减半的时候，BTC的手续费比现在还要高的话，那么相关的安全性问题可能要更加严重。总之，BTC矿工从交易手续费中获得的收益比BCH矿工通过区块奖励获得的收益还要高。这就从另一个角度说明了，无论就采用率、安全性、价值，还是其他各种重要指标而言，BCH都无法与BTC相媲美。[2019/4/15]

那么问题出在哪里呢？

分析 | 2018年上半年挖矿攻击检测次数增加了96%:据Cryptovest消息，全球网络安全解决方案提供商趋势科技（Trend Micro Incorporated）在新研究中表示，网络犯罪分子的注意力正从快速的勒索软件攻击转为较慢的、更隐蔽的窃取计算机计算资源以挖掘加密货币。该研究结果显示，与2017年全年相比，2018年上半年检测到的加密货币挖矿增加了96%，检测到的挖矿病与2017年上半年相比增加了956%。[2018/8/29]

Bag的内容是根据其代币ID确定的——这意味着在最初的代币分配之前或分配期间的任何节点，只要通过阅读智能合约，任何人都可以轻而易举地提前计算出整个Bag的供应量。

由于claim()函数将代币ID作为一个参数，所以很容易从收藏品中挑选出最稀有的物品，并赶在其他人之前立即将其铸造完成。

如果合同代码在最初发行时是公开的，就会使得Loot和类似的项目很容易被游戏化。

分析 | 金色盘面： ETH短线上涨动力主要来自于BitMEX短线投机:金色盘面综合分析： ETH在24小时涨幅达18.29%，成交额327亿美元，其中90%的成交来自于BitMEX交易所ETH/USD的杠杆交易，说明本轮上涨主要动力来自于短线投机，并不能说明市场已经回暖。[2018/8/16]

事实上，Loot和其大多数模仿者都把使用Etherscan作为他们的造币UI，这要求源代码在Etherscan上经过验证。

公司已经确认，以下项目的初始发行版对上述的造币操作是开放的。Loot、Bloot、MoreLoot、n、CHAR0......

这是个非详尽的列表，在写这篇文章时，我还没有发现任何其他对此开放的项目。

最令人担忧的是，这种游戏性会导致普通用户和内行或具有技术知识的用户之间产生的结果存在显著差距。

漏洞1

MoreLoot是Loot的创造者dhof发布的Loot后续产品，截至本文写作时仅发布几个小时，从MoreLoot的链上数据中就可以明显地发现这一漏洞产生的影响。

分析 | 金色盘面：BTC 空头肆虐 资金大幅流出:金色盘面分析师表示：BTC过去24小时出现大幅下跌，成交量有所萎缩，主要成交量来自期货交易所，说明多空战场在期货合约，从资金流向看，空头占有优势。[2018/8/5]

上图显示了MoreLootBags可供铸币与实际铸币之间的分布差异。它包括目前该系列中超过130万个Bag的"greatness"分数。

如果铸币是随机的，我们期望这些分布是一致的。

恰恰相反，我们可以清楚地看到，虽然绝大多数的购买是"盲目的"，但有一小部分的交易是利用合同，只对最稀有的Bag铸币。

分析 | 加密劫持比勒索软件更受网络犯罪分子欢迎:据coindesk报道， 根据Skybox Security的一份报告，相比勒索软件，非法加密货币挖矿或称“加密劫持”更受网络犯罪分子的欢迎。该公司表示，加密挖矿的攻击现在占所有网络攻击的32％，而勒索软件只占8％。[2018/7/19]

自GitHub上公布了稀有度排名后，这种有针对性的铸币活动的频率有所增加。

然而，即使在公开的LootDiscord中分享了这些数据后的几个小时，有针对性的铸币活动仍然只占铸币活动的一小部分，这表明大多数用户都被蒙在鼓里。

有些人可能会用MoreLoot来试试水，不会太认真对待，但仍应当考虑其实际影响。

比如用户为MoreLoot铸币支付了大约300万美元Gas费。这些铸币中的绝大部分是盲目的。

随着供应上限远远超过100万个代币，成千上万的"特殊"代币涌入市场，普通持有人的转售前景非常暗淡。

漏洞2：CHAR0

CHAR0是最近另一个基于Loot的项目，从UTC9月3日13:47到UTC9月4日11:56，在分发9700个代币的过程中，预计花费70万美元的Gas费。

作为这个项目的早期矿工，产出必要的数据来识别和获得该系列中许多最稀有的代币，对我来说非常容易。

为了演示，我只对一个小的收藏品进行铸币，但没有什么能阻止我迅速且隐蔽地获得前1%绝大所数的供应。

很明显，像我这样有动机获取者可以从CHAR0的用户群中提取巨大的价值，并对项目的结果产生相当大的影响。

可能的解决方案

我会把这一部分划定在比较高层次的讨论上，并留有一些后续解决空间。以下是解决上述问题的几种不同方法。

盲投

Hashmasks普及了盲投模式，在这种模式中创作者承诺为整个系列提供一个哈希值，在销售结束时通过链上随机性对系列顺序进行洗牌。

这可以创造出公平、随机的分配，即使是创作者也不能作弊。Hashmasks智能合约被BAYC和其他一些项目成功采用。

可改变盲投策略与Loot一起使用，同时保留所有LootSVG由智能合约生成的属性。

链上RNG

可在运行时使用链上随机性使每个铸币的结果随机产生。

对这种方法必须格外小心，因为链上随机性的来源可能会被他人以意想不到的方式利用。

最好的方法是利用VRF，如Chainlink的VRF，但这对某些应用来说可能过于昂贵。

未验证的合同

一个简单的修复方法是在最初发布时保持智能合约代码的私密性。在以下情况下，这种方法合理：

1.创建者的声誉受到威胁；

2.合同不接受付款。

虽然这可以说是一种改进，但我强烈建议不要采用这种方法。

与盲投不同，这种方法没有保护措施防止NFT创建者作弊。无论是通过分析铸币输出还是通过字节码反编译，合约可能会受到逆向工程的影响。

即使合同创建者是值得信任的，然而也存在不好的先例，包括合同不接受付款，要求用户与未经验证的合同互动。

抗Sybil投资

最后，我有一个建议想要呼吁：使用Mirror的数据来尝试抗Sybil的公平分配。

这是一个具有前瞻性的方法，我相信在未来会变得越来越有趣。

最后...

这些方法中的每一种都有取舍，有些可能是最初的Loot团队所考虑的。

事实是，当前版本的Loot智能合约扩散得越多，对用户来说情况就越糟糕。

在问题得到解决之前，这个智能合约不应该重新进行使用，至少在没有明确沟通的情况下，铸币是游戏化的，而且分配目的不是为了公平或随机。

结尾的呼吁

所有关于社区和公平分配的讨论都在于，NFT用户应该得到更好的待遇。

他们应该有一个公平的竞争环境，他们应该得到精心设计的、不会坑害他们的代币发行。

毋庸置疑，Loot已经引发了一场革命，是NFT持续发展的一个关键项目。

我想强调的是，即使是在试水，NFT开发者也要对他们的用户负责，这包括那些从其他项目中复制粘贴代码的开发者。

不要再吹嘘那个利用你的Loot进行抄袭的家伙通过看YouTube在一天之内学会了智能合约。

让我们为用户提供更安全的NFT空间，新型的和高价值的智能合约应该接受审查，或者至少由经验丰富的智能合约开发者进行代码审查。

众所周知的问题应该公开进行讨论，让我们改进优秀做法，并广泛分享，确保艺术家创作安全和富有意义的NFTs时有用武之地。

标签：LOOTOOTBTCNFTHololootminifootball币怎么样HDBTC价格NFTinder

TUSD热门资讯