杜绝中间合约参与游戏,以太坊开发者需要注意,使用以太坊平台提供的 extcodesize函数并不能完全判断某个地址是否为合约,因为合约在部署的时候,其extcodesize为0.但是可以在构造函数与其他合约进行交互,从而参与游戏,可以使用tx.origin==msg.sender的方式判断。
4. 利用竞态条件机制发起的攻击
目前有些类似博彩的游戏合约似乎更加受到欢迎,此类游戏合约有一个共同的特点——时间依赖。它们都是在一定时间段内与用户进行互动,时间截止之后宣布获奖者名单。这样取决于时间点的游戏留下的隐患是:攻击者可以将整个区块“塞满”交易,使得特定的交易无法进行。 攻击者会使用高昂的gas使其成为整个区块中唯一一个交易进行者。
案例分析:代表游戏:Exitscam/FoMo3D平台:以太坊
以太坊版的FoMo3D规则类似于透明“金字塔骗局
每一局持续固定的时间
如果你是最后一个向奖池中投注的人,你拿走头奖(奖池总奖金的90%)
如果有人在你之后投注,你会获得一定的分红。目前,分红金额低于投入ETH的1%
每0.005 ETH会给结算时间增加30秒,也就是2个区块,但每次增加上限为24小时
利用竞态条件的概念,赢得此游戏,获得头奖的策略很简单:当倒计时即将结束,趋近于0时,向奖池投注ETH,“买“下之后的每一个区块直至倒计时结束,保证没有人能够在你之后投注。如果这个操作实现,你将获得头奖[3]。
这个游戏的机制漏洞几乎与之前提到的交易顺序依赖(TOD)异曲同工,竞态条件我们在第三期连载分析中也有描述,链接如下:弯道超车老司机戏耍智能合约 | 成都链安漏洞分析连载第三期 —— 竞态条件漏洞。
修复建议
游戏开发者需要熟悉重入和交易顺序依赖两种类型的竞态条件漏洞,类似的游戏机制如若可以利用相似的概念被投机取巧,应当改变设计思路,兼顾设计初衷与安全保障。
二、
虽然区块链上所有的交易都是公开透明的,但这不代表游戏项目方在合约开发的过程中不能留有后门。尤其是尚未公布源码的游戏合约,其中可以暗藏一个函数,开发者只要调用这个函数就能卷走所有的货币。而目前尚未出现一款可靠的反编译器,对字节码进行反编译后,使其源码真正公开透明。如果还拿建造楼房做比喻的话,可以理解成在建造的时候就设计成歪的,一直住在其中的用户却并没有察觉。
事件回顾
代表游戏名称:Power of Bubble平台:以太坊
从4月7日到4月8日早上10点,游戏项目方在Discord各频道开始了疯狂的宣传,利用精美的外形设计和丰厚的奖励承诺牢牢吸引了大批的粉丝翘首以盼。8日早上10点开服后10分钟内,合约内资产已超过200ETH,但是随着时间的推移,玩家们开始发现讨论群消失了,游戏内的出售以及提取操作也无法完成。最后,奖金池中227个以太在众目睽睽之下被合约创建者转走[4]。
区块链游戏往往需要各种虚拟货币作为游戏资产,整个游戏中所有涉及到虚拟货币持有、分配的合约都应当开源,供玩家和审计方审核,确保没有潜在后门。同时玩家也应该提高警惕,在将自己资产投入一份源码未知,未经审计的区块链游戏时,要做到理性投资。
路漫漫其修远兮
将区块链技术应用到游戏上,其发展时长其实并不比区块链货币交易短很多。区块链游戏到目前为止已经可以划分为3个时代,从1.0时代的《加密猫》,到2.0时代的《以太水浒》,都属于收集玩法为主的区块链游戏时代。目前的3.0时代是链上加链下多种玩法结合的时代,但是在众多RPG区块链游戏兴起的同时,庞氏骗局型区块链游戏也开始兴风作浪,这类游戏的交易属性较重,而且往往缺乏长期的游戏属性。展望4.0时代,区块链游戏应当更加注重于其游戏性,也就是说在玩法上更加接近传统游戏。但是与传统游戏相比,区块链游戏在三个方面有较大优势[5]:
账号安全:玩家的登录信息加密过后被储存在钱包内,安全性相较于传统登录模式有较大提升。
服务器:服务器安置在区块链上,即使游戏运营方停止其官方服务器,玩家也能继续享受游戏。
公平性:由于游戏内信息公开透明,并且可追溯,滥发,更改道具的行为将更容易被识别,进而大幅下降。
然而,基于以太坊开发与传统游戏机制相同的仍然存在许多劣势:
以太坊的吞吐量限制了游戏玩家的数量和增长速度
鉴于目前以太坊交易速度的限制,很多游戏没有办法像传统游戏一样做到低延迟和实时互动
每笔交易需要手续费对游戏内的交易增加了负担
目前,更多公链和资本介入区块链游戏的开发,目的是为其研发新的模式技术奠定更坚实的基础,或许再过不久,会有专门为游戏而生的公链出现,给区块链游戏一个专属的舞台。同时,开发者们已经把重心转移到多玩法的方向,试图弱化交易属性、减少庞氏骗局类型游戏,将区块链的技术优势附加到已经很成熟的传统游戏市场,为游戏产业带来一个新的纪元。
但无论是以交易属性为主还是以游戏性为主的区块链游戏,都离不开智能合约的编写和审计。所以重中之重还是要在发展的同时,保证合约安全属性的验证,对于上述问题游戏合约,对照之前的漏洞分析不难发现,很多项目方依然在重蹈覆辙,对于异常明显的常规漏洞没有采取补救或者防护的措施,带给玩家巨大的经济损失,也给区块链游戏的天空平添一抹阴霾。 保证合约的质量,让区块链游戏快速走出混沌期,每一个项目方和开发者责无旁贷。
其实如果大家希望更加深入的学习和了解币圈,那么可以添加我们的官方客服申请加入我们的官方社群,群里有炒币玩币的职业玩家以及行业大咖,可以给大家解疑答惑,让你快速入门,从入门到精通。赚取币圈的第一桶金。
云挖矿是什么意思(云挖矿是骗局吗)最近有很多人在咨询什么是云挖矿?以及云挖是不是骗局呢?导致云算力的租赁服务费一直在上涨,我们的社交平台也被各种云算力的广告刷屏,很多还没有挖过矿的投资者们开始跃跃欲试,想要大赚一笔。很多云挖矿的平台就是在这个时候崛起了,其中有算力云、星际魔方、比特小鹿等,全民云挖矿的时代似乎已经要来临。对于一些刚入币圈的新手来说看到这里可能是懵懵的,他们对于云挖矿这个概念可以说是完全不了解,一头雾水,那么到底云挖矿是什么意思呢?接下来小编为大家通俗解释云挖矿。
云挖矿是什么意思?
云算力(亦称云挖矿)在理论上可以使平台用户获得双赢,通常由大型矿场提供算力租赁服务,用户可以通过购买算力合约,赚取相应算力所挖的数字货币。
如果说数字货币未来上涨预期,是所有矿工挖矿的动力,那么低门槛快速入局分一杯羹,是普通投资者选择云挖矿的原因。
不同的矿机适合挖不同的币,挖到币还需要申请钱包,还需考虑挖矿软件、矿池服务商的选择、币价变动。再加上矿机单价高,大的算力被矿池垄断,普通用户进入门槛较高。
云挖矿和常规的挖矿之间的巨大区别在于谁拥有硬件设备。在云挖矿中,提供合同的公司拥有实际的硬件,而买方仅拥有其一段时间内提供的算力。对于没有技术或经济能力来购买自己的设备,再将其发送到服务器或在自己家中托管运行的人来说,云挖矿很有吸引力。使云采矿如此成功的真正原因就是简单的用户操作体验,而没有传统挖矿所需的各种繁琐操作和资本投入。根据TokenInsight的数据,云挖矿量的大部分买家来自俄罗斯,中国和乌克兰。
云挖矿经常被业内人士描绘成一个骗局,而圈外人则将其描绘成一种快速致富的途径。尽管有不计其数的不道德或非法的参与者,但云挖矿这个领域仍在蓬勃发展。今天,有几个平台在生态系统中发挥着重要作用,因此我们认为是时候深入研究一下了。
云挖矿的历史
云挖矿平台几乎与矿池一样古老。它于2013年由CEX.IO交易所首次推出。从那时起,云挖矿的发展伴随着大量的骗局,但也产生了一些挖矿领域的巨头。云挖矿是一个术语,用于描述通过合同来提供算力以开采比特币和其他基于工作量证明(PoW)代币的公司。买家可以直接签订云挖矿合同来租用从公司机器提供的算力,而不必直接投资用于挖矿的硬件。买方支付某种形式的货币(通常是比特币),以在设定的时间段(如30个月)内获得一定量的算力(如 20 TH / s)。买方一开始会支付一笔固定的费用,期望他们的合同带来的收益比他们最初的投入(IRR)更高。举个例子,以下是Genesis Mining提供的三个合同。在白金合约中,用户将花费999美元/天,并按照0.03美元每TH/s支付维护费,以换取在30个月内20 TH / s的算力。
Genesis Mining Hashrate Contracts (June-2020)
云挖矿和常规的挖矿之间的巨大区别在于谁拥有硬件设备。在云挖矿中,提供合同的公司拥有实际的硬件,而买方仅拥有其一段时间内提供的算力。对于没有技术或经济能力来购买自己的设备,再将其发送到服务器或在自己家中托管运行的人来说,云挖矿很有吸引力。使云采矿如此成功的真正原因就是简单的用户操作体验,而没有传统挖矿所需的各种繁琐操作和资本投入。根据TokenInsight的数据,云挖矿量的大部分买家来自俄罗斯,中国和乌克兰。
年度矿业研究报告 (TokenInsight 2019)
有关云挖矿的担忧
云挖矿存在一些主要问题:(1)该类平台可能是骗局或是庞氏骗局(2)该平台可能会针对那些未受过教育和不了解相关风险的散户投资者(3)没有基于市场的定价。
诈骗平台
在过去的7年中,已经有数十个“云挖矿”平台被证明是骗局。大多数情况下,这些平台实际上并没有交付给买家承诺的算力。因此买家投入资金,最后却一无所获。
这一类相对公开的公司有:HashOcean,Bitcoin Cloud Services,GAW,BitClub等。
所以对于买方来说,在将钱放入云挖矿合同中之前,先做详细调查是非常重要的,且只应该投入自己能够承担损失的金额。
欺骗性营销
云挖矿之所以如此成功的部分原因是因为他们采用的营销策略。(即便是合法的)云挖矿平台承诺大比例的高额投资回报率是很常见的。他们通常表示自己的合同将带来50%以上的回报。
以下是几个月前我收到的一封从Hotbit主动发来的电子邮件。在电子邮件中,它提到了100%的理论收益。
Hotbit: Cloud Mining Deceptive Advertisement
这是任何投资的一个危险警告。没有人能预测未来(尤其是一家云挖矿公司),因此发布如此激进的高额回报报告是不道德的。这就像CEO不应该提出股价目标一样,云挖矿公司也不应该提出预期的内部收益率。
采矿是一项巨大的投资,但也很难正确地进行。在挖矿领域中能够获得丰厚回报的是那些了解市场动态的行业内部人士。而刚开始学习挖矿的散户并不能做出任何好的投资决定。但这些散户是大部分云挖矿平台的明确目标市场,所以将营销重点放在散户上是非常不道德的。
年度矿业研究报告 (TokenInsight 2019)
不透明的定价
云挖矿平台为自己的合同定价,而不是由开放市场来定价。这通常导致买方处于不利的地位。这有点像在赌场玩纸牌游戏,虽然赌场也提供了赔率,但通常你都是不占任何优势的。
HoneyLemon是一个非常有意思的项目,它汇总了各类的挖矿合同,因此人们可以仔细比较合同细则。希望这种平台将为云挖矿合同的定价带来更多的竞争和透明度。
有名的云挖矿平台
尽管人们对受欢迎的云挖矿公司有着各种不同的看法,但毫无疑问,这些公司在挖矿生态系统中发挥着重要的作用。
Genesis Mining是成立最早也是最大的云挖矿公司之一。他们提供SHA-256(比特币)和其他一些算法的合同。这家公司的基地在欧洲,拥有自己的所有挖矿设备。这家公司就是一个很好的有关传统合法的云挖矿公司的例子。
Bitdeer是采矿领域中最有意思的公司之一。作为Bitmain的子公司,它处于许多挖矿产品的核心,这包括Bitmain(制造商和矿场),Antpool,BTC.com,Via.BTC,Matrixport等。同样有趣的是它使我们得以重新构想算力在矿场,矿池,云挖矿平台还有买家之间进行交易的方式。从理论上讲,算力可以在实际用于网络上之前经历多次转手。以下是一个可能在当今的潜在生态系统。
Potential Bitmain Mining Ecosystem
我希望这些平台,尤其是Bitdeer,能够继续向前发展。
如何估算云挖掘的内部收益率(IRR)
您可以使用MinerStat或Whattomine之类的任何计算器来计算当前的挖矿获利能力。
一个关键点是要确保你在合同期间将网络难度因素考虑在内。从历史上看,网络难度增加,会导致收入的减少。
另一个会经常谈及的方面是要能明确你的个人机会成本(或资本成本)。挖矿是有风险的,回报可能非常不稳定。因此在鉴于风险状况和其他投资机会的情况下,要确保自己的预期收益是合理的。
本文采摘于网络,不代表本站立场,转载联系作者并注明出处:http://www.longfuchaju.com//ylsh/296.html
