我最近在重新学solidity,巩固一下细节,也写一个“WTF Solidity极简入门”,供小白们使用(编程大佬可以另找教程),每周更新1-3讲。
这一讲,我们将介绍智能合约的坏随机数(Bad Randomness)漏洞和预防方法,这个漏洞经常在 NFT 和 GameFi 中出现,包括 Meebits,Loots,Wolf Game等。
很多以太坊上的应用都需要用到随机数,例如NFT随机抽取tokenId、抽盲盒、gamefi战斗中随机分胜负等等。但是由于以太坊上所有数据都是公开透明(public)且确定性(deterministic)的,它没有其他编程语言一样给开发者提供生成随机数的方法,例如random()。很多项目方不得不使用链上的伪随机数生成方法,例如 blockhash() 和 keccak256() 方法。
坏随机数漏洞:攻击者可以事先计算这些伪随机数的结果,从而达到他们想要的目的,例如铸造任何他们想要的稀有NFT而非随机抽取。更多的内容可以阅读 WTF Solidity极简教程 第39讲:伪随机数。
PeopleDAO与WTF Academy合作,在Goerli测试网上试用Soulbound协议:2月21日消息,PeopleDAO与Web3开源学习社区WTF Academy合作,在Goerli测试网上试用声誉NFT协议Soulbound。用例类似于获得课程学分。当WTF学院的学生完成课程后,他们将获得不可转让的证书,即教育证明。
Soulbound选择Goerli测试网对产品进行Beta测试,因为测试网是编码人员用来开发和试用智能合约的以太坊区块链的替代版本。一旦该项目从早期用户那里获得了足够的反馈,下一步将部署到合适的以太坊L2网络。[2023/2/21 12:19:31]
XEN通过Youtuber视频宣传、制造话题等已有方式打出的“组合拳”使其“一夜成名“。来源:foresightnews作者:WhoKnows DAOXEN Crypto 恐怕是上周讨论度最高的.
1900/1/1 0:00:00撰文:Frank,Foresight News2020 年加密衍生品交易巨头 BitMEX 式微后,FTX 等 CEX 接棒衍生品交易,或许也正因如此,在 FTX 此轮崩溃过程中.
1900/1/1 0:00:0010月18日凌晨,新一代公链Aptos官宣上线。随着Aptos的官宣,市面上的主流大所第一时间发布公告开启冲提,并在19日开放交易.
1900/1/1 0:00:00文/Vaish Puri,TheTie;译/金色财经xiazhou金融业正处于转型边缘。DeFi正逐渐向加密货币以外的领域扩展,欲对现实世界产生影响.
1900/1/1 0:00:00作者:Chloe苏富比今年2月原先要拍卖一组被分割成104份的CryptoPunks NFT,估价高达2-3千万美元,但后来买家突然反悔导致这场交易失败.
1900/1/1 0:00:00作者:237 2022年10月14日,D/Bond CPO、EIP-3475主作者Liu Yu和Solv Protocol联合创始人、EIP-3525主作者Will共同举行了一场以ERC-347.
1900/1/1 0:00:00
月亮链
,用户调用时输入一个 0-99 的数字,如果和链上生成的伪随机数 randomNumber 相等,即可铸造幸运 NFT。伪随机数使用 blockhash 和 block</p>
<p> }攻击函数 attackMint()中的参数为 BadRandomness合约地址。在其中,我们计算了随机数 luckyNumber,然后将它作为参数输入到 luckyMint() 函数完成攻击。由于attackMint()和luckyMint()将在同一个区块中调用,blockhash和block.timestamp是相同的,利用他们生成的随机数也相同。</p>
<p> 仿goblintown.wtf的NFT项目进入OpenSea交易榜前五:金色财经消息,据OpenSea数据显示,仿goblintown.wtf(与其画风相似)的NFT项目zombiestown.wtf 24小时交易额达到578.7ETH,进入OpenSea 24小时交易额排行第五名。截至目前发稿时,zombiestown.wtf的地板价为0.14ETH。行情波动较大,请做好风险控制。 </p>
<p> 此前今日上午消息,goblintown.wtf NFT系列地板价突破8ETH,24小时交易额排名在OpenSea达到第一。[2022/6/2 3:58:28]</p>
<p> 由于 Remix 自带的 Remix VM不支持 blockhash函数,因此你需要将合约部署到以太坊测试链上进行复现。</p>
<p> 部署 BadRandomness 合约。</p>
<p> 部署 Attack 合约。</p>
<p> 将 BadRandomness 合约地址作为参数传入到 Attack 合约的 attackMint() 函数并调用,完成攻击。</p>
<p> goblintown.wtf系列NFT交易额突破5000万美元:金色财经报道,据nftgo最新数据显示,“哥布林”goblintown.wtf 系列 NFT交易额已突破 5000 万美元,截至目前为 5067 万美元,交易额排名前三的分别是goblintown #6485(77.75 ETH)、goblintown #8995(69.42 ETH)和goblintown #9249(31.04 ETH)。[2022/6/2 3:58:25]</p>
<p> 调用 BadRandomness 合约的 balanceOf 查看Attack 合约NFT余额,确认攻击成功。</p>
<p> 我们通常使用预言机项目提供的链下随机数来预防这类漏洞,例如 Chainlink VRF。这类随机数从链下生成,然后上传到链上,从而保证随机数不可预测。更多介绍可以阅读 WTF Solidity极简教程 第39讲:伪随机数。</p>
<p> 这一讲我们介绍了坏随机数漏洞,并介绍了一个简单的预防方法:使用预言机项目提供的链下随机数。NFT 和 GameFi 项目方应避免使用链上伪随机数进行抽奖,以防被黑客利用。</p>
<p> goblintown.wtf NFT系列地板价突破5ETH:金色财经消息,据OpenSea数据显示,goblintown.wtf NFT系列地板价突破5ETH,目前为5.5ETH,24小时的交易额为2808.75ETH,24小时交易额在OpenSea排名达到第二。[2022/6/1 3:56:12]</p>
<p> 推特:@0xAA_Science|@WTFAcademy_</p>
<p> 社区:Discord|微信群|官网 wtf.academy</p>
<p> 所有代码和教程开源在github: github.com/AmazingAng/WTFSolidity</p>
<p> 来源:bress</p>
<p> Bress</p>
<p> 个人专栏</p>
<p> 阅读更多</p>
<p> 金色早8点</p>
<p> 比推 Bitpush News</p>
<p> Foresight News</p>
<p> PANews</p>
<p> Delphi Digital</p>
<p> 区块链骑士</p>
<p> 深潮TechFlow</p>
<p> 链捕手</p>
<p> 区块律动BlockBeats</p>
<p> DeFi之道</p>
<p>标签:<a href=)
BSP