卷走千萬 TRX 的黑客 wojak 重現江湖，技術詳解操作手法_WOJ:ULTI

還記得此前攻擊TronBankPro獲利2,673萬個TRX的黑客「wojak」嗎？最近他又出來搞事情了！

原文標題：《Fomo3D式套利模式再現：「聰明」玩家狠狠地薅了一把羊毛！》作者：PeckShield

「玩家」高回報異常獲利

7月27日凌晨3點至上午10點，PeckShield安全盾風控平臺DAppShield監測到THeRTT開頭的地址在參與MULTI.TODAY合約游戲時，持續獲得高回報異常獲利，短短數小時內便獲利102,652個TRX。

PeckShield安全人員分析發現，該「玩家」采用了一種針對游戲機制的「卡位」回滾投注方式，通過部署腳本合約來參與游戲，利用游戲本身存在的運營機制「不平等」特性，成功實施「卡位」進而獲取最大的投資回報率。

這類似于互聯網上利用腳本程序惡意刷單，把原本屬于普通玩家的收益權限給侵占了。這讓人想起，去年Fomo3D火爆時，黑客利用以太坊公鏈因gas費用機制存在的交易擁堵問題，成功制造阻塞，拿走10,469個ETH獎金的攻擊事件。

分析師：最近的比特幣上漲由衍生品交易所推動，而非現貨交易所:金色財經報道，鏈上分析平臺CryptoQuant發布的報告顯示，最近的比特幣上漲由衍生品交易所推動，而非現貨交易所。盡管融資利率保持相當中性，但現貨市場上明顯缺乏真正的買家興趣。其他數據顯示，交易量仍低于 2023 年早些時候上漲期間的水平。分析師稱：“似乎有必要對這次反彈導致劇烈反彈這一事實保持謹慎。”[2023/8/30 13:07:04]

這個「聰明」的玩家，采用了類似Fomo3D式的「特殊方式」，狠狠地薅了MULTI.TODAY游戲一把羊毛。

「wojak」重現江湖

這個「聰明」的玩家究竟是何方神圣呢？

PeckShield安全人員進一步分析發現，THeRTT開頭的地址就是此前大名鼎鼎的「wojak」，他曾經攻擊過TronBankPro，并因此獲利2,673萬個TRX。

當時TronBankPro遭攻擊的原因是，其合約代碼中留有「后門」，而「wojak」則成功地命中了后門，并將合約余額全部取走了。盡管這件事情本身撲朔迷離，是巧合還是背后有陰謀，到現在都沒人說得清楚，然而，這倒讓「wojak」這一代號名揚四方了。不禁要問，此次「wojak」重現江湖，又會掀起怎樣的風浪呢？

CoinDesk因不正確的報道向Alex Grebnev道歉:金色財經報道，CoinDesk發文表示，“2023年5月25日，我們發表了一篇題為“Alameda支持的‘Samcoins’首席執行官Alex Grebnev被CoinTelegraph所有者Gregory Fishman起訴的故事。”這些人在倫敦高等法院就2020年價值750,000美元的期權協議的含義和效力提起訴訟（索賠和反索賠）。我們對Fishman先生在那起訴訟中的指控的描述是不正確的，我們很高興澄清事實，并確認訴訟中的指控并未指控Grebnev先生在我們的報道中所述的不當行為。對于我們的錯誤，我們深表歉意。我們已將文章撤下，不會再發表。”[2023/6/1 11:51:26]

MULTI.TODAY游戲玩法說明

要理清這個問題，我們得先系統了解下MULTI.TODAY游戲。按照官方說明，所有參與投資的玩家會組成一個隊列，每次排名隊列首位的玩家會獲得投資額的11%—41%作為回報，之后該玩家會被移除隊列。

只要不斷有玩家參與投資，那么先參與游戲的玩家都將獲得豐厚回報，同時，為了避免最后一位玩家吃虧，游戲還規定如果持續30分鐘沒有后續玩家投資，那么最后一位玩家將獲得獎池的5%作為回報。

眾議院金融服務主管不打算傳喚SBF參加聽證會:金色財經報道，據一份報告稱，眾議院金融服務委員會主席Maxine Waters（加利福尼亞州民主黨人）告訴民主黨人，她不打算傳喚前FTX首席執行官 Sam Bankman-Fried 在下周的加密貨幣交易所FTX倒閉聽證會上作證。消息人士稱，Waters更愿意試圖說服SBF自愿作證，而不是傳喚他。[2022/12/8 21:30:27]

「wojak」的卡位回滾操作技術原理

MULTI.TODAY于每天的22:00GMT3(北京時間凌晨3點)開啟新的一輪游戲，只有當游戲正式開始后，玩家的投資才會被認可。由于游戲規則的設定，所有玩家都爭搶著第一個參與。

通過PeckShieldTRON大數據分析平臺，可以看到在北京時間07月27號凌晨3點之前，多個玩家嘗試參與游戲，但因為游戲時間還沒有開始，交易都被回滾了:

圖示1：游戲開始前的交易

當游戲時間到達后，有多筆交易都被打包進了11315294區塊。在這個區塊中與該游戲合約有交互的前兩筆交易分別為「wojak」發起的Tx1合約交易，以及由普通玩家發起的Tx2交易。

a16z總法律顧問：Ripple無法在SEC訴訟案中獲勝:11月9日消息，Andreessen Horowitz (a16z) 總法律顧問兼去中心化負責人Miles Jennings表示，基于Ripple本身向散戶投資者出售XRP這一事實，Ripple將無法在美國證券交易委員會（SEC）訴訟案中獲勝。Miles Jennings分析稱，根據SEC的說法，這一事實意味著XRP價值由Ripple行為決定，與去中心化生態系統不同，所以對Ripple在這場訴訟案中獲勝“不抱太大希望”。目前XR價格跌至0.37美元，過去24小時降幅14.6%，市值已被Binance USD超越。[2022/11/9 12:39:20]

下圖2為普通玩家發起的交易，圖3為「wojak」發起的合約交易：

圖示2：普通玩家交易

圖示3：「wojak」發起的合約交易

「wojak」首先調用TK5HmY地址開頭的合約，再由TK5HmY地址開頭的合約調用游戲合約完成投資。PeckShield安全人員分析后發現，區別于普通玩家，「wojak」發起的交易可不簡單，存在多層調用。

加密做市商Wintermute已向各貸方返還了數億美元的債務:金色財經消息，加密做市商Wintermute首席運營官Marina Gurevich在接受《華爾街日報》采訪時表示，該公司“在過去幾周內向各貸方支付了數億美元的債務”。Gurevich補充說，加密經紀商Voyager Digital已經收回了對Wintermute的大部分貸款。據《華爾街日報》報道，Voyager以4%至13.5%的利率向Wintermute借出2730萬美元。

Voyager以提供豐厚的存款收益而聞名，該公司將這些存款借給大型交易公司，包括Wintermute和Jump Trading等做市商。自對沖基金三箭資本崩盤以來，貸方變得更加保守，提高借貸成本并收回貸款。

Gaevoy補充說，“ Wintermute基本上所有貸款方的未結貸款都被召回了，我們的資產負債表基本減少了一半以上”。（The Block）[2022/7/10 2:03:07]

TK5HmY地址開頭的合約首先調用MULTI.TODAY智能合約中的startTime()，prizeAmount()等靜態方法，以此來判斷游戲是否開始，是否已有玩家投資；當確認游戲開始，且尚未有玩家投資后，再多次調用游戲合約的deposit()方法進行投資。雖然游戲合約設置在返利后移除排名隊列首位的玩家，但因為該玩家是通過合約來進行多次投資的，可以保證被移除后仍然保持榜首。

「wojak」獲利的關鍵是得讓這筆合約交易率先被SR節點打包。

在以太坊中，攻擊者可以通過提高gasPrice來惡意競爭，讓交易被礦工先打包處理，而波場沒有類似gasPrice的概念，所有交易是通過SR節點打包產生的。「wojak」事先準備好自動化腳本，在時間到達前通過自動化腳本不斷調用合約來完成交易，這會比普通玩家的手速要準確的多。同時，智能合約中的交易都是原子操作的，只要上鏈，合約可以保證交易中的所有操作按順序進行，這就大大提高了合約交易率先被SR節點處理的概率。

從鏈上數據分析看，「wojak」通過合約投資32次，單筆交易就獲利近10萬個TRX。他確實是一位極度聰明的玩家，當其他玩家還在拼手速時，他已經通過部署合約的方式，制造了不平等特殊權限，獲取了豐厚回報。

下圖為「wojak」的合約調用流程：

圖示4：「wojak」調用合約流程圖

「wojak」除了在MULTI.TODAY每輪游戲開始時爭當頭名玩家外，PeckShield安全人員還發現，針對游戲第二種類似Fomo3D式的玩法，「wojak」也一直在「守株待兔」。

例如TKjcLB地址開頭的賬戶于07月27號09:13:57發起了一筆投資，在此之后的30分鐘內沒有玩家參與，直至09:43:57，「wojak」發起了另一筆交易，在最后時刻成功阻攔TKjcLB地址開頭的賬戶獲得大獎。跟之前分析類似，「wojak」的這筆交易也是調用游戲合約的stage()，getCurrentCandidateForPrize()等靜態方法，獲取游戲當前回合數和投資資金，以此判斷30分鐘內是否有玩家參與。

事件后續

PeckShield安全人員在發現該問題后，第一時間和游戲項目方取得了聯系，項目方也及時升級了合約。

需要說明的是，「wojak」并沒有攻擊MULTI.TODAY合約，MULTI.TODAY游戲本身也不存在相關智能合約的漏洞，「wojak」只是聰明地利用了合約的設定規則，達到了「薅羊毛」獲利的目的，不能稱其為一次黑客攻擊行為。

不過，透過事件本身我們看出，上次TronBankPro事件并非偶然，「wojak」確實是一位不折不扣的「技術牛人」。

寫在最后

雖然此次事件并非因漏洞誘發的黑客攻擊行為，僅是聰明「玩家」合理利用游戲機制實施的高智商薅羊毛行為，但其暴露的問題卻值得我們深思：

1、游戲運營機制設計的缺陷同樣會威脅到游戲的參與體驗，透支并傷害大部分普通用戶對游戲本身的信任；

2、合約玩家對如今DApp生態而言是把雙刃劍，合約會幫助黑客以最低的成本，掃蕩全網大量DApp，且總能找到疏漏之處，進而下手；

3、游戲項目方應完善自身的風控應急響應機制，一旦監測到異常獲利或攻擊行為，應立即對游戲實施一鍵暫停，終止正在進行的攻擊行為，必要時可尋求第三方安全公司幫助，進而減少或避免數字資產損失；

4、游戲玩家在參與游戲時，應時刻注意項目官方或者安全公司發出的預警消息，對于已經遭受攻擊尚未停止運營的游戲，應避免再次參與，以免遭受更大的數字資產損失。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

Chinanews

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3977845.html

TRX波場

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

幣安與黑客談判記錄首次披露，梳理幣安KYC泄露事件始末

下一篇：

簡明Staking防割指南

Tags：WOJWOJAKOJAULTIwojak幣發行時間wojak幣價格wojak幣發行價MULTI

比特幣