2、以owner权限盗取为代表的函数调用权限问题

此类漏洞的形成原因为构造函数失配或者修改owner的函数未添加调用者检查。智能合约的构造函数一般担负着合约初始化以及owner地址绑定的功能，如果构造函数声明方式不正确，那么，其会变成一个普通函数，任何人都可以调用他，并将自己设置为合约管理者。修改owner的函数用于将新地址设置为owner，此类函数需要检查调用者地址，如果确少该检查，那么任何人都能够将自己变为合约的管理者。这与我们在开始连载之前的owner权限漏洞分析中的构造函数问题如出一辙，需要了解请由以下链接传送：注意!3份合约又存在Owner权限被盗问题——低级错误不容忽视

直接进入案例分析：代表游戏：Ether Cartel平台：以太坊

游戏的构造函数(DrugDealer)和合约名(EtherCartel)不一致，存在构造函数失配漏洞，导致DrugDealer变成一个普通的函数，任何人都能够调用该函数变成合约的ceoAddress，并且，根据后面的代码逻辑，他可以收取原本应该打入合约部署者的ETH[2]。

修复建议

为了避免此类漏洞，开发者在开发游戏合约时需要足够谨慎，并进行详尽的测试。构造函数仅在合约部署时执行一次，当出现合约部署后owner仍为0地址，并且用户可以调用实现构造函数功能的函数，那么，合约就存在构造函数失配的漏洞，开发者需要检查并修复构造函数实现。

3、“随机数生成”等区块链平台短板

截止至目前，以太坊和EOS官方均未提供随机数接口，这对游戏开发确实是一个不利的影响，比如抽奖模块的开发。为了实现类似的功能，游戏开发者往往需要自己编写随机数生成函数，这些函数往往利用区块信息作为参数，然后进行一系列运算，获得一个“随机数”。但是，由于使用区块信息作为参数，这将导致在同一个区块上，使用相同算法的随机数函数将会得到相同的值，攻击者可以利用这点，部署中间合约，然后不停的尝试生成随机数，当生成满意的随机数时，再利用中间合约参与游戏，获得较大优势。此外，区块链作为一个全球分布式的计算机，其资源目前是比较有限的，链的开发者为了保障链平台的稳定性，对链上的智能合约的运做出了限制，防止死循环等消耗资源的操作，比如，运行gas限制(以太坊)、CPU/内存资源限制(EOS)，这使得链上游戏开发者需要比传统的中心化服务器游戏付出更大的努力，对游戏的逻辑进行优化，确保逻辑正确的合约不会因为资源限制问题而无法运行。

随机数问题我们在之前的快讯 智能合约随机数算法漏洞影响游戏公平性 已经提及过，这次我们根据案例进行一下具体分析：代表游戏：FoMo3D long平台：以太坊

该合约空投函数的随机数生成使用的区块参数依次为block.timestamp(当前区块时间戳)、block.difficulty (当前区块难度)、 block.coinbase(挖出当前区块的矿工地址)、block.gaslimit(当前区块 gas 限额)、block.number (当前区块号)，结合msg.sender (玩家地址)，计算出玩家是否获得空投奖励，攻击者可以部署中间合约，预先计算出在当前块进入游戏是否能够获得空投，然后在结果为true的时候参与游戏，就必然能够获得空投，并以此牟利。

修复建议

针对随机数问题，目前有几点建议：

可以尝试官方推荐的随机数生成方式，比如以太坊的Solidity官方文档推荐用户使用链外的Oraclize库生成随机数;

杜绝中间合约参与游戏，以太坊开发者需要注意，使用以太坊平台提供的    extcodesize函数并不能完全判断某个地址是否为合约，因为合约在部署的时候，其extcodesize为0.但是可以在构造函数与其他合约进行交互，从而参与游戏，可以使用tx.origin==msg.sender的方式判断。

4.  利用竞态条件机制发起的攻击

目前有些类似博彩的游戏合约似乎更加受到欢迎，此类游戏合约有一个共同的特点——时间依赖。它们都是在一定时间段内与用户进行互动，时间截止之后宣布获奖者名单。这样取决于时间点的游戏留下的隐患是：攻击者可以将整个区块“塞满”交易，使得特定的交易无法进行。 攻击者会使用高昂的gas使其成为整个区块中唯一一个交易进行者。

案例分析：代表游戏：Exitscam/FoMo3D平台：以太坊

以太坊版的FoMo3D规则类似于透明“金字塔骗局

每一局持续固定的时间

如果你是最后一个向奖池中投注的人，你拿走头奖(奖池总奖金的90%)

如果有人在你之后投注，你会获得一定的分红。目前，分红金额低于投入ETH的1%

每0.005 ETH会给结算时间增加30秒，也就是2个区块，但每次增加上限为24小时

利用竞态条件的概念，赢得此游戏，获得头奖的策略很简单：当倒计时即将结束，趋近于0时，向奖池投注ETH，“买“下之后的每一个区块直至倒计时结束，保证没有人能够在你之后投注。如果这个操作实现，你将获得头奖[3]。

这个游戏的机制漏洞几乎与之前提到的交易顺序依赖(TOD)异曲同工，竞态条件我们在第三期连载分析中也有描述，链接如下：弯道超车老司机戏耍智能合约 | 成都链安漏洞分析连载第三期 —— 竞态条件漏洞。

修复建议

游戏开发者需要熟悉重入和交易顺序依赖两种类型的竞态条件漏洞，类似的游戏机制如若可以利用相似的概念被投机取巧，应当改变设计思路，兼顾设计初衷与安全保障。

二、

虽然区块链上所有的交易都是公开透明的，但这不代表游戏项目方在合约开发的过程中不能留有后门。尤其是尚未公布源码的游戏合约，其中可以暗藏一个函数，开发者只要调用这个函数就能卷走所有的货币。而目前尚未出现一款可靠的反编译器，对字节码进行反编译后，使其源码真正公开透明。如果还拿建造楼房做比喻的话，可以理解成在建造的时候就设计成歪的，一直住在其中的用户却并没有察觉。

事件回顾

代表游戏名称：Power of Bubble平台：以太坊

从4月7日到4月8日早上10点，游戏项目方在Discord各频道开始了疯狂的宣传，利用精美的外形设计和丰厚的奖励承诺牢牢吸引了大批的粉丝翘首以盼。8日早上10点开服后10分钟内，合约内资产已超过200ETH，但是随着时间的推移，玩家们开始发现讨论群消失了，游戏内的出售以及提取操作也无法完成。最后，奖金池中227个以太在众目睽睽之下被合约创建者转走[4]。

区块链游戏往往需要各种虚拟货币作为游戏资产，整个游戏中所有涉及到虚拟货币持有、分配的合约都应当开源，供玩家和审计方审核，确保没有潜在后门。同时玩家也应该提高警惕，在将自己资产投入一份源码未知，未经审计的区块链游戏时，要做到理性投资。

路漫漫其修远兮

将区块链技术应用到游戏上，其发展时长其实并不比区块链货币交易短很多。区块链游戏到目前为止已经可以划分为3个时代，从1.0时代的《加密猫》，到2.0时代的《以太水浒》，都属于收集玩法为主的区块链游戏时代。目前的3.0时代是链上加链下多种玩法结合的时代，但是在众多RPG区块链游戏兴起的同时，庞氏骗局型区块链游戏也开始兴风作浪，这类游戏的交易属性较重，而且往往缺乏长期的游戏属性。展望4.0时代，区块链游戏应当更加注重于其游戏性，也就是说在玩法上更加接近传统游戏。但是与传统游戏相比，区块链游戏在三个方面有较大优势[5]：

账号安全：玩家的登录信息加密过后被储存在钱包内，安全性相较于传统登录模式有较大提升。

服务器：服务器安置在区块链上，即使游戏运营方停止其官方服务器，玩家也能继续享受游戏。

公平性：由于游戏内信息公开透明，并且可追溯，滥发，更改道具的行为将更容易被识别，进而大幅下降。

然而，基于以太坊开发与传统游戏机制相同的仍然存在许多劣势：

以太坊的吞吐量限制了游戏玩家的数量和增长速度

鉴于目前以太坊交易速度的限制，很多游戏没有办法像传统游戏一样做到低延迟和实时互动

每笔交易需要手续费对游戏内的交易增加了负担

目前，更多公链和资本介入区块链游戏的开发，目的是为其研发新的模式技术奠定更坚实的基础，或许再过不久，会有专门为游戏而生的公链出现，给区块链游戏一个专属的舞台。同时，开发者们已经把重心转移到多玩法的方向，试图弱化交易属性、减少庞氏骗局类型游戏，将区块链的技术优势附加到已经很成熟的传统游戏市场，为游戏产业带来一个新的纪元。

但无论是以交易属性为主还是以游戏性为主的区块链游戏，都离不开智能合约的编写和审计。所以重中之重还是要在发展的同时，保证合约安全属性的验证，对于上述问题游戏合约，对照之前的漏洞分析不难发现，很多项目方依然在重蹈覆辙，对于异常明显的常规漏洞没有采取补救或者防护的措施，带给玩家巨大的经济损失，也给区块链游戏的天空平添一抹阴霾。 保证合约的质量，让区块链游戏快速走出混沌期，每一个项目方和开发者责无旁贷。

其实如果大家希望更加深入的学习和了解币圈，那么可以添加我们的官方客服申请加入我们的官方社群，群里有炒币玩币的职业玩家以及行业大咖，可以给大家解疑答惑，让你快速入门，从入门到精通。赚取币圈的第一桶金。

数字货币是什么？什么是数字货币通俗一点说

最近由于央行数字货币的新闻不断出现，数字货币又一次出现在大众眼前，之前对数字货币的了解主要来源于爆火的比特币，甚至有些人把比特币和数字货币划了等于号，其实不然，数字货币是个统称，可以说比特币是数字货币的一种，那么，数字货币到底是什么意思呢？接下来小编通俗的给网友们讲解一下什么是数字货币。

数字货币简称为DIGICCY，是英文“Digital Currency”(数字货币)的缩写，是电子货币形式的替代货币。数字金币和密码货币都属于数字货币(DIGICCY)。

数字货币是一种不受管制的、数字化的货币，通常由开发者发行和管理，被特定虚拟社区的成员所接受和使用。欧洲银行业管理局将虚拟货币定义为：价值的数字化表示，不由央行或当局发行，也不与法币挂钩，但由于被公众所接受，所以可作为支付手段，也可以电子形式转移、存储或交易。

数字货币可以认为是一种基于节点网络和数字加密算法的虚拟货币。数字货币的核心特征主要体现在三个方面：

1.由于来自于某些开放的算法，数字货币没有发行主体，因此没有任何人或机构能够控制它的发行;

2.由于算法解的数量确定，所以数字货币的总量固定，这从根本上消除了虚拟货币滥发导致通货膨胀的可能;

3.由于交易过程需要网络中的各个节点的认可，因此数字货币的交易过程足够安全。

比特币的出现对已有的货币体系提出了一个巨大挑战。虽然它属于广义的虚拟货币，但却与网络企业发行的虚拟货币有着本质区别，因此称它为数字货币。从发行主体、适用范围、发行数量、储存形式、流通方式、信用保障、交易成本、交易安全等方面将数字货币与电子货币和虚拟货币进行了对比 。

数字货币是一把双刃剑，一方面，其所依托的区块链技术实现了去中心化，可以用于数字货币以外的其他领域，这也是比特币受到热捧的原因之一，另一方面，如果数字货币被作为一种货币受到公众的广泛使用，则会对货币政策有效性、金融基础设施、金融市场、金融稳定等方面产生巨大影响。

1.数字货币对货币政策的影响

如果数字货币被广泛接受且能发挥货币的职能，就会削弱货币政策的有效性，并给政策制定带来困难。因为数字货币发行者通常都是不受监管的第三方，货币被创造于银行体系之外，发行量完全取决于发行者的意愿，因此会使货币供应量不稳定，再加上当局无法监测数字货币的发行及流通，导致无法精准判断经济运行情况，给政策制定带来困扰，同时也会削弱政策传导和执行的有效性。

2.数字货币对金融基础设施的影响

基于分布式分类账技术进行价值交换的分散机制改变了金融市场基础设施所依赖的总额和净额结算的基本设置。分布式分类账的使用也会给交易、清算和结算带来挑战，因为它能促进不同市场和基础设施中传统服务供应商的非中介化。这些变革可能对零售支付体系以外的市场基础设施产生潜在影响，如大额支付体系，证券结算体系或交易数据库。

3.数字货币对广义金融中介和金融市场的影响

数字货币和基于分布式分类账的技术如果被广泛使用，就会对金融体系现在的参与者特别是银行的中介作用带来挑战。银行是金融中介，履行代理监督者的职责，代表存款人对借款人进行监督。通常，银行也开展流动性和到期转换业务，实现资金从存款人到借款人的融通。如果数字货币和分布式分类账被广泛使用，任何随后的非中介化都可能对储蓄或信贷评估机制产生影响。

 4/5   首页 上一页 2 3 4 5 下一页 尾页