我最近在重新学solidity,巩固一下细节,也写一个“WTF Solidity极简入门”,供小白们使用(编程大佬可以另找教程),每周更新1-3讲。
这一讲,我们将介绍智能合约的坏随机数(Bad Randomness)漏洞和预防方法,这个漏洞经常在 NFT 和 GameFi 中出现,包括 Meebits,Loots,Wolf Game等。
很多以太坊上的应用都需要用到随机数,例如NFT随机抽取tokenId、抽盲盒、gamefi战斗中随机分胜负等等。但是由于以太坊上所有数据都是公开透明(public)且确定性(deterministic)的,它没有其他编程语言一样给开发者提供生成随机数的方法,例如random()。很多项目方不得不使用链上的伪随机数生成方法,例如 blockhash() 和 keccak256() 方法。
坏随机数漏洞:攻击者可以事先计算这些伪随机数的结果,从而达到他们想要的目的,例如铸造任何他们想要的稀有NFT而非随机抽取。更多的内容可以阅读 WTF Solidity极简教程 第39讲:伪随机数。
PeopleDAO与WTF Academy合作,在Goerli测试网上试用Soulbound协议:2月21日消息,PeopleDAO与Web3开源学习社区WTF Academy合作,在Goerli测试网上试用声誉NFT协议Soulbound。用例类似于获得课程学分。当WTF学院的学生完成课程后,他们将获得不可转让的证书,即教育证明。
Soulbound选择Goerli测试网对产品进行Beta测试,因为测试网是编码人员用来开发和试用智能合约的以太坊区块链的替代版本。一旦该项目从早期用户那里获得了足够的反馈,下一步将部署到合适的以太坊L2网络。[2023/2/21 12:19:31]
原文来源:a16z Crypto原文作者:Miles Jennings原文编译:Kxp,BlockBeats许多早期的互联网支持者都希望它能永远保持开放,成为全人类无国界、无管制的工具.
1900/1/1 0:00:00自 Uniswap 发明了 AMM 这一 DEX 的核心机制之后,DeFi 发展日新月异,交易量也不断攀升,从 CEX 中虎口夺食.
1900/1/1 0:00:00近日美国证券交易委员会调查Yuga Labs的消息引发了NFT世界巨大震动。Yuga Labs是无聊猿BAYC的母公司,因无聊猿BAYC出圈而成为加密货币领域最突出的品牌之一.
1900/1/1 0:00:00图片来源:由无界版图AI工具生成 该来的还是来了。 在裁员的消息已经酝酿了一整个周末之后,马克·扎克伯格终于美国时间在周三 11 月 9 日早上,正式宣布了 Meta 裁员的消息:这是 Meta/Facebook 公司创立历史上的首次.
1900/1/1 0:00:00在链上的生态其实有一个不可能的三角——去中心化,扩展性,经济性,现阶段 SocialFi 的存储赛道也是有这三个维度,本文从对 SocialFi 赛道的储存问题切入,探讨了 SocialFi 赛道中存储问题的重要性和意义.
1900/1/1 0:00:00当地时间 11 月 17 日,FTX 新任首席执行官 John Ray III 向美国特拉华州破产法院提交了一份文件,披露了 FTX 集团相关资产以及运营情况,同时也揭露了此前内部管理混乱、财务状况紊乱等问题.
1900/1/1 0:00:00
宇宙链
,用户调用时输入一个 0-99 的数字,如果和链上生成的伪随机数 randomNumber 相等,即可铸造幸运 NFT。伪随机数使用 blockhash 和 block</p>
<p> }攻击函数 attackMint()中的参数为 BadRandomness合约地址。在其中,我们计算了随机数 luckyNumber,然后将它作为参数输入到 luckyMint() 函数完成攻击。由于attackMint()和luckyMint()将在同一个区块中调用,blockhash和block.timestamp是相同的,利用他们生成的随机数也相同。</p>
<p> Nansen:目前有184个“无聊猿”BAYC 持有者同时持有“哥布林” GoblintTown.wtf:金色财经报道,据 Nansen 官方社交媒体账号披露数据显示,目前有184个“无聊猿”BAYC 持有者同时持有“哥布林” GoblintTown.wtf,占比约为 2.94%。Nansen 指出,“无聊猿”BAYC和“哥布林” GoblintTown.wtf 的一大区别在于,前者是在加密牛市期间为无聊的“行业老炮儿”们创建的,而后者则是在加密熊市期间通过免费公售的形式在以太链上发售。[2022/6/3 4:00:25]</p>
<p> 由于 Remix 自带的 Remix VM不支持 blockhash函数,因此你需要将合约部署到以太坊测试链上进行复现。</p>
<p> 部署 BadRandomness 合约。</p>
<p> 部署 Attack 合约。</p>
<p> 将 BadRandomness 合约地址作为参数传入到 Attack 合约的 attackMint() 函数并调用,完成攻击。</p>
<p> goblintown.wtf NFT系列24小时成交额超581万美元:金色财经消息,据NFTGo.io数据显示,goblintown.wtf NFT系列24小时成交额已达581.4万美元,增幅为173.19%。截止发稿,其地板价为0.55ETH,24小时涨幅为201.03%。据该项目网站信息显示,该NFT系列共1万枚NFT,发布时采取免费铸造形式,每个钱包地址限铸造一枚,项目团队和路线图信息都暂未发布。[2022/5/23 3:34:45]</p>
<p> 调用 BadRandomness 合约的 balanceOf 查看Attack 合约NFT余额,确认攻击成功。</p>
<p> 我们通常使用预言机项目提供的链下随机数来预防这类漏洞,例如 Chainlink VRF。这类随机数从链下生成,然后上传到链上,从而保证随机数不可预测。更多介绍可以阅读 WTF Solidity极简教程 第39讲:伪随机数。</p>
<p> 这一讲我们介绍了坏随机数漏洞,并介绍了一个简单的预防方法:使用预言机项目提供的链下随机数。NFT 和 GameFi 项目方应避免使用链上伪随机数进行抽奖,以防被黑客利用。</p>
<p> fees.wtf回应低流动性:团队正在逐步增加流动性以防止机器人抢跑:1月14日消息,Gas 使用统计查询网站 fees.wtf 在 Discord 社群中回应关于流动性不足的问题,并表示其在发布前提到将在发布不久之后添加流动性,但并未说明具体数量。是因为团队不希望机器人抢先运行,并提走全部原有流动性。因此导致市场上发生了一场机器人对机器人的斗争: </p>
<p> 由于初始发布时的流动性很低,有机器人将 100 ETH 投入一个仅有 1 到 2 个 ETH 的流动性池中。设置很高的滑点,最终被其他机器人耗尽了全部的 ETH,是一个高滑点、低流动性的案例。 </p>
<p> fees.wtf 团队希望用户没有受到影响,一起仍按原计划进行,团队正在增加流动性。[2022/1/14 8:48:44]</p>
<p> 推特:@0xAA_Science|@WTFAcademy_</p>
<p> 社区:Discord|微信群|官网 wtf.academy</p>
<p> 所有代码和教程开源在github: github.com/AmazingAng/WTFSolidity</p>
<p> <b>来源:bress</b></p>
<p> <b>Bress</b></p>
<p> <b>个人专栏</b></p>
<p> <b>阅读更多</b></p>
<p> <b>金色早8点</b></p>
<p> 比推 Bitpush News</p>
<p> Foresight News</p>
<p> <b>PANews</b></p>
<p> Delphi Digital</p>
<p> <b>区块链骑士</b></p>
<p> <b>深潮TechFlow</b></p>
<p> <b>链捕手</b></p>
<p> 区块律动BlockBeats</p>
<p> <b>DeFi之道</b></p>
<p>标签:<a href=)
WTF