来源:Medium
作者:iamthetorn
翻译:思嘉
如果没有修改智能合约中使用随机性的方式,不要将Loot的代码用于新项目。
Loot的智能合约有一个设计限制,影响着初始代币分配的公平性。而那些使用Loot代码的新项目也存在这个漏洞。
本文不是要贬低Loot或任何相关公司,而是意在:
1.通过减少信息不对称,营造NFT的公平竞争环境;
2.减少程序错误或设计模式的继续扩散,以防将用户置于风险中。
Loot是一个由8000个代币组成的NFT集合,称为Bags。97%的NFT可由公众铸造,除了Gas费之外没有其他费用。
智能合约包含随机化和渲染层、逻辑层,允许它生成对应于任何代币ID的SVG。
每个Bag有8项属性,每一项都在智能合约上随机生成一个分值。分值越高,物品的名称可变性越强,物品也就更加稀有。
分析 | 少数几家加密货币交易所是影响比特币价格的关键:据彭博社消息,一项新研究显示,少数几家交易所是影响比特币价格的关键,让交易员基本上可以忽略其他无数交易所,而不会有错过重大交易的风险。Digital Asset Research的研究报告称,只有10个交易所(其中包括Liquid、Huobi、Coinbase和HitBTC)是价格波动发现最多的地方,随后由又会转移到其他网站。这项研究在一定程度上缓解了加密货币投资者对小型交易所中价格波动比正常情况更为疯狂的担忧,其中许多交易所都被指控人为的高交易量。美国证券交易委员会(SEC)拒绝了一些公司的申请,原因之一是担心市场操纵。研究人员调查了在去年4月1日至12月31日期间100多个比特币价格5.5分钟内上涨超过100美元的案例,然后寻找其他交易所的相应举措。此外,研究人员说,他们还发现交易所BitMex的期货合约也可能对价格变动产生影响,不过具体影响仍在分析中。[2020/1/15]
那么问题出在哪里呢?
分析 | 历史数据表明3月至7月比特币价格有可能看涨:数据显示,2019年3月至7月,比特币价格出现大幅上升。过去的记录并不能保证未来的结果,但表明看涨的趋势是可能的。比特币的走势往往是周期性的,有起有落。2019年,期货市场的影响为BTC未来发展增加了注,可能会造成看涨和看跌态度的相互作用。1月3日,数据平台Santiment发推表示,“根据我们的数据,2019年BTC的价格走势与前五年相比如何?从3月到7月,随着比特币飙升到5位数以上,年中价格出现大幅上涨。12月被誉为表现最佳的月份,然而这让许多交易员失望,因为相比2014-2018年12月的平均涨幅(18.7%),这十年结束时价格波动幅度为-31.7%(2019年12月为-13.0%)。”Bitcoinist文章称,基于2019年最后一个季度的总体回落以及1月份触底的预测,增加了对比特币2020年中期看涨周期的希望。(Bitcoinist)[2020/1/4]
Bag的内容是根据其代币ID确定的——这意味着在最初的代币分配之前或分配期间的任何节点,只要通过阅读智能合约,任何人都可以轻而易举地提前计算出整个Bag的供应量。
分析 | 比特币命悬一线:AKG-Chcuk认为:价格走势毋庸置疑的弱,已经到了下跌通道支撑位附近,可以说是命悬一线,投资者关注8000正数关口的支撑情况,弱势行情,参与度进一步降低,抄底的时机一般伴随着交易活跃度的同步抬升,本周将成为未来一个月的行情决定时刻。
(价格参考Coinbase)
关键点位提示:
8550/8800构成日内关键压力位
8400-8500构成日内关键支撑位[2019/11/19]
由于claim()函数将代币ID作为一个参数,所以很容易从收藏品中挑选出最稀有的物品,并赶在其他人之前立即将其铸造完成。
如果合同代码在最初发行时是公开的,就会使得Loot和类似的项目很容易被游戏化。
事实上,Loot和其大多数模仿者都把使用Etherscan作为他们的造币UI,这要求源代码在Etherscan上经过验证。
公司已经确认,以下项目的初始发行版对上述的造币操作是开放的。Loot、Bloot、MoreLoot、n、CHAR0......
分析 | BTC与黄金90天相关性呈上行趋势 主流交易所24H交易量表现不佳 ?:据TokenGazer数据分析显示:截止至11月14日18:00,BTC价格为$8638.21,市值为$155,653.93M;主流交易所24H BTC交易量约为$202.49M,环比昨日缩水26.47%;BTC活跃地址数略有下滑,链上交易量平稳波动,出块时间有所缩短,约为9.3min,BTC市值占比轻微下滑,目前约为65.95%;BTC 30天ROI表现不佳;据TokenGazer官网六道数据显示BTC情绪指数移动平均线保持稳定,与黄金90天相关性呈上行趋势;期货方面,过去24小时,火币和OKEx的比特币合约持仓量上升。OKEx的比特币多空持仓人数比在1.67-1.83之间,比特币精英多头持仓比例上升,季度合约与现货的价差降至80美元;交易所方面,日内BTC/USD Coinbase对BTC/USD Bitfinex保持负溢价状态,溢价区间环比昨日有所缩小,入市有风险,投资需谨慎。[2019/11/14]
这是个非详尽的列表,在写这篇文章时,我还没有发现任何其他对此开放的项目。
分析 | EOS大涨11%是因为在韦氏评级排名中高于比特币:据ambcrypto文章分析,3月26日,韦氏评级发布了最新加密货币排名报告,这一报告按照技术和应用“二分法”对加密货币进行了排名。XRP因在全球范围内发布了一系列声明和合作伙伴关系,位居榜首。EOS位居第二,超过比特币。自此,EOS价格大涨超10%,领涨主流货币,排名发布后的几个小时内其市值飙升至36.3亿美元,在此之前的一段时间EOS市值一直停滞在33亿美元左右。另一方面 ,EOS在CoinMarketCap发布的新指标上也表现良好。基本加密资产评分(FCAS)将EOS排在首位,高于比特币、以太坊和XRP等。[2019/3/27]
最令人担忧的是,这种游戏性会导致普通用户和内行或具有技术知识的用户之间产生的结果存在显著差距。
漏洞1
MoreLoot是Loot的创造者dhof发布的Loot后续产品,截至本文写作时仅发布几个小时,从MoreLoot的链上数据中就可以明显地发现这一漏洞产生的影响。
上图显示了MoreLootBags可供铸币与实际铸币之间的分布差异。它包括目前该系列中超过130万个Bag的"greatness"分数。
如果铸币是随机的,我们期望这些分布是一致的。
恰恰相反,我们可以清楚地看到,虽然绝大多数的购买是"盲目的",但有一小部分的交易是利用合同,只对最稀有的Bag铸币。
自GitHub上公布了稀有度排名后,这种有针对性的铸币活动的频率有所增加。
然而,即使在公开的LootDiscord中分享了这些数据后的几个小时,有针对性的铸币活动仍然只占铸币活动的一小部分,这表明大多数用户都被蒙在鼓里。
有些人可能会用MoreLoot来试试水,不会太认真对待,但仍应当考虑其实际影响。
比如用户为MoreLoot铸币支付了大约300万美元Gas费。这些铸币中的绝大部分是盲目的。
随着供应上限远远超过100万个代币,成千上万的"特殊"代币涌入市场,普通持有人的转售前景非常暗淡。
漏洞2:CHAR0
CHAR0是最近另一个基于Loot的项目,从UTC9月3日13:47到UTC9月4日11:56,在分发9700个代币的过程中,预计花费70万美元的Gas费。
作为这个项目的早期矿工,产出必要的数据来识别和获得该系列中许多最稀有的代币,对我来说非常容易。
为了演示,我只对一个小的收藏品进行铸币,但没有什么能阻止我迅速且隐蔽地获得前1%绝大所数的供应。
很明显,像我这样有动机获取者可以从CHAR0的用户群中提取巨大的价值,并对项目的结果产生相当大的影响。
可能的解决方案
我会把这一部分划定在比较高层次的讨论上,并留有一些后续解决空间。以下是解决上述问题的几种不同方法。
盲投
Hashmasks普及了盲投模式,在这种模式中创作者承诺为整个系列提供一个哈希值,在销售结束时通过链上随机性对系列顺序进行洗牌。
这可以创造出公平、随机的分配,即使是创作者也不能作弊。Hashmasks智能合约被BAYC和其他一些项目成功采用。
可改变盲投策略与Loot一起使用,同时保留所有LootSVG由智能合约生成的属性。
链上RNG
可在运行时使用链上随机性使每个铸币的结果随机产生。
对这种方法必须格外小心,因为链上随机性的来源可能会被他人以意想不到的方式利用。
最好的方法是利用VRF,如Chainlink的VRF,但这对某些应用来说可能过于昂贵。
未验证的合同
一个简单的修复方法是在最初发布时保持智能合约代码的私密性。在以下情况下,这种方法合理:
1.创建者的声誉受到威胁;
2.合同不接受付款。
虽然这可以说是一种改进,但我强烈建议不要采用这种方法。
与盲投不同,这种方法没有保护措施防止NFT创建者作弊。无论是通过分析铸币输出还是通过字节码反编译,合约可能会受到逆向工程的影响。
即使合同创建者是值得信任的,然而也存在不好的先例,包括合同不接受付款,要求用户与未经验证的合同互动。
抗Sybil投资
最后,我有一个建议想要呼吁:使用Mirror的数据来尝试抗Sybil的公平分配。
这是一个具有前瞻性的方法,我相信在未来会变得越来越有趣。
最后...
这些方法中的每一种都有取舍,有些可能是最初的Loot团队所考虑的。
事实是,当前版本的Loot智能合约扩散得越多,对用户来说情况就越糟糕。
在问题得到解决之前,这个智能合约不应该重新进行使用,至少在没有明确沟通的情况下,铸币是游戏化的,而且分配目的不是为了公平或随机。
结尾的呼吁
所有关于社区和公平分配的讨论都在于,NFT用户应该得到更好的待遇。
他们应该有一个公平的竞争环境,他们应该得到精心设计的、不会坑害他们的代币发行。
毋庸置疑,Loot已经引发了一场革命,是NFT持续发展的一个关键项目。
我想强调的是,即使是在试水,NFT开发者也要对他们的用户负责,这包括那些从其他项目中复制粘贴代码的开发者。
不要再吹嘘那个利用你的Loot进行抄袭的家伙通过看YouTube在一天之内学会了智能合约。
让我们为用户提供更安全的NFT空间,新型的和高价值的智能合约应该接受审查,或者至少由经验丰富的智能合约开发者进行代码审查。
众所周知的问题应该公开进行讨论,让我们改进优秀做法,并广泛分享,确保艺术家创作安全和富有意义的NFTs时有用武之地。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。