LOOT:分析 | Loot分叉的集體漏洞——稀缺性有規律可循

來源：Medium

作者：iamthetorn

翻譯：思嘉

如果沒有修改智能合約中使用隨機性的方式，不要將Loot的代碼用于新項目。

Loot的智能合約有一個設計限制，影響著初始代幣分配的公平性。而那些使用Loot代碼的新項目也存在這個漏洞。

本文不是要貶低Loot或任何相關公司，而是意在：

1.通過減少信息不對稱，營造NFT的公平競爭環境；

2.減少程序錯誤或設計模式的繼續擴散，以防將用戶置于風險中。

Loot是一個由8000個代幣組成的NFT集合，稱為Bags。97%的NFT可由公眾鑄造，除了Gas費之外沒有其他費用。

智能合約包含隨機化和渲染層、邏輯層，允許它生成對應于任何代幣ID的SVG。

每個Bag有8項屬性，每一項都在智能合約上隨機生成一個分值。分值越高，物品的名稱可變性越強，物品也就更加稀有。

分析 | 以太坊基本面表現不佳 對BTC匯率繼續回升:據TokenGazer數據分析顯示，截止至7月1日11時，以太坊價格為$298.98，總市值為$31,902.1M，主流交易所交易量約為$464.9M；以太坊對比特幣匯率繼續緩慢回升；基本面方面，以太坊鏈上交易量和活躍地址數有一定幅度下滑；以太坊DApp交易總量保持穩定，30天開發者指數約為2.33；目前ERC20代幣總市值約為以太坊總市值的56.16%，ERC20代幣市值占比持續提升；ERC20活躍地址數方面，排名前五的代幣為LINK、USDC、DAI、TUSD、PAX。[2019/7/1]

那么問題出在哪里呢？

Bag的內容是根據其代幣ID確定的——這意味著在最初的代幣分配之前或分配期間的任何節點，只要通過閱讀智能合約，任何人都可以輕而易舉地提前計算出整個Bag的供應量。

由于claim()函數將代幣ID作為一個參數，所以很容易從收藏品中挑選出最稀有的物品，并趕在其他人之前立即將其鑄造完成。

分析 | 借機炒作+空頭發難？放量重挫短期影響明顯:據鏈塔數據平臺數據顯示，鏈塔數字貨幣整體指數（BI）今日10時報863點，相較昨日下跌39點，跌幅4.32%。24h內市值前10的貨幣全線下跌，ETH下跌幅度最大，為6.19%。昨日市值靠前的幾大主流數字貨幣集體出現下滑行情后，今日凌晨5時開始，市場整體重挫超5%，直至9時前后才止跌。主要原因可能受近日USDT增發、紐約總檢察長調查Bitfinex和Tether等新聞影響，但分析認為更可能是借此新聞進行炒作，于此相對應的，BTC價格已回到5350點的短期支撐位以上，Huobi上BTC價格的變動出現與其他交易所上明顯區別的長上影線，很可能是借現貨市場影響期貨市場以獲利。無論這波放量下跌是借機炒作還是空頭發難，都已基本結束，短期內BTC如有超跌機會可以適當減倉，長期依舊保持看漲。[2019/4/26]

如果合同代碼在最初發行時是公開的，就會使得Loot和類似的項目很容易被游戲化。

分析 | ConsenSys：EOS區塊鏈未能滿足承諾:據ethnews報道，根據由ConsenSys項目負責人Brent Xu領導，區塊鏈測試平臺Whiteblock完成的一項研究顯示，EOS區塊鏈可能無法滿足其向投資者所承諾的。該研究稱，即使在最佳設置即延遲為0ms，丟包率為0％的的情況下，系統中的事務吞吐量也不會超過250TPS。在實際測試條件下，往返延遲為50ms，丟包率為0.01％，性能降至50TPS以下，使EOS系統與以太坊的性能非常接近。此外，該研究還質疑EOS網絡的透明度和平臺治理的問題。[2018/11/7]

事實上，Loot和其大多數模仿者都把使用Etherscan作為他們的造幣UI，這要求源代碼在Etherscan上經過驗證。

公司已經確認，以下項目的初始發行版對上述的造幣操作是開放的。Loot、Bloot、MoreLoot、n、CHAR0......

這是個非詳盡的列表，在寫這篇文章時，我還沒有發現任何其他對此開放的項目。

分析 | USDT折溢價指數99.43:USDT折溢價指數報收99.43，在一波小幅反彈后，指數繼續回落，資金持續流出，不過我們無法判斷流出的目的是由于對于后市的悲觀，還是基于其他的需求，所以目前對于這一現象我們要持續追蹤，以便及時為大家提供有價值的分析，請投資者理性判斷價格波動，做好風險控制。[2018/10/2]

最令人擔憂的是，這種游戲性會導致普通用戶和內行或具有技術知識的用戶之間產生的結果存在顯著差距。

漏洞1

MoreLoot是Loot的創造者dhof發布的Loot后續產品，截至本文寫作時僅發布幾個小時，從MoreLoot的鏈上數據中就可以明顯地發現這一漏洞產生的影響。

上圖顯示了MoreLootBags可供鑄幣與實際鑄幣之間的分布差異。它包括目前該系列中超過130萬個Bag的"greatness"分數。

金色財經獨家分析 區塊鏈助力廣州創建金融風險監測防控中心 形成金融風險監測防控的“廣州模式”:今日，廣州市金融工作局舉辦《廣州市決勝防控金融風險攻堅戰三年行動計劃（2018-2020年）》新聞發布會。發布會上，局長邱億通表示，具體工作重點之一是利用區塊鏈等技術創新建設廣州金融風險監測防控中心。今日，國務院印發進一步深化福建、天津、廣東自由貿易試驗區改革開放方案的通知，在依法合規前提下，加快區塊鏈、大數據技術的研究和運用。此番，廣州在區塊鏈領域再度發力，將有助于廣州確立廣州在我國成為區塊鏈產業重地的地位，同時推動區塊鏈技術在各行各領域內的應用。[2018/5/24]

如果鑄幣是隨機的，我們期望這些分布是一致的。

恰恰相反，我們可以清楚地看到，雖然絕大多數的購買是"盲目的"，但有一小部分的交易是利用合同，只對最稀有的Bag鑄幣。

自GitHub上公布了稀有度排名后，這種有針對性的鑄幣活動的頻率有所增加。

然而，即使在公開的LootDiscord中分享了這些數據后的幾個小時，有針對性的鑄幣活動仍然只占鑄幣活動的一小部分，這表明大多數用戶都被蒙在鼓里。

有些人可能會用MoreLoot來試試水，不會太認真對待，但仍應當考慮其實際影響。

比如用戶為MoreLoot鑄幣支付了大約300萬美元Gas費。這些鑄幣中的絕大部分是盲目的。

隨著供應上限遠遠超過100萬個代幣，成千上萬的"特殊"代幣涌入市場，普通持有人的轉售前景非常暗淡。

漏洞2：CHAR0

CHAR0是最近另一個基于Loot的項目，從UTC9月3日13:47到UTC9月4日11:56，在分發9700個代幣的過程中，預計花費70萬美元的Gas費。

作為這個項目的早期礦工，產出必要的數據來識別和獲得該系列中許多最稀有的代幣，對我來說非常容易。

為了演示，我只對一個小的收藏品進行鑄幣，但沒有什么能阻止我迅速且隱蔽地獲得前1%絕大所數的供應。

很明顯，像我這樣有動機獲取者可以從CHAR0的用戶群中提取巨大的價值，并對項目的結果產生相當大的影響。

可能的解決方案

我會把這一部分劃定在比較高層次的討論上，并留有一些后續解決空間。以下是解決上述問題的幾種不同方法。

盲投

Hashmasks普及了盲投模式，在這種模式中創作者承諾為整個系列提供一個哈希值，在銷售結束時通過鏈上隨機性對系列順序進行洗牌。

這可以創造出公平、隨機的分配，即使是創作者也不能作弊。Hashmasks智能合約被BAYC和其他一些項目成功采用。

可改變盲投策略與Loot一起使用，同時保留所有LootSVG由智能合約生成的屬性。

鏈上RNG

可在運行時使用鏈上隨機性使每個鑄幣的結果隨機產生。

對這種方法必須格外小心，因為鏈上隨機性的來源可能會被他人以意想不到的方式利用。

最好的方法是利用VRF，如Chainlink的VRF，但這對某些應用來說可能過于昂貴。

未驗證的合同

一個簡單的修復方法是在最初發布時保持智能合約代碼的私密性。在以下情況下，這種方法合理：

1.創建者的聲譽受到威脅；

2.合同不接受付款。

雖然這可以說是一種改進，但我強烈建議不要采用這種方法。

與盲投不同，這種方法沒有保護措施防止NFT創建者作弊。無論是通過分析鑄幣輸出還是通過字節碼反編譯，合約可能會受到逆向工程的影響。

即使合同創建者是值得信任的，然而也存在不好的先例，包括合同不接受付款，要求用戶與未經驗證的合同互動。

抗Sybil投資

最后，我有一個建議想要呼吁：使用Mirror的數據來嘗試抗Sybil的公平分配。

這是一個具有前瞻性的方法，我相信在未來會變得越來越有趣。

最后...

這些方法中的每一種都有取舍，有些可能是最初的Loot團隊所考慮的。

事實是，當前版本的Loot智能合約擴散得越多，對用戶來說情況就越糟糕。

在問題得到解決之前，這個智能合約不應該重新進行使用，至少在沒有明確溝通的情況下，鑄幣是游戲化的，而且分配目的不是為了公平或隨機。

結尾的呼吁

所有關于社區和公平分配的討論都在于，NFT用戶應該得到更好的待遇。

他們應該有一個公平的競爭環境，他們應該得到精心設計的、不會坑害他們的代幣發行。

毋庸置疑，Loot已經引發了一場革命，是NFT持續發展的一個關鍵項目。

我想強調的是，即使是在試水，NFT開發者也要對他們的用戶負責，這包括那些從其他項目中復制粘貼代碼的開發者。

不要再吹噓那個利用你的Loot進行抄襲的家伙通過看YouTube在一天之內學會了智能合約。

讓我們為用戶提供更安全的NFT空間，新型的和高價值的智能合約應該接受審查，或者至少由經驗豐富的智能合約開發者進行代碼審查。

眾所周知的問題應該公開進行討論，讓我們改進優秀做法，并廣泛分享，確保藝術家創作安全和富有意義的NFTs時有用武之地。

Tags：LOOTOOT區塊鏈NFTloot幣在哪個交易所NFTshootout區塊鏈工程專業張雪峰SNFT

比特幣交易