區塊參數依賴：合約之熵，安全之殤_BLOC

編者按：本文來自成都鏈安科技，作者：鏈安科技，星球日報經授權發布。引子：橘生淮南則為橘，生于淮北則為枳，葉徒相似，其實味不同。所以然者何？水土異也。——《晏子春秋·雜下之十》針對區塊鏈安全問題，成都鏈安科技團隊每一周都將出智能合約安全漏洞解析連載，希望能幫助程序員寫出更加安全牢固的合約，防患于未然。前景提要上回說到，合約安全隱私未必，外部讀取暴露無遺。只要是儲存在storage里面，存在于區塊鏈上的變量，尤其是狀態變量，由于區塊鏈公開的特性，都是可以通過不執行合約直接從外部讀取的。因此，將隱私信息，不可公開的數據儲存在智能合約中是非常不安全的做法。即使進行有意或者無意的此類操作，都要及時附加相應的加密處理，避免因為對于可見性說明符的片面理解而留下安全隱患。全面理解代碼技術細節，融會貫通互聯網安全知識，才能安全應用區塊鏈技術。本期話題第十回，機制依賴參數主導，礦工操縱投機取巧山竹過境，氣候入秋，想必大家都感受到了久違的一絲涼意，這倒也與區塊鏈產業的“寒冬”有些應景。不過更令人心寒的還是近期以太坊游戲的事故頻發。例如，FOMO3D最近的第二次開獎，獲獎者仍然是黑客，使用的手段依然是我們在第六期游戲合約漏洞總結當中提到的“類似競態條件利用的阻塞交易手法”。還有我們之前在快訊中提到的Mycryptochamp這個游戲，其隨機數生成機制依賴的是可預測的參數，導致投機者輕易獲取空投，影響游戲公平性。這些游戲的機制都依據以太坊的特性來設計隨機數的產生，但是設計理念卻是在沒有理解這些特性的基本原理來定制的。因此如火如荼短時間炒作后，在無法實現公平游戲的情況下“迅速降溫”。本期，我們將重點分析游戲過于依賴區塊參數設計而產生的兩種漏洞——時間戳依賴和區塊哈希依賴。

加密貨幣工作站InvestDex與P2E區塊鏈游戲Affyn達成合作:1月30日消息，InvestDex宣布與P2E區塊鏈游戲Affyn達成合作。據悉，InvestDex是加密貨幣工作站，專注于DeFi領域的全能型加密資產管理。

Affyn將利用InvestDex平臺的多項功能：將在社區中使用InvestDex的圖表和交易對瀏覽器功能，并將其代幣歸屬時間表添加到InvestDex的Vesting Scheduler功能中，并將路線圖中的所有重大事件添加到InvestDex日歷中，以便其社區可以輕松追蹤其進度。Affyn還將在業務發展、戰略咨詢、市場營銷和其他有用的服務方面幫助InvestDex。

InvestDex的目標是在Affyn元宇宙投入使用時參與構建InvestDex結構；還將為Affyn的用戶群和社區提供訪問InvestDex組織和生產力工具的能力，以使其整體DeFi體驗更加無縫。[2022/1/30 9:22:59]

基礎小知識什么是區塊參數？以太坊的實現機制與比特幣有很大的差別，以太坊的每個區塊頭多了一些以太坊自身特殊的字段，用來表示區塊的屬性值，以太坊智能合約可以通過以太坊提供的接口讀取這些屬性值：block.blockhash(uintblockNumber)returns(bytes32)：指定區塊的區塊哈希——僅可用于最新的256個區塊且不包括當前區塊；而blocks從0.4.22版本開始已經不推薦使用，由blockhash(uintblockNumber)代替block.coinbase(address):挖出當前區塊的礦工地址block.difficulty(uint):當前區塊難度block.gaslimit(uint):當前區塊gas限額block.number(uint):當前區塊號block.timestamp(uint):自unixepoch起始當前區塊以秒計的時間戳now(uint):目前區塊時間戳需要注意的是：在同一個塊中，每筆交易讀取的區塊參數都是一樣的什么是熵？熵的概念最早起源于物理學，用于度量一個熱力學系統的無序程度。在信息論里面，熵是對不確定性的測量。所以在以太坊中，熵也就是我們所說的隨機性。對于一個以隨機性為核心的游戲合約，熵的變量的計算尤為重要。事故頻發問題凸顯上面講到的MyCryptoChamp體現，其合約中RandMod函數使用私有變量randNonce和父塊哈希作為參數生成隨機數。任何人都可以用web3.eth.getStorageAt()函數外部讀取私有變量randNonce，而父塊哈希在合約內外都可以讀取到。這樣產生隨機數的計算方法就已經被看破，投機者只需在計算出較理想的隨機數時加入游戲即可獲得空投。除此之外，國外已有專業人士ArsenyReutov分析了3649份智能合約，發現有43份存在類似的可被利用的漏洞，并將此類情況稱為假隨機數生成漏洞。如此看來，將區塊參數與熵聯系起來運用到游戲設計并不是個例。需要思考的是，以太坊的區塊參數能不能可靠的運用于熵。以太坊沒有提供類似于傳統編程語言的rand()函數。于是實現去中心化的熵已經成為一個頗具規模的問題，許多人參與了這個問題的考究，甚至連V神自己也發表了一片文檔提出了一些完善計劃，例如使用RanDAO或者私有隨機。具體請見這篇文檔https://vitalik.ca/files/randomness.html。所以，區塊參數能夠可靠的用于設計鎖倉功能，但是放在隨機數生成設計當中，它的地位相當不可靠，形象的來說，同樣的橘樹，生長在淮南長出甜的橘，生長在淮北長出苦的枳。

火幣大學副校長楊軍：區塊鏈浪潮下，區塊鏈思維將有助于提升高管效能:8月18日，火幣大學副校長楊軍受邀參加鏈之顛國際區塊鏈周上海站鏈上人才峰會，以《企業領導者的區塊鏈布道思維養成》為主題進行主題演講。

楊軍表示，高管是企業的核心人才和稀缺資源，只要高管團隊作用得以充分發揮，企業的管理水平將大幅提升，而當高管團隊效能低下時，企業的組織就會面臨很多困境。因此，高管的效能不僅是本崗位的效能，還直接影響到整個公司的效能。

那么，在區塊鏈浪潮下，如何提升高效能，將企業打造成高效率、高績效的生命體？楊軍認為，從高管層面解決戰略、組織、人的問題，打造高管的發展平臺，首先讓思想歸位，實現高管團隊思想統一、達成共識，明晰團隊目標與經營思想。2020開局的動蕩，預示了“世界重啟”，出現了新的路徑選擇，區塊鏈不僅僅是技術的應用和創新，區塊鏈思維將是未來世界最重要的思維方式，賺區塊鏈快錢的時代已過去，賺區塊鏈技術大錢的時代已到來。[2020/8/18]

區塊參數依賴漏洞返例一、時間戳依賴數據塊時間戳歷來被用于各種應用，例如隨機數的函數，鎖定一段時間的資金以及時間相關的各種狀態變化的條件語句。礦工有能力稍微調整時間戳，如果在智能合約中使用錯誤的塊時間戳，這可能會證明是相當危險的。block.timestamp或者別名now可以由礦工操縱，如果他們有這樣做的動機。例如下面這個簡單的游戲合約：

2020年河南省特聘研究員崗位申報工作開始 重點支持區塊鏈等項目:4月20日，2020年河南省特聘研究員崗位申報工作開始。省人社廳提醒，崗位項目應符合我省科技計劃重點支持的研究方向，優先支持高端裝備制造、電子信息、醫療健康、農業科技等領域，重點支持人工智能、大數據、區塊鏈、新能源汽車、生物育種、鯤鵬計算等產業相關研發項目。（河南省人民政府）[2020/4/21]

這份合約表現得像一個簡單的彩票。每塊一筆交易可以打賭10ether贏得合約余額的機會。這里的假設是，block.timestamp關于最后兩位數字是均勻分布的。如果是這樣，那么將有1/15的機會贏得這個彩票。但是，正如我們所知，礦工可以根據需要調整時間戳。在這種特殊情況下，如果合約中有足夠的ether，解決某個區塊的礦工將被激勵選擇一個block.timestamp%15==0或now%15==0的時間戳。在這樣做的時候，他們可能會贏得這個合約以及塊獎勵。由于每個區塊只允許一個人下注，所以這也容易受到前置交易攻擊。在實踐中，塊時間戳是單調遞增的，所以礦工不能選擇任意塊時間戳。但是它們也限制在將來設置不太遠的塊時間，因為這些塊可能會被網絡拒絕。二、區塊哈希依賴在一些賭博游戲合約中，使用區塊頭相關的參數來產生隨機數：區塊號(block.number)、區塊時間戳(block.timestamp)、區塊難度(block.difficulty)、區塊gas限制(block.gaslimit)等。當以太坊上礦工挖出一個區塊時，此時區塊頭的相關參數就可以被礦工獲知，一些惡意挖礦的礦工可以利用這些區塊參數進行攻擊。例如下面這個游戲合約

動態 | 上海區塊鏈集聚區為區塊鏈賦能實體經濟開辟“綠色通道”:金色財經報道，日前，上海嘉定區人民政府出臺“12條新政”為中小企業減負。上海區塊鏈集聚區積極響應，為區塊鏈賦能實體經濟開辟“綠色通道”。

一是加強技術支持。大力推進技術對接，為實體企業免費提供產業區塊鏈技術解決方案；免費提供定制化服務，為中小微傳統企業提供區塊鏈技術定制化服務，為傳統企業提質增效；

二是深化企業服務。鼓勵企業做好防疫工作，協助上海區塊鏈集聚區企業做好返滬人員管理；開展線上技術咨詢，免費開通線上咨詢與培訓服務，幫助傳統企業更好的了解區塊鏈技術，加速企業轉型步伐；優化區塊鏈企業業務辦理服務，為區塊鏈公司提供注冊，遷移，代運營等服務。[2020/2/7]

一個實現輪盤賭博的智能合約中，其邏輯是如果下一個塊哈希值以偶數結尾，則返回一個黑色數字。一個礦工可以在黑色上下注100萬美元。如果他們挖出下一個區塊并發現區塊哈希值以奇數結尾，他們會丟棄該塊、繼續挖礦、直到他們挖出一個塊哈希值為偶數的塊，從而從漏洞合約中獲利。漏洞修復隨機數生成的方法有很多，并不一定要依賴區塊參數，下面介紹兩種理念防范礦工或者投機者。隨機數的來源盡量來自于區塊鏈之外，這可以在具有諸如commit-reveal之類的系統的對等體之間完成。通過將信任模型改變為一組參與者來完成。這也可以通過中心化的實體來完成，該實體充當隨機預言。根據Solidity官方建議，合約開發者可以使用鏈外的第三方服務，比如Oraclize來獲取隨機數。總的來說，塊變量不應該用于隨機種子，因為它們可以被礦工操縱。問渠哪得清如許？為有源頭活水來這些漏洞，類似事件，慘烈教訓，對區塊鏈產業進入寒冬負有不可推卸的責任，從技術角度不斷加強對于新知識的正確理解與使用，提高智能合約的安全性是讓這個產業冰消雪融，讓項目方、參與方合力破冰前行的唯一希望。望各位學而思之、思而踐之、踐而悟之。

行情 | A股收盤：區塊鏈板塊下跌0.27%:A股收盤，區塊鏈板塊下跌0.27% 。79只概念股中，25只上漲，51只下跌，1只平盤，2只停牌。漲幅前三為：巨人網絡（+6.98%），天廣中茂（+6.61%），航天信息（+6.14%）；下跌前三為：奧馬電器（-3.99%）、浙大網新（-3.66%）、傳化智聯（-3.17%）[2018/11/9]

引用：:EntropyIllusion:https://hackernoon.com/hackpedia-16-solidity-hacks-vulnerabilities-their-fixes-and-real-world-examples-f3210eba5148:PredictingRandomNumbersinEthereumSmartContracts:https://blog.positive.com/predicting-random-numbers-in-ethereum-smart-contracts-e5358c6b8620:ValidatorOrderingandRandomnessinPoS:https://vitalik.ca/files/randomness.html:RANDAO:ADAOworkingasRNGofEthereum:https://github.com/randao/randao:智能合約隨機數算法漏洞影響游戲公平性:https://mp.weixin.qq.com/s/fnp980bzQjRqNEVuj518lA:深入理解Solidity:https://solidity-cn.readthedocs.io/zh/develop/units-and-global-variables.html#index-2:什么是熵？https://blog.csdn.net/qq_39521554/article/details/80559531

Tags：區塊鏈BLOBLOCLOCK區塊鏈的未來發展前景pptVRBLOCKS幣block幣2022前景如何

TRX