FOM:Fomo3D式套利模式再現：“聰明”玩家狠狠地薅了一把羊毛_Ojamu

PeckShield預警“玩家”高回報異常獲利

7月27日凌晨3點至上午10點，PeckShield安全盾風控平臺DAppShield監測到THeRTT開頭的地址在參與MULTI.TODAY合約游戲時，持續獲得高回報異常獲利，短短數小時內便獲利102,652個TRX。

PeckShield安全人員分析發現，該“玩家”采用了一種針對游戲機制的“卡位”回滾投注方式，通過部署腳本合約來參與游戲，利用游戲本身存在的運營機制“不平等”特性，成功實施“卡位”進而獲取最大的投資回報率。

這類似于互聯網上利用腳本程序惡意刷單，把原本屬于普通玩家的收益權限給侵占了。這讓人想起，去年Fomo3D火爆時，黑客利用以太坊公鏈因gas費用機制存在的交易擁堵問題，成功制造阻塞，拿走10,469個ETH獎金的攻擊事件。

Fompound宣布獲得科銀資本機構投資:10月13日官方消息，IPFS領域去中心化金融聚合器Fompound已確定獲得科銀資本機構的投資。

Fompound作為IPFS領域去中心化金融聚合器，對IPFS領域包括但不限于算力提供等方式進行投資，Fompound聚合器將使用Defi質押加流動性挖礦的方式產生平臺權益及治理代幣Fomp，并通過Fom-A至Fom-J分期分批的投資，對Fomp產生聚合效益，從而提升 Fompound的項目價值。

科銀資本成立于2015年，是澳洲一家具有區塊鏈數字貨幣風投牌照的投資公司，業務涵蓋區塊鏈基礎建設、投資與咨詢、數字資產管理、技術研發等；曾投資Binance、kakao旗下生態公鏈Klaytn、區塊鏈底層芯片設計公司思創優等優秀企業。[2020/10/13]

這個“聰明”的玩家，采用了類似Fomo3D式的“特殊方式”，狠狠地薅了MULTI.TODAY游戲一把羊毛。

動態 | Fomo3D團隊新游戲Just Game宣布再次推遲上線:據官方消息，原計劃于北京時間今日11點上線波場的DApp游戲Just Game宣布再次推遲。官方表示，我們原本已經為啟動做好了一切準備，然后意識到我們把調試功能（debug）留在了主網合約中。我們做出了一個執行決定，將其刪除并重新啟動一份不包含這些功能的合約，以確保它忠于去中心化的愿景。據悉，Just.game是由Fomo3D團隊制作、部署在波場上的一款類Fomo3D游戲，除了與 Fomo3D 類似的分紅、最后玩家獲得大獎、倒計時閃拍等玩法外，Just.game還加入了開盒、升級等新玩法。[2019/12/23]

“wojak”重現江湖

這個“聰明”的玩家究竟是何方神圣呢？

PeckShield安全人員進一步分析發現，THeRTT開頭的地址就是此前大名鼎鼎的“wojak”，他曾經攻擊過TronBankPro，并因此獲利2,673萬個TRX。

分析 | 谷歌趨勢顯示FOMO驅動的BTC投資尚未達到顯著水平:據bitcoinist報道，谷歌趨勢的數據顯示，全球對比特幣的搜索與2017年5月相比勉強達到相同的水平。從短期來看，谷歌搜索顯示，人們對比特幣的興趣實際上正在上升。在2019年5月中旬，對BTC的興趣達到了六個月的高點，但此后有所下降。比較2019年比特幣出色的價格表現和2017年末高峰時期的興趣水平，可以合理地得出結論，即FOMO（害怕錯過）驅動的BTC投資尚未達到顯著水平。這種相對較低的興趣水平可能是2018年熊市的后遺癥。從全球的角度來看，對BTC的興趣似乎很小。但是，巴西、哥倫比亞、德國和阿根廷等國家正顯示出顯著的比特幣FOMO情緒。[2019/5/29]

當時TronBankPro遭攻擊的原因是，其合約代碼中留有“后門”，而“wojak”則成功地命中了后門，并將合約余額全部取走了。盡管這件事情本身撲朔迷離，是巧合還是背后有陰謀，到現在都沒人說得清楚，然而，這倒讓“wojak”這一代號名揚四方了。不禁要問，此次“wojak”重現江湖，又會掀起怎樣的風浪呢？

獨家 | Fomo3D玩法被Retro Block項目升級至“預購分紅” 資金監管存重大疑問:第三方大數據評級機構RatingToken最新數據顯示，2018年8月20日全球共新增1243個合約地址，其中340個為代幣型智能合約。在RatingToken同時發布的“新增代幣型智能合約風險榜”中，FourInOne Long Official(FD)、POHMO(POHMO)和duang8(duang8)風險最高排名前三，其中FourInOne Long Official(FD)存在23個安全風險，檢測得分為2。

另外RatingToken安全審計團隊發出風險提示，類Fomo3D的山寨項目層出不窮，未發布游戲項目出現利用“預購分紅”的形式，要求用戶提前購買游戲分紅配額的案例增加。近期上線的Retro Block項目官網和白皮書都頗為粗糙，更嚴重的是，80%的眾籌金額都會進入finance和jackpot兩個個人地址，白皮書所描述的資金分配和監管無任何約束力。官網顯示該項目眾籌金額已完成soft cap要求的300個 ETH。RatingToken提醒此類“預購分紅”玩法無任何有效約束風險極大，請投資者一定謹慎關注。

此外，其他登上該風險榜TOP10的還包括VRclearsky(SKY)、Orderbook GBP(OGBP)、abcdEfg(a2g)、NMB520(嫩模幣)、AssetAdviceRCompany(AARC)、多比特幣(DOBT)和FairyCoin(Fairy)。如需查看更多智能合約檢測結果，請查看原文鏈接。[2018/8/21]

MULTI.TODAY游戲玩法說明

數字貨幣分析師：FOMO情緒正助力瑞波幣交易量上漲:數字貨幣分析師Joseph Yong在推特上表示，韓國交易所Bithumb中有30%以上的用戶正在進行瑞波幣交易，日交易額達24億美元。并指出：瑞波幣的本輪漲勢主要受FOMO情緒的推動（Fear of miss out 害怕錯過）但這樣的情緒還能推動瑞波幣價格上漲多久尚屬未知。[2017/12/31]

要理清這個問題，我們得先系統了解下MULTI.TODAY游戲。按照官方說明，所有參與投資的玩家會組成一個隊列，每次排名隊列首位的玩家會獲得投資額的11%—41%作為回報，之后該玩家會被移除隊列。

只要不斷有玩家參與投資，那么先參與游戲的玩家都將獲得豐厚回報，同時，為了避免最后一位玩家吃虧，游戲還規定如果持續30分鐘沒有后續玩家投資，那么最后一位玩家將獲得獎池的5%作為回報。

“wojak”的卡位回滾操作技術原理

MULTI.TODAY于每天的22:00GMT3(北京時間凌晨3點)開啟新的一輪游戲，只有當游戲正式開始后，玩家的投資才會被認可。由于游戲規則的設定，所有玩家都爭搶著第一個參與。

通過PeckShieldTRON大數據分析平臺，可以看到在北京時間07月27號凌晨3點之前，多個玩家嘗試參與游戲，但因為游戲時間還沒有開始，交易都被回滾了:

當游戲時間到達后，有多筆交易都被打包進了11315294區塊。在這個區塊中與該游戲合約有交互的前兩筆交易分別為“wojak”發起的Tx1合約交易，以及由普通玩家發起的Tx2交易。

下圖2為普通玩家發起的交易，圖3為“wojak”發起的合約交易：

“wojak”首先調用TK5HmY地址開頭的合約，再由TK5HmY地址開頭的合約調用游戲合約完成投資。PeckShield安全人員分析后發現，區別于普通玩家，“wojak”發起的交易可不簡單，存在多層調用。

TK5HmY地址開頭的合約首先調用MULTI.TODAY智能合約中的startTime()，prizeAmount()等靜態方法，以此來判斷游戲是否開始，是否已有玩家投資；當確認游戲開始，且尚未有玩家投資后，再多次調用游戲合約的deposit()方法進行投資。雖然游戲合約設置在返利后移除排名隊列首位的玩家，但因為該玩家是通過合約來進行多次投資的，可以保證被移除后仍然保持榜首。“wojak”獲利的關鍵是得讓這筆合約交易率先被SR節點打包。

在以太坊中，攻擊者可以通過提高gasPrice來惡意競爭，讓交易被礦工先打包處理，而波場沒有類似gasPrice的概念，所有交易是通過SR節點打包產生的。“wojak”事先準備好自動化腳本，在時間到達前通過自動化腳本不斷調用合約來完成交易，這會比普通玩家的手速要準確的多。同時，智能合約中的交易都是原子操作的，只要上鏈，合約可以保證交易中的所有操作按順序進行，這就大大提高了合約交易率先被SR節點處理的概率。

從鏈上數據分析看，“wojak”通過合約投資32次，單筆交易就獲利近10萬個TRX。他確實是一位極度聰明的玩家，當其他玩家還在拼手速時，他已經通過部署合約的方式，制造了不平等特殊權限，獲取了豐厚回報。

下圖為“wojak”的合約調用流程：

“wojak”除了在MULTI.TODAY每輪游戲開始時爭當頭名玩家外，PeckShield安全人員還發現，針對游戲第二種類似Fomo3D式的玩法，“wojak”也一直在“守株待兔”。

例如TKjcLB地址開頭的賬戶于07月27號09:13:57發起了一筆投資，在此之后的30分鐘內沒有玩家參與，直至09:43:57，“wojak”發起了另一筆交易，在最后時刻成功阻攔TKjcLB地址開頭的賬戶獲得大獎。跟之前分析類似，“wojak”的這筆交易也是調用游戲合約的stage()，getCurrentCandidateForPrize()等靜態方法，獲取游戲當前回合數和投資資金，以此判斷30分鐘內是否有玩家參與。

事件后續

PeckShield安全人員在發現該問題后，第一時間和游戲項目方取得了聯系，項目方也及時升級了合約。

需要說明的是，“wojak”并沒有攻擊MULTI.TODAY合約，MULTI.TODAY游戲本身也不存在相關智能合約的漏洞，“wojak”只是聰明地利用了合約的設定規則，達到了“薅羊毛”獲利的目的，不能稱其為一次黑客攻擊行為。

不過，透過事件本身我們看出，上次TronBankPro事件并非偶然，“wojak”確實是一位不折不扣的“技術牛人”。

寫在最后

雖然此次事件并非因漏洞誘發的黑客攻擊行為，僅是聰明“玩家”合理利用游戲機制實施的高智商薅羊毛行為，但其暴露的問題卻值得我們深思：

1、游戲運營機制設計的缺陷同樣會威脅到游戲的參與體驗，透支并傷害大部分普通用戶對游戲本身的信任；

2、合約玩家對如今DApp生態而言是把雙刃劍，合約會幫助黑客以最低的成本，掃蕩全網大量DApp，且總能找到疏漏之處，進而下手；

3、游戲項目方應完善自身的風控應急響應機制，一旦監測到異常獲利或攻擊行為，應立即對游戲實施一鍵暫停，終止正在進行的攻擊行為，必要時可尋求第三方安全公司幫助，進而減少或避免數字資產損失；

4、游戲玩家在參與游戲時，應時刻注意項目官方或者安全公司發出的預警消息，對于已經遭受攻擊尚未停止運營的游戲，應避免再次參與，以免遭受更大的數字資產損失。

Tags：FOMWOJWOJAKOJAInfomatixWOJ價格wojak幣發行時間Ojamu

火星幣