10月14日,CheezeWizards在以太坊主網上線。不到24小時,玩家@samczsun向官方反映,游戲合約存在一個嚴重的Bug,使用這個Bug可以利于不敗之地。隨后CheezeWizards決定采用分叉的解決方案來保護用戶的權益。CheezeWizards已經修復了此Bug并部署了新的智能合約,獎池中損失的178ETH也已經被補上,但CW并沒有關閉有問題的游戲而是讓它成為了一個黑客樂園。
獨孤求敗的Bug
我們先來看看一場正常的芝魔師對決是如何進行的:玩家A挑戰玩家B玩家B接受并提交出招玩家A回應并提交出招玩家A揭示出招玩家B揭示出招智能合約裁決戰斗結果決斗動畫在cheezewizards.com上生成,玩家可以看結果再來看看如果玩家B利用“死亡之鈴”Bug后的對決方式:玩家A挑戰玩家B玩家B接受并提交出招玩家A回應并提交出招玩家A揭示出招玩家B故意超時而不揭示出招玩家B惡意調用resolveTimedOutDuel函數,將兩名參賽者都變為玩家A,導致玩家A既是勝利者又是失敗者的bug惡意調用:函數resolveTimedOutDuel正常調用:函數resolveTimedOutDuel不難發現,二者的區別在于在第5步,本該揭示出招的玩家B采用拖延戰術耗完時間,然后惡意調用上述函數,實現穩贏。惡意調用函數將耗盡芝魔師A的能量,玩家A被判定為負,不過芝魔師B也將處于無效狀態。這時玩家B再次調用resolveTimedOutDuel(WIZARD-B,WIZARD-B)修復該錯誤狀態。此時,芝魔師A的能量消失的事實無法更改,而芝魔師B毫發無損。。當然,惡意第三方也可以調用rTOD合約來消滅芝魔師A的能量,不一定非得由玩家B觸發。CheezeWizards的智能合約是經過精心設計的,因此一旦發布,將無法取出獎池內的獎金。因此,解決這個bug的唯一方法是部署新合約。問題合約中已有150個錢包地址中的芝魔師,總價值175ETH。現在,40,000美元已鎖定在該合約中,在當前的戰斗邏輯下贏得錦標賽是取出這筆獎金的唯一辦法。壞消息是,目前在編號6133以下的一些芝魔師受到了影響。游戲官方提供了Txhash供玩家參考:https://etherscan.io/tx/0x0d497ea959406909edad945d332d0aa1ed2a41273c694ad385910720af2f86f3好消息是,該bug并不會破壞整個游戲,作為一名普通玩家,你幾乎不受任何影響。而且在允許上述這種骯臟的戰斗方式存在的情況下,芝魔師錦標賽依然可以繼續進行。官方稱其為CheezeWizard:未殺菌版。所謂的未殺菌版是指DapperLabs于2019年10月14日部署的CheezeWizards智能合約的版本。未殺菌版包含上述的bug,惡意玩家可以利用該bug攻擊普通玩家的能量,尤其是那些使用Web界面訪問游戲的玩家。但CheezeWizards官方表示,此bug對某些喜歡耍花招的技術型玩家來說,會讓游戲變得更加有趣。出了bug哪里"有趣"?
黑客使用Namecheap郵箱賬號發送包含虛假MetaMask鏈接的釣魚郵件:2月13日消息,域名注冊商Namecheap的電子郵件賬號在周日晚上遭到黑客攻擊,網絡犯罪分子利用將該賬號發送釣魚郵件,尋求竊取收件人的個人信息和加密貨幣錢包資產。
根據BleepingComputer的報告,網絡釣魚活動起源于SendGrid,這是Namecheap用來發送營銷郵件和續訂通知的電子郵件平臺。這些釣魚郵件假裝來自物流供應商DHL和加密貨幣錢包MetaMask。其中冒充Metamask的電子郵件稱收件人的賬戶已被暫停,他們需要完成KYC驗證過程才能重新激活它。該電子郵件還包含Namecheap營銷鏈接,該鏈接將用戶重定向到一個虛假的MetaMask頁面,要求用戶輸入他們的助記詞或私鑰。
Namecheap網站發布聲明稱,“我們用于發送電子郵件(第三方)的上游系統涉及向客戶發送未經請求的電子郵件。因此,用戶可能會收到一些未經授權的電子郵件。Namecheap自己的系統沒有遭到破壞,用戶的產品、賬戶和個人信息仍然安全。請忽略此類電子郵件,不要點擊任何鏈接。我們已停止所有電子郵件(包括身份驗證碼發送、可信設備驗證和密碼重置電子郵件等),并聯系上游提供商以解決問題。”
之后,Namecheap宣布其郵件發送系統已經恢復,并將繼續調查該問題。(Neowin)[2023/2/13 12:03:49]
如上所述,似乎玩家A一直只能是受害者。他們按規則地展示了自己之前提交的游戲招式,然后他們的能量竟然就沒了。當然玩家B并不能吸收這些能量,但是他成功地淘汰了對手讓玩家A無法再繼續參與游戲了。除非……有趣的地方來了。玩家B冒著風險沒有揭示自己的招式,按照CheezeWizards的規則,不揭示已經成功提交的招式意味著自動棄權。這種時候,如果在玩家B惡意調用rTOD之前,玩家A或者系統使用正確的方式調用rTOD方法,提交正確的參數:functionresolveTimedOutDuel(WIZARD-A,WIZARD-B),玩家A將會取得勝利并且獲得玩家B的所有能量!所以新的游戲玩法誕生了。如果玩家判斷對手準備利用bug來對付自己,那么就可以反過來利用正確調用rTOD的方法來奪走對手的能量。勝負的關鍵在于誰率先調用rTOD(DR小伙伴注:即便是同一時刻調用,gasfee高的交易會更快被礦工打包)。不過誠實的玩家更有優勢:他們獲勝時可以淘汰掉不誠實玩家并吸收他們的能量,而不誠實玩家即便獲勝了,也只是將誠實玩家淘汰,并不能讓自己獲得更多能量。而且不要忘了,CheezeWizards官方一直運行著后臺程序監測有沒有超過90分鐘未揭示招式的比賽,一旦發現會自動觸發正確的rTODs方法。需要注意的是:未殺菌版芝魔師并不適合所有玩家。參與者需要完全意識到風險。很多玩家將會運行自動化腳本來保證自己率先觸發rTODs方法,不管是作為誠實方還是不誠實方。玩家需要想想自己是否有膽量來玩這個有趣的游戲。所以,找到適合自己的方式再來參與未殺菌版芝魔師吧。接下來讓我們深入到代碼層面。在代碼層面檢視bug
芝商所和CF Benchmarks將推出Avalanche、Filecoin、Tezos參考利率和實時指數:金色財經報道,衍生品市場芝商所(CME Group)和加密貨幣基準指數提供商CF Benchmarks今天宣布計劃推出三個新的加密貨幣參考利率和實時指數,將從10月31日開始由CF Benchmarks每天計算和發布。這些參考利率和指數不是可交易的期貨產品,包括Avalanche (AVAX)、Filecoin (FIL)、Tezos (XTZ)。
幾家頭部加密貨幣交易所和交易平臺將為這些新基準提供定價數據,最初包括Bitstamp、Coinbase、Gemini、itBit、Kraken和LMAX Digital。[2022/10/7 18:41:25]
事情的起因是,兩位玩家在戰斗中相互提交招式,其中一位有意或無意地不揭示他放出的招式。這時,為了讓另一個玩家可以結束這場漫長的戰斗,CheezeWizards允許玩家發起一個"單邊揭示"的交易。這其實是一個特殊情況,正常的游戲中不會遇見。rTOD漏洞只在一種情況下發生,也就是在戰斗中。一位玩家已經揭示了招式,另一位玩家一直不揭示招式直到時間截止(90分鐘)。當只有一邊揭示招式然后另一邊等待到時間截止時,任何一個懷有惡意的用戶,都可以用錯誤的方式調用rTOD合約,以此來凍結誠實玩家的能量。假設誠實的玩家A正在使用號碼#1000芝魔師與使用號碼#2000芝魔師的玩家B作戰,玩家B打算使用”死亡之鈴“bug。兩位巫師都選擇了自己的招式進入決斗。玩家A展示了自己的出招,而玩家B等待決斗超時,并調用resolveTimedOutDuel。讓我們來看一下智能合約中的部分代碼:最終,智能合約執行一次能量轉移,認為該合約將全部能量轉移給獲勝的芝魔師,然后抽干失敗的芝魔師的能量。然而,由于雙方wiz1并wiz2都指向一個索引(#1000),所以先翻倍了#1000芝魔師的能量......然后抽干了他。值得慶幸的是,通過在函數頂部添加一個簡單的require語句來確保兩個芝魔師ID是不同的,可以輕松修復此錯誤。require這個智能合約已經過SigmaPrime的正式安全審查,CheezeWizards相信沒有其他問題可以阻止比賽按預期進行。看到這里,想必大家已經了解,要玩轉未殺菌版CheezeWizards還是需要一定技術門檻的。如果你是一個想要黑吃黑的黑客,請跳到unp.cheezewizards.com。普通玩家請依然在cheezewizards.com參賽吧。
Avalanche子網Swimmer Network與LayerZero Labs達成合作關系:5月16日消息,Avalanche 子網 Swimmer Network 與 LayerZero Labs 達成橋接合作伙伴關系,鏈游 Crabada(CRA)、Treasure Under Sea(TUS)和 Crabada Amulets(CRAM)上受 Layer Zero 支持的 ERC-20 資產和 NFT 將能整合到 Swimmer Network。
此外,Avalanche 首席執行官 Emin Gun Sirer 表示,該子網上線后,Avalanche C-Chain 費用降至 25.1 nAVAX,創下歷史新低。[2022/5/16 3:18:20]
福布斯:已有幾位Sushi持有者對Chef Nomi發起集體訴訟:9月7日消息,幾位壽司幣持有者已對Chef Nomi本人發起了集體訴訟。由于這位創始人依舊保持匿名,目前尚不清楚FBI和IRS是否會介入。與此同時,就接管SushiSwap后對SushiSwap的計劃一事,FTX創始人兼首席執行官Sam Bankman Fried(SBF)在接受采訪時表示,首先是確保遷移有效地發生,然后是多重簽名轉換,在那之后,我就不控制這些密鑰了。一旦遷移發生之后,我會有很多想法,我會希望SushiSwap做些什么,比如與保證金交易、借貸業務組合在一起,并在Serum上構建。但SBF強調不會單方面地這么做,這將由社區來決定會發生什么。(福布斯)[2020/9/7]
Zilliqa宣布將與Switcheo合作,以將BUSD引入其網絡:Zilliqa宣布將于Switcheo合作在以太坊和Zilliqa鏈之間建立一座橋梁,以將BUSD穩定幣引入Zilliqa網絡并以ZRC-2-BUSD的形式流通。[2020/7/11]
Tags:CHEWIZWIZARDHEE櫻桃幣CHE正在飛速發展WIZZWizardiumSheesha Finance
真本聰手記:每天精選5篇加密貨幣最新優質文章今天內容包括:1Marketing3.0+區塊鏈,引入去中心化品牌概念2德國聯邦政府的區塊鏈戰略手冊3Coinbase如何看待工作量證明的安全性4為什.
1900/1/1 0:00:00編者按:本文來自棱鏡,作者:黎央,Odaily星球日報經授權轉載。就在很多人想要放棄區塊鏈的時候,行業迎來巨大轉機.
1900/1/1 0:00:00OKEx行情顯示,今年6月27日,BTC創下年內高點,接近1.4萬美元。隨后價格開始下行,最低跌至7700美元左右,最大跌幅超過45%.
1900/1/1 0:00:00備受關注的Libra聽證會,北京時間10月23日晚10點舉行。FacebookCEO扎克伯格出席美國眾議院金融服務委員會關于Libra的聽證會.
1900/1/1 0:00:00編者按:本文來自白話區塊鏈,Odaily星球日報經授權轉載。近日,一則新聞成為關注焦點,中共中央局就區塊鏈技術發展現狀和趨勢進行集體學習,強調要把區塊鏈作為核心技術自主創新重要突破口,加快推.
1900/1/1 0:00:00“騙局無處不在,只是你從未察覺。”幣圈,是可以成就夢想的地方,也是可以踏入深淵的地方。投資的時候有千萬種坑,差不多的配方,不一樣的包裝,總有人被一騙再騙.
1900/1/1 0:00:00