作者:LoRexxar’@知道創宇404區塊鏈安全研究團隊
時間:2018年8月23日
2018年8月22日,以太坊上異常火爆的Fomo3D遊戲第一輪正式結束,錢包開始為0xa169的用戶最終拿走了這筆約10,469 eth的獎金,換算成人民幣約2200萬。
看上去只是一個好運的人買到了那張最大獎的“彩票”,可事實卻是,攻擊者憑藉著對智能合約原理的熟悉,進行了一場精緻的“攻擊”!
這次攻擊的結果,也直接影響了類Fomo3D的所有遊戲,而且無法修復,無法避免,那麼為什麼會這樣呢?
類Fomo3D
在分析整個事件之前,我們需要對類Fomo3D遊戲的規則有一個基本的認識。
Fomo3D遊戲最最核心的規則就是最後一個購買的玩家獲得最大的利益
其中主要規則有這麼幾條:
- 遊戲開始有24小時倒計時
- 每位玩家購買,時間就會延長30s
- 越早購買的玩家,能獲得更多的分紅
- 最後一個購買的玩家獲得獎池中48%的eth
其中還有一些細緻的規則:
- 每位玩家購買的是分紅權,買的越多,分紅權就會越多
- 每次玩家購買花費的eth會充入獎金池,而之前買過的玩家會獲得分紅
- 隨着獎池的變化,key的價格會更高
換而言之,就是越早買的玩家優勢越大。
最終,資金池裡的 ETH 48%分配給獲勝者, 2%分配給社區基金會,剩餘的 50%按照四種團隊模式進行分配。
遊戲規則清楚之後,就很容易明白這個遊戲吸引人的地方在哪,只要參與的人數夠多,有人存在僥倖心理,就會有源源不斷的人投入到遊戲中。遊戲的核心就在於,莊家要保證遊戲規則的權威性,而區塊鏈的可信以及不可篡改性,正是完美的匹配了這種模式。
簡單來說,這是一個基於區塊鏈可信原則而誕生的遊戲,也同樣是一場巨大的社會實驗。
可,問題是怎麼發生的呢?讓我們一起來回顧一下事件。
事件回顧
2018年8月22日,以太坊上異常火爆的Fomo3D遊戲第一輪正式結束,錢包開始為0xa169的用戶最終拿走了這筆約10,469 eth的獎金。
[2] 獲利交易
https://etherscan.io/tx/0xe08a519c03cb0aed0e04b33104112d65fa1d3a48cd3aeab65f047b2abce9d508
[3] 攻擊合約
https://etherscan.io/address/0x18e1b664c6a2e88b93c1b71f61cbf76a726b7801
[4] Fomo3D 千萬大獎獲得者“特殊攻擊技巧”最全揭露
https://mp.weixin.qq.com/s/MCuGJepXr_f18xrXZsImBQ
[5] 「首次深度揭秘」Fomo3D,被黑客拿走的2200萬
https://mp.weixin.qq.com/s/s_RCF_EDlptQpm3d7mzApA
转载请注明:IAMCOOL » 智能合約遊戲之殤——類 Fomo3D 攻擊分析