月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 瑞波币 > 正文

LOOT:分析 | Loot分叉的集体漏洞——稀缺性有规律可循_OOT

作者:

时间:1900/1/1 0:00:00

来源:Medium

作者:iamthetorn

翻译:思嘉

如果没有修改智能合约中使用随机性的方式,不要将Loot的代码用于新项目。

Loot的智能合约有一个设计限制,影响着初始代币分配的公平性。而那些使用Loot代码的新项目也存在这个漏洞。

本文不是要贬低Loot或任何相关公司,而是意在:

1.通过减少信息不对称,营造NFT的公平竞争环境;

2.减少程序错误或设计模式的继续扩散,以防将用户置于风险中。

Loot是一个由8000个代币组成的NFT集合,称为Bags。97%的NFT可由公众铸造,除了Gas费之外没有其他费用。

智能合约包含随机化和渲染层、逻辑层,允许它生成对应于任何代币ID的SVG。

每个Bag有8项属性,每一项都在智能合约上随机生成一个分值。分值越高,物品的名称可变性越强,物品也就更加稀有。

分析 | 比特币评级上升得益于基本面改善和减半前的价格走势:据Bitcoinist消息,加密货币评级机构韦氏评级(Weiss Crypto Ratings)再次将比特币升级定为A-(优秀)。韦氏评级发推表示,比特币评级上升得益于基本面改善和下一轮减半前的积极价格走势。[2020/2/9]

那么问题出在哪里呢?

Bag的内容是根据其代币ID确定的——这意味着在最初的代币分配之前或分配期间的任何节点,只要通过阅读智能合约,任何人都可以轻而易举地提前计算出整个Bag的供应量。

由于claim()函数将代币ID作为一个参数,所以很容易从收藏品中挑选出最稀有的物品,并赶在其他人之前立即将其铸造完成。

如果合同代码在最初发行时是公开的,就会使得Loot和类似的项目很容易被游戏化。

事实上,Loot和其大多数模仿者都把使用Etherscan作为他们的造币UI,这要求源代码在Etherscan上经过验证。

分析 | 以太坊主流交易所交易量萎靡?30天ROI持续下滑:据 TokenGazer 数据分析显示,截止至 9?月 26?日 11 时,以太坊价格为$168.01,总市值为$18,147.51M,主流交易所交易量约为$146.26M,环比昨日缩水76.0%;以太坊对比特币汇率有一定上行趋势;基本面方面,以太坊链上交易量、算力、活跃地址数保持稳定、链上DApp交易量有较大缩水;以太坊 30 天开发者指数约为 2.23;以太坊与 BTC 180 天关联度在年内低点附近平稳波动,30 天 ROI持续下滑;ERC20 代币总市值约为以太坊总市值的 57.09%,持续回升。[2019/9/26]

公司已经确认,以下项目的初始发行版对上述的造币操作是开放的。Loot、Bloot、MoreLoot、n、CHAR0......

这是个非详尽的列表,在写这篇文章时,我还没有发现任何其他对此开放的项目。

最令人担忧的是,这种游戏性会导致普通用户和内行或具有技术知识的用户之间产生的结果存在显著差距。

分析 | 九月第三周ETH继续领涨,合约持仓总量已至年内新高:于OKEx平台交易的比特币现货价格在九月第三周下跌3%(截至香港时间9月15日24:00时),整体价格波动区间虽不足$750美元;ETH现货价格则录得本月连续第三个正周收益率,价格上涨11.5%,并最终收于200日均线207美元上方。比特币总市值占比由69.3%降至68%,ETH总市值占比则大幅上升0.7%至8.5%。

在连续三周的上涨过后,以太坊为代表的主流币上涨趋势可能在本周放缓,多个币种对比特币交易对走出双头顶,上方压力较大。且人民币成交的USDT场外成交价呈现负溢价,市场仍未出现较高的入场情绪。

OKEx合约大数据中“BTC多空持仓人数比”在上周浮动较大,19日急跌前多空人数比达到8月以来最高的2.03,急跌后降至1.51;“BTC精英多军平均持仓比例”持仓比例为33%,仍然较高;“BTC季度合约基差”目前溢价回到$300美元左右;“BTC合约持仓总量”则达到今年以来的最高点接近1000万张,极高的持仓量可能引发单边走势,本周需更加关注风险。[2019/9/23]

漏洞1

分析 | 本周稳定币日均交易价格、日均供应量较上周均增加:据TokenInsight数据分析显示,交易量较大的5种稳定币(USDT、PAX、TUSD、USDC和DAI)中,7日日均交易价格较上周均增加,其中USDC增幅最大达0.35%。交易量方面,除USDT较上周略微减少外,其余4种稳定币日均交易量较上周均不同程度增加,其中USDC以40.81%的增幅居首。市场供应量方面,5种稳定币日均供应量较上周均增加,USDC日均供应量较上周增加14.68%。

独立分析师 Lewis 认为,因本周主流通证市场行情低迷,稳定币日均交易量较上周显著增加。USDT在日均交易量与日均供应量方面遥遥领先其他4种稳定币,USDT仍然是稳定币市场的主要参与者。[2019/1/18]

MoreLoot是Loot的创造者dhof发布的Loot后续产品,截至本文写作时仅发布几个小时,从MoreLoot的链上数据中就可以明显地发现这一漏洞产生的影响。

分析 | TokenInsight发布Dash评级:BB 展望稳定:Dash是一种允许用户进行即时转账和匿名转账的支付通证。 Dash于2015年由Darkcoin更名而来,并被广泛认为是Litecoin的基础代码型分叉。相比于Bitcoin,Dash通过增加主节点网络,使用户能够以更迅速、更私密的方式进行支付。另外,Dash的主要竞争对手Monero和Zcash与其在隐私功能方面存在激烈竞争。

在不损害Dash整个网络民主治理的情况下,主节点驱动的网络显著提高了Dash在交易速度和隐私保护方面的性能。然而,由于长期以来Dash通证本身价格的波动,其作为支付通证的功能受到较大影响。综上,TokenInsight对Dash的评级为BB,展望稳定。[2018/11/23]

上图显示了MoreLootBags可供铸币与实际铸币之间的分布差异。它包括目前该系列中超过130万个Bag的"greatness"分数。

如果铸币是随机的,我们期望这些分布是一致的。

恰恰相反,我们可以清楚地看到,虽然绝大多数的购买是"盲目的",但有一小部分的交易是利用合同,只对最稀有的Bag铸币。

自GitHub上公布了稀有度排名后,这种有针对性的铸币活动的频率有所增加。

然而,即使在公开的LootDiscord中分享了这些数据后的几个小时,有针对性的铸币活动仍然只占铸币活动的一小部分,这表明大多数用户都被蒙在鼓里。

有些人可能会用MoreLoot来试试水,不会太认真对待,但仍应当考虑其实际影响。

比如用户为MoreLoot铸币支付了大约300万美元Gas费。这些铸币中的绝大部分是盲目的。

随着供应上限远远超过100万个代币,成千上万的"特殊"代币涌入市场,普通持有人的转售前景非常暗淡。

漏洞2:CHAR0

CHAR0是最近另一个基于Loot的项目,从UTC9月3日13:47到UTC9月4日11:56,在分发9700个代币的过程中,预计花费70万美元的Gas费。

作为这个项目的早期矿工,产出必要的数据来识别和获得该系列中许多最稀有的代币,对我来说非常容易。

为了演示,我只对一个小的收藏品进行铸币,但没有什么能阻止我迅速且隐蔽地获得前1%绝大所数的供应。

很明显,像我这样有动机获取者可以从CHAR0的用户群中提取巨大的价值,并对项目的结果产生相当大的影响。

可能的解决方案

我会把这一部分划定在比较高层次的讨论上,并留有一些后续解决空间。以下是解决上述问题的几种不同方法。

盲投

Hashmasks普及了盲投模式,在这种模式中创作者承诺为整个系列提供一个哈希值,在销售结束时通过链上随机性对系列顺序进行洗牌。

这可以创造出公平、随机的分配,即使是创作者也不能作弊。Hashmasks智能合约被BAYC和其他一些项目成功采用。

可改变盲投策略与Loot一起使用,同时保留所有LootSVG由智能合约生成的属性。

链上RNG

可在运行时使用链上随机性使每个铸币的结果随机产生。

对这种方法必须格外小心,因为链上随机性的来源可能会被他人以意想不到的方式利用。

最好的方法是利用VRF,如Chainlink的VRF,但这对某些应用来说可能过于昂贵。

未验证的合同

一个简单的修复方法是在最初发布时保持智能合约代码的私密性。在以下情况下,这种方法合理:

1.创建者的声誉受到威胁;

2.合同不接受付款。

虽然这可以说是一种改进,但我强烈建议不要采用这种方法。

与盲投不同,这种方法没有保护措施防止NFT创建者作弊。无论是通过分析铸币输出还是通过字节码反编译,合约可能会受到逆向工程的影响。

即使合同创建者是值得信任的,然而也存在不好的先例,包括合同不接受付款,要求用户与未经验证的合同互动。

抗Sybil投资

最后,我有一个建议想要呼吁:使用Mirror的数据来尝试抗Sybil的公平分配。

这是一个具有前瞻性的方法,我相信在未来会变得越来越有趣。

最后...

这些方法中的每一种都有取舍,有些可能是最初的Loot团队所考虑的。

事实是,当前版本的Loot智能合约扩散得越多,对用户来说情况就越糟糕。

在问题得到解决之前,这个智能合约不应该重新进行使用,至少在没有明确沟通的情况下,铸币是游戏化的,而且分配目的不是为了公平或随机。

结尾的呼吁

所有关于社区和公平分配的讨论都在于,NFT用户应该得到更好的待遇。

他们应该有一个公平的竞争环境,他们应该得到精心设计的、不会坑害他们的代币发行。

毋庸置疑,Loot已经引发了一场革命,是NFT持续发展的一个关键项目。

我想强调的是,即使是在试水,NFT开发者也要对他们的用户负责,这包括那些从其他项目中复制粘贴代码的开发者。

不要再吹嘘那个利用你的Loot进行抄袭的家伙通过看YouTube在一天之内学会了智能合约。

让我们为用户提供更安全的NFT空间,新型的和高价值的智能合约应该接受审查,或者至少由经验丰富的智能合约开发者进行代码审查。

众所周知的问题应该公开进行讨论,让我们改进优秀做法,并广泛分享,确保艺术家创作安全和富有意义的NFTs时有用武之地。

标签:LOOTOOTASHUSDloot币掠宝Croatian Football Federation TokenAshwardCUSDC

瑞波币热门资讯
数字人:四大行首度披露数字人民币业务进展,看看这份“期中”成绩单透露了什么_RON

原标题:《四大行“激战”数字人民币》来源:北京商报作者:北京商报记者?孟凡霞?李海颜数字人民币迎来试点“热潮”,国有大行“期中考”成绩单首度披露了数字人民币业务进展.

1900/1/1 0:00:00
WEB:a16z创始人:加密货币如何将Web2网络升级为Web3经济体?_Webflix Token

撰文:ChrisDixon,a16z创始人编译:深潮TechFlow我们在过去20年里在互联网上建立了网络.

1900/1/1 0:00:00
VER:100页Metaverse研报:科技巨头内容硬科技新战事,腾讯网易字节押注未来_Futurov Governance Token

本文来源:竞核作者:朱涛伟《100页Metaverse元宇宙研报:科技巨头内容硬科技新战事,腾讯网易字节押注未来》报告着重剖析了如下问题:Metaverse元宇宙定义是什么.

1900/1/1 0:00:00
MASK:Mask Network购买CryptoPunk作为资产存入MaskDAO_MASKDOGE

Web3.0项目MaskNetwork宣布购买CryptoPunk#6128,并作为NFT资产存入MaskDAO.

1900/1/1 0:00:00
ECON:保险库受到黑客攻击?Pinecone被攻击事件全解析_PIN

原标题:《独家|灵踪安全:Pinecone被攻击事件分析》作者:灵踪安全8月19日,BSC上的收益聚合项目PineconeFinance的保险库受到黑客攻击,损失约350万没PCT代币.

1900/1/1 0:00:00
比特币:国会议员呼吁SEC主席关注加密货币的监管_稳定币

据Coindesk8月17日消息,国会议员麦克亨利和汤普森呼吁美国证券交易委员会主席根斯勒就加密货币“关注”发表评论,两位国会议员写道.

1900/1/1 0:00:00