Fairwin 是一個博彩平臺,是以太坊網絡上最大的合約之一。根據 ETH Gas Station 的數據,在過去的 30 天裏,這個平臺已經消耗了以太坊 51% 的 gas,gas 是以太坊網絡的推動力。穩定幣網絡 Tether 此前被指消耗了大量的 gas,而 Fairwin 的消耗量幾乎是 Tether 的兩倍。
Fairwin 自稱是公平的博彩平臺。用戶在最基礎的碰運氣遊戲上下注,比如拋硬幣和擲骰子。在這個過程中,你付出的資金其中 4% 用於生態建設,Fairwin 說這些資金會返還給投資者。但許多安全研究人員認爲整個事件是一個騙局。過去幾周,白帽黑客披露了以太坊 Fairwin 合同中的漏洞,這些漏洞讓數百萬美元的用戶資金面臨風險。根據以太坊開發者 Philippe Castonguay 的分析,Fairwin 總共獲得 687,598 ETH,約合 1.25 億美元。但截至本週週一,合同中的所有資金都已被抽乾。
目前尚不清楚資金被抽乾是因爲合約所有者已攜款潛逃,又或者是因爲白帽黑客成功地提高了人們對 Fairwin 的警惕,因此導致投資者將所有資金撤出。Fairwin 網站上的一則消息稱,該公司對“虛假新聞報道”表示“強烈譴責”,並表示將在未來三天內重啓遊戲。幫助發現相關漏洞的安全審計人員 Daniel Luca 表示,在投資者可以撤資之前,該合約的所有者就設法提取了大部分資金。但“不可能每個人都撤出了資金。有些人還是因此蒙受了損失。”
本月早些時候,白帽黑客開始注意到這個項目,並一直在進行研究。區塊鏈初創公司 Kleros 的首席技術官 Clement Lesaege 在有關以太坊安全的電報羣裏得知了這個項目,他披露的一個漏洞表明,該合約是無法持續的;人們投入的錢越多,分紅就越高。但問題是:一旦新的投資者不再把錢投進去,合約就無法支付參與者,最終每個人都會失去一切。9 月份以太坊區塊鏈上最熱門的應用看起來和給人的感覺都像是龐氏騙局。
幾天前,白帽黑客發現了一個漏洞,可能導致合約運營者竊取用戶的資金。正如 Lesaege 所寫的那樣:
“獎勵、分紅和獎品的發放只能由運營者來完成。運營者可以選擇獎勵哪些用戶。運營者可以不執行其他用戶的獎勵,而是執行他們控制的賬戶的獎勵,從而從合約中竊取資金。”
Lesaege 表示,該合約還實施了“領跑者攻擊”(frontrunner attack)。基於 Fairwin 合約的規則,投資這個合約將產生一個代碼用於推薦計劃。但是 Fairwin 的獎金始終只給到第一個兌換代碼的人。Lesaege 說,一個欺騙受害者加入的攻擊者可以輕鬆算出邀請碼:“在你的交易被執行之前會在內存池裏,攻擊者可以看到你的邀請碼,然後盜用你的邀請碼。”
最終,受害者的投資獎勵都會被攻擊者拿走。
這意味着合約中所有資金都有風險。過去幾天,白帽黑客一直在傳播有關 Fairwin 的消息,他們認爲該平臺的大多數用戶都來自亞洲。無論如何,這個合約持有的資金已經爲 0 了:十天前,這個合約內仍有 1000 萬美元。現在爲 0。
Fairwin 的不公平之處
2018 年 1 月,Fairwin 開始研發博彩平臺。但到了 12 月,該團隊在推特宣佈,他們沒有爲 ICO 籌集到足夠的資金,因此放棄了這個項目。但在 2019 年 7 月,儘管 Fairwin 的任何社交媒體渠道上都沒有發佈任何聲明,但一個 Fairwin 的克隆版卻推出了一份新的合約,從此開始成爲了以太坊網絡的大麻煩。從那時起,該合約內的資金已經增長到 1050 萬美元的峯值。
我們幾乎無法判斷其運作者身份。發出的問詢郵件均被退回,Fairwin 的推特一年前就關了,這家公司在倫敦的辦公室現在變成了一家咖啡店,幾天前,Fairwin 網站上的團隊成員圖片還是職業照。現在變成了卡通玩偶。
我們有理由相信這不是最開始的那個 Fairwin 團隊。首先,Fairwin 的白皮書是用谷歌翻譯過來的一團亂麻。相關文字節選如下:
“基於 Ethernet fang 的 FW 底層技術鏈……基於區塊鏈技術,FW 將實現全球博彩業流通,打破數據孤島,數字化全球資產流通。”
Fairwin 的宣傳視頻旁白是電腦合成的,沒有真人的聲音。
代碼也同樣令人費解。專家表示其代碼全是沒用的垃圾,而且很多根本運行不了。Lesaege 說:
“這是我所見過的代碼質量最差的合約(我見過很多非常糟糕的合約,顯然都比不上這個)。”
他說,這個合約的代碼沒有任何註釋——這是代碼庫中常見的一個特點——名字又都是拼寫錯誤,而且很多代碼根本無法運作。
安全研究員 Harry Denley 創建了一個查詢 Fairwin 數據的圖表,他發現這六個管理員地址需要大量的資金來保證調用合約方法。爲什麼呢?因爲這個月“寫得很糟糕”,這些方法調用的成本可能高達 30 美元。“一天要進行好幾次調用,”他說。
我們仍然沒有找到答案:Fairwin 是邪惡的天才創造的嗎?他們摧毀了大半個以太坊區塊鏈,並且進行掠奪。又或者 Fairwin 是龐氏騙局,代碼糟糕,又一個利用一夜暴富心理謀利的騙局?
Lesaege 說,他在發現漏洞之後,上週六就向 Fairwin 團隊報告了。
“最簡單、最有可能的解釋是,他們的代碼實在太糟糕了。”
“由於 FairWin 在過去有過一些漏洞,但已經修復了,我認爲他們不會試圖攻擊自己的合約。”
但 Fairwin 否認了漏洞的存在,仍有大量資金源源不斷地流入這個合約。
Lesaege 說 Fairwin 團隊給出的回覆是這樣的:
“我們已經發現了漏洞,但我們不認爲這是漏洞。我們對合約進行了判斷,用戶首次生成的邀請碼作爲最終的邀請碼。所以這個漏洞是無效的。”
今天在他們的網站上有消息稱,遊戲將重新開始,並堅決否認欺詐指控。
安全審計員 Daniel Luca 認爲:
“他們可能不是故意的,但他們仍然可以隨時提走所有資金。”
過去一週,頂級安全專家一直在吸引人們的注意,呼籲關閉 FairWin,或者至少幫助用戶控制他們的資金。
安全研究員 Philippe Castonguay 建議:
“應避免與這一合約產生任何互動,如果有的話,立刻撤出資金。所有用戶的資金都有風險,尤其是那些剛剛存進去的資金。”
安全專家的努力已經有了一定的效果;在過去的 24 小時裏,FairWin 幾乎沒有了交易量,Etherscan 等主流區塊鏈瀏覽器已經將其標記爲易受攻擊,而且它的錢包裏已經沒有資金了。那麼這究竟是白帽黑客的勝利,還是以太坊最新的跑路騙局?
來源鏈接:www.8btc.com
繁體中文
简体中文
English
日本語
Español