NFT:分析 | Loot分叉的集體漏洞——稀缺性有規律可循_OOT

來源：Medium

作者：iamthetorn

翻譯：思嘉

如果沒有修改智能合約中使用隨機性的方式，不要將Loot的代碼用于新項目。

Loot的智能合約有一個設計限制，影響著初始代幣分配的公平性。而那些使用Loot代碼的新項目也存在這個漏洞。

本文不是要貶低Loot或任何相關公司，而是意在：

1.通過減少信息不對稱，營造NFT的公平競爭環境；

2.減少程序錯誤或設計模式的繼續擴散，以防將用戶置于風險中。

Loot是一個由8000個代幣組成的NFT集合，稱為Bags。97%的NFT可由公眾鑄造，除了Gas費之外沒有其他費用。

智能合約包含隨機化和渲染層、邏輯層，允許它生成對應于任何代幣ID的SVG。

每個Bag有8項屬性，每一項都在智能合約上隨機生成一個分值。分值越高，物品的名稱可變性越強，物品也就更加稀有。

分析 | 三大交易所BTC合約持倉量小幅下降 BTC/USD Coinbase對 Bitfinex保持負溢價 ?:據TokenGazer數據分析顯示：截止至9月26日18:00，BTC價格為$8,440.82，市值為$151,215.11M；主流交易所24H BTC交易量約為$986.43M，環比昨日縮水56.87%；BTC活躍地址數略有下滑、鏈上交易量平穩波動，出塊時間約為8.7min，市值占比平穩波動，目前約為68.3%；BTC 30天ROI持續下滑；期貨方面，OKEx、火幣、BitMEX的比特幣合約持倉量相比昨日都小幅下降，OKEx比特幣精英多頭持倉比例上升；交易所方面，日內BTC/USD Coinbase對BTC/USD Bitfinex保持負溢價狀態。

UTC?9月25日，在比特幣小幅下跌的情況下，前期下跌較多的主流幣有所反彈。由于波動加大，雖然比特幣和以太坊的成交量較前一日有所下降，但成交依然比較活躍。[2019/9/26]

那么問題出在哪里呢？

分析 | BTC回踩或為蓄勢 醞釀新一輪上攻:據Huobi數據顯示，BTC現報10653.06美元，日內跌幅0.52%。 針對當前走勢，分析師Potter表示，BTC日線整體仍處于前期7500美元啟動漲至19年最高14000美元再回落的大三角區間末端運行，前幾天在反復回踩下邊線支撐不破后，昨天日線迎來了拉升突破走勢，不過量能沒有顯著放大，反彈持續性受限，今天出現回踩前期日線V形底頸線支撐的走勢，目前上方受制于日線布林帶中軌與斐波那鍥0.5點位雙重壓制，當前量能直接突破的可能性不大，今天回撤蓄勢大概率等待進一步上攻，日線MACD水上死叉后快線并未下穿0軸，說明目前仍是震蕩盤整走勢，今日收盤若出現十字星形態，那么后面可能繼續上行漲至11200美元上方。[2019/8/20]

Bag的內容是根據其代幣ID確定的——這意味著在最初的代幣分配之前或分配期間的任何節點，只要通過閱讀智能合約，任何人都可以輕而易舉地提前計算出整個Bag的供應量。

分析 | HT短期保持5美元附近震蕩 中長線看好:分析師Potter表示，HT目前在通道中軌獲得支撐，成交量大幅萎縮，近期將保持在5美元附近弱勢震蕩，MACD高位死叉后處于粘合態勢，說明短期將延續弱勢整理走勢，上方阻力布林上軌5.2美元，只有放量突破，才能形成新一輪的拉升行情，并有可能再創19年新高，下方支撐4.8美元，目前量能直接有效跌穿的可能性也不大，大趨勢仍處于上升通道內，中長線不破支撐繼續持幣為主。[2019/8/14]

由于claim()函數將代幣ID作為一個參數，所以很容易從收藏品中挑選出最稀有的物品，并趕在其他人之前立即將其鑄造完成。

如果合同代碼在最初發行時是公開的，就會使得Loot和類似的項目很容易被游戲化。

事實上，Loot和其大多數模仿者都把使用Etherscan作為他們的造幣UI，這要求源代碼在Etherscan上經過驗證。

公司已經確認，以下項目的初始發行版對上述的造幣操作是開放的。Loot、Bloot、MoreLoot、n、CHAR0......

分析 | 渣打銀行Edward Bowles可能加入Facebook 或表明Libra項目有興趣在歐洲市場推出:據AMBCrypto 6月15日消息，渣打銀行公共和監管事務主管Edward Bowles的領英個人資料仍顯示渣打銀行董事總經理的職位。 Bowles將加入Facebook團隊表明，該公司越來越有興趣在歐洲市場推出GlobalCoin。據悉，Facebook已與美國商品期貨交易委員會（CFTC）就其在美國的啟動進行會談。據BBC報道，扎克伯格領導的公司還就Libra項目的監管問題咨詢了英格蘭銀行行長Mark Carney。該報道稱，GlobalCoin將在2020年第一季度進入市場。 此外此前有報道稱，PayPal前總裁David Marcus加入Facebook擔任信息產品副總裁，推動該項目；另一位PayPal高管Tomer Barel擔任區塊鏈風險和運營副總裁；現在，隨著Bowles的加入，Libra的監管戰線看起來更加穩固了。英國《金融時報》此前報道稱，渣打銀行公共和監管事務主管Edward Bowles將于今年9月加入Facebook，并可能擔任類似的監管角色。[2019/6/15]

這是個非詳盡的列表，在寫這篇文章時，我還沒有發現任何其他對此開放的項目。

分析 | 美國兩黨多數選民支持加密貨幣捐贈:據福布斯報道，美國國會區塊鏈大會由民主黨眾議員Jared Polis和共和黨人眾議員Mick Mulvaney創立，并有兩名民主黨人和兩名共和黨人擔任聯合主席。最近的一項研究表明，60％的合格選民認為，與捐贈美元相同的標準應適用于加密貨幣。在這些觀點中，這也顯示了兩黨的一致性，63％的自稱為共和黨的人和52％的自稱為民主黨的人同意這種觀點。如果可以通過加密貨幣捐贈，27％的共和黨人和25％的民主黨人會更傾向于捐贈運動。[2018/10/23]

最令人擔憂的是，這種游戲性會導致普通用戶和內行或具有技術知識的用戶之間產生的結果存在顯著差距。

漏洞1

MoreLoot是Loot的創造者dhof發布的Loot后續產品，截至本文寫作時僅發布幾個小時，從MoreLoot的鏈上數據中就可以明顯地發現這一漏洞產生的影響。

上圖顯示了MoreLootBags可供鑄幣與實際鑄幣之間的分布差異。它包括目前該系列中超過130萬個Bag的"greatness"分數。

如果鑄幣是隨機的，我們期望這些分布是一致的。

恰恰相反，我們可以清楚地看到，雖然絕大多數的購買是"盲目的"，但有一小部分的交易是利用合同，只對最稀有的Bag鑄幣。

自GitHub上公布了稀有度排名后，這種有針對性的鑄幣活動的頻率有所增加。

然而，即使在公開的LootDiscord中分享了這些數據后的幾個小時，有針對性的鑄幣活動仍然只占鑄幣活動的一小部分，這表明大多數用戶都被蒙在鼓里。

有些人可能會用MoreLoot來試試水，不會太認真對待，但仍應當考慮其實際影響。

比如用戶為MoreLoot鑄幣支付了大約300萬美元Gas費。這些鑄幣中的絕大部分是盲目的。

隨著供應上限遠遠超過100萬個代幣，成千上萬的"特殊"代幣涌入市場，普通持有人的轉售前景非常暗淡。

漏洞2：CHAR0

CHAR0是最近另一個基于Loot的項目，從UTC9月3日13:47到UTC9月4日11:56，在分發9700個代幣的過程中，預計花費70萬美元的Gas費。

作為這個項目的早期礦工，產出必要的數據來識別和獲得該系列中許多最稀有的代幣，對我來說非常容易。

為了演示，我只對一個小的收藏品進行鑄幣，但沒有什么能阻止我迅速且隱蔽地獲得前1%絕大所數的供應。

很明顯，像我這樣有動機獲取者可以從CHAR0的用戶群中提取巨大的價值，并對項目的結果產生相當大的影響。

可能的解決方案

我會把這一部分劃定在比較高層次的討論上，并留有一些后續解決空間。以下是解決上述問題的幾種不同方法。

盲投

Hashmasks普及了盲投模式，在這種模式中創作者承諾為整個系列提供一個哈希值，在銷售結束時通過鏈上隨機性對系列順序進行洗牌。

這可以創造出公平、隨機的分配，即使是創作者也不能作弊。Hashmasks智能合約被BAYC和其他一些項目成功采用。

可改變盲投策略與Loot一起使用，同時保留所有LootSVG由智能合約生成的屬性。

鏈上RNG

可在運行時使用鏈上隨機性使每個鑄幣的結果隨機產生。

對這種方法必須格外小心，因為鏈上隨機性的來源可能會被他人以意想不到的方式利用。

最好的方法是利用VRF，如Chainlink的VRF，但這對某些應用來說可能過于昂貴。

未驗證的合同

一個簡單的修復方法是在最初發布時保持智能合約代碼的私密性。在以下情況下，這種方法合理：

1.創建者的聲譽受到威脅；

2.合同不接受付款。

雖然這可以說是一種改進，但我強烈建議不要采用這種方法。

與盲投不同，這種方法沒有保護措施防止NFT創建者作弊。無論是通過分析鑄幣輸出還是通過字節碼反編譯，合約可能會受到逆向工程的影響。

即使合同創建者是值得信任的，然而也存在不好的先例，包括合同不接受付款，要求用戶與未經驗證的合同互動。

抗Sybil投資

最后，我有一個建議想要呼吁：使用Mirror的數據來嘗試抗Sybil的公平分配。

這是一個具有前瞻性的方法，我相信在未來會變得越來越有趣。

最后...

這些方法中的每一種都有取舍，有些可能是最初的Loot團隊所考慮的。

事實是，當前版本的Loot智能合約擴散得越多，對用戶來說情況就越糟糕。

在問題得到解決之前，這個智能合約不應該重新進行使用，至少在沒有明確溝通的情況下，鑄幣是游戲化的，而且分配目的不是為了公平或隨機。

結尾的呼吁

所有關于社區和公平分配的討論都在于，NFT用戶應該得到更好的待遇。

他們應該有一個公平的競爭環境，他們應該得到精心設計的、不會坑害他們的代幣發行。

毋庸置疑，Loot已經引發了一場革命，是NFT持續發展的一個關鍵項目。

我想強調的是，即使是在試水，NFT開發者也要對他們的用戶負責，這包括那些從其他項目中復制粘貼代碼的開發者。

不要再吹噓那個利用你的Loot進行抄襲的家伙通過看YouTube在一天之內學會了智能合約。

讓我們為用戶提供更安全的NFT空間，新型的和高價值的智能合約應該接受審查，或者至少由經驗豐富的智能合約開發者進行代碼審查。

眾所周知的問題應該公開進行討論，讓我們改進優秀做法，并廣泛分享，確保藝術家創作安全和富有意義的NFTs時有用武之地。

Tags：OOTLOOTBTCNFTBOOTYloot幣如何獲得btc交易平臺app下載ENERGY Vault (NFTX)

DYDX