SUI:Sui MoveCTF 攻防

https://movectf.movebit.xyz/

Git: https://github.com/shanxuanchen/MoveCTF

第一題是check in題，需要用戶準備好環境即可。觸發合約，然后提交對應的簽名即可。

這道題其實稍微有點難～～～～

我們先看一下get flag的條件：

要拿到Treasury Box

隨機數要剛好達到0

我們知道其實隨機數達到0的概率非常小，其實此時幾乎可以確定此題的最大考點：

Sui推出學術研究獎，將支持技術、金融、經濟等領域的學術研究:5月18日消息，Sui宣布推出Sui Academic Research Awards (SARAs)，該獎項將支持包括去中心化系統、智能合約、加密安全、加密經濟學、區塊鏈應用、金融技術、代幣化、公共政策和權利、去中心化社會領域的學術研究。申請者必須附屬于一個公認的學術機構或研究中心，Sui可為學者提供資金支持。[2023/5/19 15:12:17]

**隨機數攻擊**

基于Sui和Aptos的DEX及流動性協議Cetus完成種子輪融資:5月2日消息，基于公鏈Sui和Aptos的DEX及流動性協議Cetus宣布完成種子輪融資，OKX Ventures與KuCoin Ventures領投，Comma3 Ventures、NGC Ventures、Jump Crypto、Animoca Ventures、IDG Capital、Leland Ventures、AC Capital、Adaverse、Coin98 Ventures等參投。具體融資金額暫未披露。

新融資將用于支持該平臺的初始開發和增長，并擴大其市場占有率和客戶群。[2023/5/2 14:38:37]

從slay_boar_king的方法里可以看到，當滿足d100 == 0時（隨機數的結果為0），sender就可以拿到box資源。當然，我們前提是要能打贏怪物boar。打贏怪物boar純屬就是一個簡單的循環邏輯了，只要攻擊力和防御力有一定就可以了。

Sui基金會為表彰早期貢獻者設立Builder Hero Award獎項:2月8日消息，Sui基金會宣布設立Builder Hero Award，旨在表彰早期為Sui生態系統做出貢獻的社區成員，包括在Devnet上構建原型和產品、構建開發工具、幫助教育其他構建者的貢獻者。

SuiNetwork將在2月17日公布獲獎者并單獨聯系已發放獎品，最多將有15個獲獎者，獎品包括一次性現金獎勵、Sui Builder House邀請函和Sui禮品。[2023/2/8 11:54:26]

所以，我們需要循環100多次slay_boar。然后積累一定的經驗值，然后升級即可。

本題的兩個隨機數重要變量是：

tx hash

ids_created（這個是object new出來之后的自增ID）

我們采取的攻擊方法很簡單：

**固定tx Hash，然后模擬隨機數的生成，然后遍歷ids_created**。

最難的部分是自己手動組裝seed，這里直接放答案：

這套我是AC了的。這道題有很大的漏洞，因為create_lend是一個public方法。通過創建一個0債務的新的資源，然后提交flag即可。

這道題其實就是考move的循環題，基本功的題目，兩次循環結果就能出來了。

參考鏈接：

https://mp.weixin.qq.com/s/-OFe_E_XTzdRgBB0ilu9aw

來源：bress

Bress

個人專欄

閱讀更多

金色早8點

比推 Bitpush News

Foresight News

PANews

Delphi Digital

區塊鏈騎士

深潮TechFlow

鏈捕手

區塊律動BlockBeats

DeFi之道

Tags：SUIRESVENTURSUIP幣FireStarterFloki AdventureTurtle Racing

世界幣