作者:安比實驗室
公眾號:安比實驗室SECBIT
安比(SECBIT)實驗室近期發出預警,一種新型蜜罐(詐騙)合約正在泛濫,利用區塊鏈瀏覽器的相關局限,設置陷阱欺騙遊戲參與者,且詐騙目標多為具備一定區塊鏈專業素養的人員。據安比(SECBIT)實驗室統計數據顯示,同類合約的數量高達48個,其中一個合約部署於 3 天前,已有玩家受騙的合約超過21份,累計騙取金額超過 25 ETH。
前幾天,小安比從 p0n1 大神那裡聽說了一種新型的蜜罐(詐騙)合約,同類蜜罐合約竟有 48 個,而其中近一半的合約已經成功騙取玩家的 ETH,據說連 QSP 團隊的安全大神 Martin Derka 也未能倖免。這不禁激發起了小安比濃濃的好奇心。
一、騙局縮影:安全專家被套路
Martin Derka 所參與的這個名為 QUESTION 的合約,是一款猜答案遊戲合約。
合約地址:0xcEA86636608BaCB632DfD1606A0dC1728b625387
合約遊戲的規則很簡單:
- 合約創建者會設置一個問題;
- 任何玩家都可以通過向合約打入不低於 1ETH 的手續費參與作答;
- 若猜中答案,將得到合約里所有的 ETH 作為獎勵;
- 若猜不中,無任何獎勵,且事先支付的 ETH 會轉入該合約
合約的巧妙設計會為高階玩家埋下一些陷阱,讓玩家自認為通過Etherscan中的交易數據可以獲知答案,然後不聲不響地就賺取ETH。而實際上恰恰是螳螂捕蟬、黃雀在後,合約創建者讓你邊竊喜邊發現的答案是錯誤答案,技術帝們憑藉其“機智”最終不僅賺不到合約中的ETH,還會賠光預先繳納的手續費。
此外,根據QUESTION合約中的特殊權限設置,問題提出者可隨時取走合約中的所有ETH。因此,上述玩家參與遊戲時支付的ETH能被迅速提取和套利。
作為安比(SECBIT)實驗室的資深磚家,接下來小安比將以 QUESTION 合約為例向大家講解該類蜜罐合約的詐騙細節。
二、巧妙埋坑:遊戲合約的設計
從 QUESTION 合約源碼看,遊戲創建者設置問題和答案,啟動遊戲,任何人皆可以玩家身份參與遊戲,轉入不低於1 ETH 的手續費猜答案,猜中者將收穫合約中所有的 ETH,猜不中手續費自動打入合約地址。
转载请注明:IAMCOOL » 一種利用 etherscan.io 缺陷的智能合約蜜罐