【得得预警】1200W人民币被盗！区块链游戏Last Winner疑点重重

北京时间，2018年8月6日凌晨。

一款叫Last Winner（以下简称 LW）的游戏在以太坊上上线了。这是一个和Fomo3D相似但是不开源的游戏。让人没有想到的是，这个游戏竟然在国内团队的大力运营下，短短几天之内就席卷了整个以太坊网络。

2.5亿资金涌入，以太坊风起云涌

LW一上线就有大量资金涌入，大量玩家入场。刚上线没几天，就为以太坊网络制造了无数的交易，使得以太坊的 gas价格直线上升，导致了大规模的交易拥堵，很多交易长达24小时都无法完成。

从图中可以看到，从8月6日LW上线到8月9日，以太坊的gas价格最高上涨超过5倍。 

（图1：以太坊每日gas价格统计） 

截止到2018年8月15日，LW这个游戏产生的交易就高达28W笔，吸入资金109280ETH，估值高达2.5亿人民币。就在几个小时前，游戏刚刚结束了第一轮并开始了新的一轮，第二轮开启仅几个小时，就吸引到了5000多ETH入场，以太坊网络再次拥堵起来，可见游戏的火爆程度。

然而让Last Winner和玩家都没有想到的是，多双黑手正伸向他们......

4天？1200万人民币被盗走

8月10号，安比实验室（SECBIT）收到了美国硅谷公司AnChain.ai的消息，AnChain.ai通过态势感知发现了一个攻击合约正在不断从Last Winner中攫取ETH！

根据AnChain.ai提供的数据，这个由黑客创造出来的攻击合约发起了将近5W笔交易，仅花费4天时间，就累计获利5194ETH，价值将近1200W人民币。

下图来自AnChain.ai提供的攻击合约每小时攫取ETH数据，黑客从8月7号开始就发起了攻击，在8月11日左右停止。在这短短四天内，该合约每小时平均攫取将近100ETH，将近22W人民币。

（图2：黑客每小时攫取的ETH）

下图表示黑客发送的交易量占总交易量的9.877%，但是攫取了Last Winner奖金池中49%的奖金。

（图3：Last Winner中黑客的交易量占比和攫取ETH占比）

疑点重重，离真相还有多远？

安比（SECBIT）实验室和AnChain.ai合作，共同对交易数据进行分析，同时安比实验室采用代码逆向工程、跟踪调试等手段，对此番黑客的系列攻击行为展开了进一步的深入分析。

首先通过观察游戏合约和异常交易行为，我们初步推测黑客很可能是利用了之前在Reddit上爆出的Fomo3D游戏随机数漏洞。

事实上早在7月24日，安比（SECBIT）实验室就有过风险预警：Fomo3D游戏的智能合约存在随机数漏洞可被利用，Fomo3D及所有抄袭源码的山寨合约均存在该安全漏洞。游戏原本设计上随机性较大的空投机制，可以通过特殊手段操纵大大提高中奖概率。

然而通过进一步的分析下，SECBIT团队发现这里不少地方非同寻常：

• 我们发现多个地址共同参与，分工明确，并按照一定的比例分账。并且攻击规模极大，前后共发起5W笔交易，创建且销毁了2W多个子合约。通过结合AnChain.ai的态势感知和安比实验室的逆向分析，首次将该黑客团伙精确定位，我们把该团伙称为BAPT-LW20（Blockchain APT–Last Winner）。
• BAPT-LW20团伙头目（此次攻击合约的创建者）还创建了其他30多个未开源的合约，而这些合约似乎还把黑手伸向了其他游戏。
• 根据之前在Reddit上提到随机数漏洞的技术细节，攻击者要想攻击获利，成功率通常都不超过10%，然而最新的攻击合约交易数据显示，其成功率超过80%，大大提升了攻击的效率，成功实现了在4天时间内攫取1200万人民币，BAPT-LW20到底怎么做到的？
• 攻击合约在Last Winner上线前20天就部署好了，难道是游戏项目方提前泄露了合约细节？

安比（SECBIT）实验室联合创始人赵坤告诉链得得作者，市面上类Fomo3D游戏如果没有专业团队指导，几乎都会有类似的问题，许多游戏开发团队可能知道有这样的问题，但是在智能合约安全方面，目前来看，诸多游戏团队没有能力解决好。

“游戏制作团队需要重视这种安全问题，不能明知有安全风险，还让普通用户利益受损。”赵坤表示，游戏团队应该尽快与安全团队加强合作，改善现状。而SECBIT实验室正在联手AnChain.ai去揭露BAPT-LW20黑客团队的神秘面纱，去完整呈现黑客组织攻击的完整路径。（本文独家首发链得得App）