随机数问题我们在之前的快讯 智能合约随机数算法漏洞影响游戏公平性 已经提及过,这次我们根据案例进行一下具体分析:代表游戏:FoMo3D long平台:以太坊
该合约空投函数的随机数生成使用的区块参数依次为block.timestamp(当前区块时间戳)、block.difficulty (当前区块难度)、 block.coinbase(挖出当前区块的矿工地址)、block.gaslimit(当前区块 gas 限额)、block.number (当前区块号),结合msg.sender (玩家地址),计算出玩家是否获得空投奖励,攻击者可以部署中间合约,预先计算出在当前块进入游戏是否能够获得空投,然后在结果为true的时候参与游戏,就必然能够获得空投,并以此牟利。
修复建议
针对随机数问题,目前有几点建议:
可以尝试官方推荐的随机数生成方式,比如以太坊的Solidity官方文档推荐用户使用链外的Oraclize库生成随机数;
杜绝中间合约参与游戏,以太坊开发者需要注意,使用以太坊平台提供的 extcodesize函数并不能完全判断某个地址是否为合约,因为合约在部署的时候,其extcodesize为0.但是可以在构造函数与其他合约进行交互,从而参与游戏,可以使用tx.origin==msg.sender的方式判断。
4. 利用竞态条件机制发起的攻击
目前有些类似博彩的游戏合约似乎更加受到欢迎,此类游戏合约有一个共同的特点——时间依赖。它们都是在一定时间段内与用户进行互动,时间截止之后宣布获奖者名单。这样取决于时间点的游戏留下的隐患是:攻击者可以将整个区块“塞满”交易,使得特定的交易无法进行。 攻击者会使用高昂的gas使其成为整个区块中唯一一个交易进行者。
案例分析:代表游戏:Exitscam/FoMo3D平台:以太坊
以太坊版的FoMo3D规则类似于透明“金字塔骗局
每一局持续固定的时间
如果你是最后一个向奖池中投注的人,你拿走头奖(奖池总奖金的90%)
如果有人在你之后投注,你会获得一定的分红。目前,分红金额低于投入ETH的1%
每0.005 ETH会给结算时间增加30秒,也就是2个区块,但每次增加上限为24小时
利用竞态条件的概念,赢得此游戏,获得头奖的策略很简单:当倒计时即将结束,趋近于0时,向奖池投注ETH,“买“下之后的每一个区块直至倒计时结束,保证没有人能够在你之后投注。如果这个操作实现,你将获得头奖[3]。
这个游戏的机制漏洞几乎与之前提到的交易顺序依赖(TOD)异曲同工,竞态条件我们在第三期连载分析中也有描述,链接如下:弯道超车老司机戏耍智能合约 | 成都链安漏洞分析连载第三期 —— 竞态条件漏洞。
修复建议
游戏开发者需要熟悉重入和交易顺序依赖两种类型的竞态条件漏洞,类似的游戏机制如若可以利用相似的概念被投机取巧,应当改变设计思路,兼顾设计初衷与安全保障。
二、
虽然区块链上所有的交易都是公开透明的,但这不代表游戏项目方在合约开发的过程中不能留有后门。尤其是尚未公布源码的游戏合约,其中可以暗藏一个函数,开发者只要调用这个函数就能卷走所有的货币。而目前尚未出现一款可靠的反编译器,对字节码进行反编译后,使其源码真正公开透明。如果还拿建造楼房做比喻的话,可以理解成在建造的时候就设计成歪的,一直住在其中的用户却并没有察觉。
事件回顾
代表游戏名称:Power of Bubble平台:以太坊
从4月7日到4月8日早上10点,游戏项目方在Discord各频道开始了疯狂的宣传,利用精美的外形设计和丰厚的奖励承诺牢牢吸引了大批的粉丝翘首以盼。8日早上10点开服后10分钟内,合约内资产已超过200ETH,但是随着时间的推移,玩家们开始发现讨论群消失了,游戏内的出售以及提取操作也无法完成。最后,奖金池中227个以太在众目睽睽之下被合约创建者转走[4]。
区块链游戏往往需要各种虚拟货币作为游戏资产,整个游戏中所有涉及到虚拟货币持有、分配的合约都应当开源,供玩家和审计方审核,确保没有潜在后门。同时玩家也应该提高警惕,在将自己资产投入一份源码未知,未经审计的区块链游戏时,要做到理性投资。
路漫漫其修远兮
将区块链技术应用到游戏上,其发展时长其实并不比区块链货币交易短很多。区块链游戏到目前为止已经可以划分为3个时代,从1.0时代的《加密猫》,到2.0时代的《以太水浒》,都属于收集玩法为主的区块链游戏时代。目前的3.0时代是链上加链下多种玩法结合的时代,但是在众多RPG区块链游戏兴起的同时,庞氏骗局型区块链游戏也开始兴风作浪,这类游戏的交易属性较重,而且往往缺乏长期的游戏属性。展望4.0时代,区块链游戏应当更加注重于其游戏性,也就是说在玩法上更加接近传统游戏。但是与传统游戏相比,区块链游戏在三个方面有较大优势[5]:
账号安全:玩家的登录信息加密过后被储存在钱包内,安全性相较于传统登录模式有较大提升。
服务器:服务器安置在区块链上,即使游戏运营方停止其官方服务器,玩家也能继续享受游戏。
公平性:由于游戏内信息公开透明,并且可追溯,滥发,更改道具的行为将更容易被识别,进而大幅下降。
然而,基于以太坊开发与传统游戏机制相同的仍然存在许多劣势:
以太坊的吞吐量限制了游戏玩家的数量和增长速度
鉴于目前以太坊交易速度的限制,很多游戏没有办法像传统游戏一样做到低延迟和实时互动
每笔交易需要手续费对游戏内的交易增加了负担
目前,更多公链和资本介入区块链游戏的开发,目的是为其研发新的模式技术奠定更坚实的基础,或许再过不久,会有专门为游戏而生的公链出现,给区块链游戏一个专属的舞台。同时,开发者们已经把重心转移到多玩法的方向,试图弱化交易属性、减少庞氏骗局类型游戏,将区块链的技术优势附加到已经很成熟的传统游戏市场,为游戏产业带来一个新的纪元。
但无论是以交易属性为主还是以游戏性为主的区块链游戏,都离不开智能合约的编写和审计。所以重中之重还是要在发展的同时,保证合约安全属性的验证,对于上述问题游戏合约,对照之前的漏洞分析不难发现,很多项目方依然在重蹈覆辙,对于异常明显的常规漏洞没有采取补救或者防护的措施,带给玩家巨大的经济损失,也给区块链游戏的天空平添一抹阴霾。 保证合约的质量,让区块链游戏快速走出混沌期,每一个项目方和开发者责无旁贷。
其实如果大家希望更加深入的学习和了解币圈,那么可以添加我们的官方客服申请加入我们的官方社群,群里有炒币玩币的职业玩家以及行业大咖,可以给大家解疑答惑,让你快速入门,从入门到精通。赚取币圈的第一桶金。
什么是公钥和私钥?公钥和私钥的区别详解
说到公钥和私钥,相信很多投资者都听说过,尤其是对私钥可以说是印象深刻,毕竟私钥决定着自己存放数字货币是否安全,就相当于银行卡密码一样的存在,不过听说过贵听说过,真正了解公钥和私钥是什么的投资者可以说只占少数,那么,什么是公钥和私钥呢?接下来小编就给网友们详细说说什么是公钥和私钥?同时给网友们说说公钥和私钥的区别是什么?
1.私钥
私钥用于加密和解密数据。此键在加密的敏感信息的发送者和接收者之间共享。私钥也被称为对称的,对双方都是通用的。私钥加密比公钥加密机制更快。
私钥本质上是一个包含64位的随机数:
比如:6KYZdSDo39z3GDrtuX2QcowGnNP5zTd7yfr2SC1j239sBCnWjee。
私钥是随机生成的,这个随机数的可能由2的256次方种,这个数量网友们可以感受一下,及时用“暴力破解”的方式逐一遍历可能的私钥,也可以说几乎是不可能的,就算用现在最先进的量子计算机也不行。
私钥只能由钱包自己来生成。在创建钱包的时候,输入密码,你就可以导出私钥了。
注意:一个钱包地址只有一个私钥,谁拥有私钥,谁就拥有了这些数字货币的控制权,私钥不能忘,必须备份,切记!
2.公钥
公钥由私钥通过椭圆曲线加密算法生成的,变换后是一个65个byte的数组,一般是通过16进制处理后显示。早期比特币开发者不知道可以压缩公钥,压缩后公钥有33个byte数组。拥有私钥,就可以算出公钥。而公钥不能计算私钥,这样,数字加密货币就有了很高的安全性。
1.算法
私钥用于加密和解密数据,并在加密数据的发送方和接收方之间共享,公钥仅用于加密数据和解密数据,私钥用于共享。
2.性能
私钥机制更快,公钥机制较慢。
3.秘密
私钥是秘密的,对发送方和接收方以外的任何人都不公开,公钥可以免费使用,而私钥则只能保密。
4.类型
私钥机制被称为对称,即两方之间的单个键,公钥机制被称为非对称,是出于不同目的的两个键。
5.分享中
私钥将在两方之间共享,任何人都可以使用公钥,但私钥只能在两方之间共享。
6.目标
性能测试检查系统的可靠性,可伸缩性和速度,负载测试检查系统的可持续性。
上面这些就是什么是公钥和私钥的相关内容,网友们都知道,对于私钥和公钥来说,公钥作为私钥到地址的中间桥梁,他在交易的验证是最关键的,毕竟对于一个交易的验证,公钥的作用包含生成地址,公钥验证发送交易的地址是否和该公钥生成的地址一致,以及验证私钥的签名,公钥用来验证该交易是否使用了正确的私钥签名,另外,私钥生成公钥是成对出现,公钥可以生成对应的唯一地址,这样就能确认了该地址发送的交易是否使用了对应的私钥。
FND是什么币?FND币官网总量和上线交易平台介绍
FundRequest(简称FND)是在以太坊平台上发行的一种加密货币令牌。今天的FND币价格是$ 0.00054176,24小时的交易量是?。过去24小时内价格不变。它的循环供应为4880万枚硬币,最大供应为9860万枚硬币。FND币在2个交易所上市,共有2个活跃市场,交易FND币的最活跃的交易所是Idex。FND币市值为$ 30 432.00,在诸如etherscan.io,ethplorer.io和enjinx.io之类的区块浏览器上浏览FundRequest的地址和交易。
流通量:47,782,545 FND
总量:98,611,464 FND
通率:48.5%
发行时间:2018-05-21
官网:https://fundrequest.io/
上架交易所数量:3家
IDEX交易所:https://idex.market/
满币交易所:https://www.coinbene.com/
Radar Relay交易所:https://radarrelay.com/
FundRequest简称FND,fnd(fnd币)引入了一种简单而安全的方法来奖励任何项目上的错误修正和功能构建。FundRequest是一个定制支持系统,可以促进整个开源社区 是什么币 从开发人员到最终用户。
您可以使用Fundrequest来:
社区
任何人都可以资助他们最喜欢的开源项目的请求,加速他们的开发。
奖励
贡献者
奖励开发者对开源项目的贡献。
了解
什么是流行的
开发人员可以找出哪些问题对社区最重要。
根据您的需求 构建软件
通过提出或资助新功能,您可以积极参与软件的开发。
通过3个简单步骤进行基金申请:
通过直观的前端应用程序进行在线和移动使用,为任何目标或问题提供资金都将无痛且轻松。我们在路线图中包含的里程碑之一是开发Chrome浏览器附加组件,以便您可以在自己喜爱的平台上解决问题。
其实如果大家希望更加深入的学习和了解币圈,那么可以添加我们的官方客服申请加入我们的官方社群,群里有炒币玩币的职业玩家以及行业大咖,可以给大家解疑答惑,让你快速入门,从入门到精通。赚取币圈的第一桶金。
CEX.IO是什么交易所?一文了解CEX.IO交易所
CEX.IO交易所成立于2017年5月,注册地是爱沙尼亚,是一家多功能的数字资产交易服务平台。根据最新的行情数据显示,截止到2021年12月28日13:22,CEX.IO交易所的24小时交易额为4041.09万美元,在加密货币交易所中全球排名为第56名,该交易所目前的现货费率为0.25%,KYC认证情况未知,目前交易支持现货交易和法币交易,通过上面这些数据可以看出该交易所的市场行情还是不错的。很多投资者都想要知道到底CEX.IO是什么交易所?接下来就让小编带网友们一文了解CEX.IO交易所。
CEX.IO交易所成立于2013年的第一家云挖掘提供商,CEX.IO已成为一个多功能的加密货币交易平台,受到超过一百万用户的信赖。CEX.IO通过网站,移动应用程序,WebSocket和REST API提供跨平台交易,为市场上的顶级货币对提供高流动性订单。即时比特币购买和销售可通过简化的捆绑界面获得。CEX.io交易所开发了一个多层次的账户系统,为每位客户提供独特的方法,从比特币初学者到机构交易者。全球覆盖范围,多种支付方式和全天候支持都伴随着久经考验的平台稳定性,可确保资产和数据的安全。
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:http://www.longfuchaju.com//chanye/zhineng/742.html
