【链得得独家】大奖空投遭疯狂“盗取”，如何挽救火爆的资金盘游戏？

（图片来源：视觉中国）

在过去的一个多月时间里，以Fomo3D为代表的资金盘游戏成为最大的炒作噱头。

关注的点主要集中在两方面，一方面是游戏在完全去中心化的运作下设置巨额的“终极大奖”，成为玩家趋之若鹜的动因；另一方面却因为游戏在运作过程中屡屡被爆出“致命”安全漏洞，让玩家随时面临资产被清零的危险。

拿区块链资金盘游戏开山鼻祖Fomo3D来讲，奖金池48%的终极大奖是玩家可获得收益的主要诱因。此外，游戏过程中的空投机制也是玩家可以持续返本获利的重要渠道。

8月22日下午，Fomo3D游戏第一轮正式结束，最终大奖由地址0xa169获得，奖金额高达价值2200万元人民币（10,469ETH）的大奖。

回顾Fomo3D的发展轨迹。7月5日上线后，吸引到大量人气和资金，起初人们的讨论在于谁能拿到48%的终极大奖？由于每当有资金注入就增加时间的游戏，究竟会不会结束？在猜测中游戏玩家迎来井喷，7月20、21日，Fomo3D单日交易额分别达到3.96万ETH和4.12万ETH，两天的成交量占到了Fomo3D当前总投入的85%，导致以太坊网络拥堵不堪。

随着时间的推移，各家安全公司频频爆出游戏漏洞，来指责游戏本身固有的“投机”漏洞被黑客所掌握，连以太坊基金会的核心成员peter szilagyi在twitter上表示，Fomo3D的空投机制要被智能合约自身存在的漏洞戏弄了。

Fomo3D的突然火爆，带红了一众类似的资金盘游戏，名字各异但玩法相似，但是对于玩家来讲，参与必然是冲着“奖金”去的，但是事实证明你在这类“去中心化”的游戏里拿不到“奖金”。

空投被破坏、大奖被“截胡”

链得得此前撰文《获利能力超千台矿机，攻击者利用Fomo3D两天薅了近60个ETH》提示风险，Fomo3D玩家购买的key金额高于0.1ETH时，有机会获得空投。但是由于智能合约本身的漏洞，羊毛党可以准确捕捉到这个“随机数”，从而在投入很小的前提下获得将近100%的空投。攻击者利用这个漏洞，在两天时间内获利了近60个ETH，堪比1000台以上GPU显卡矿机的挖矿能力。

此外，在游戏的终极大奖上依然存在着玩家“被绑架”的风险，由于最后一笔购买游戏代币的人可以分得奖金池48%的奖励，使得普通玩家在等待游戏接近尾声时伺机杀入，但是无奈普通玩家却依然没有可能搏到这笔钱。

安比（SECBIT）实验室发现Fomo3D大奖获得者采取一些“特殊攻击技巧”，使得游戏临近结束时，这些人在自己极有可能成为中奖者时，利用这些高额手续费的神秘交易，吸引矿池优先打包，占满后续区块，从而使得其他玩家购买key的交易无法被正常打包，最终加速游戏结束，并极大地提高自己的中奖概率。

所以，总体来讲，部署在以太坊网络或者EOS上的资金盘游戏一度让人们认为这是最去中心化、最公平的游戏，但是在这去中心化的游戏中，用户收益的两个关键通道全被被黑客利用，而玩家的筹码终归流落到黑客的口袋。8月22日，GOD.GAME合约遭到黑客攻击，被卷走所有的币，GOD智能合约上的以太坊总量已为零。山寨游戏的争相模仿，让安全性成为了一个虚设品，攻击者的趁虚而入变得更加轻而易举。

漏洞相似且无法挽救

目前市面上所有的区块链资金盘游戏的代码函数基本是模仿Fomo3D，因此对于黑客来说，几乎可以用同样的方式在多款游戏中各个击破。

近日，安全公司SECBIT（安比）实验室创始人郭宇在链得得吐槽大会上针对作者对于区块链游戏安全的质疑表示，所有直接拷贝 Fomo3D 源码的游戏都存在同样的漏洞，普通玩家的利益确实会受到较大威胁。对于已经部署的 Fomo3D 模仿游戏，由于合约代码无法更改，这些游戏合约中的漏洞会一直存在并且无法挽救，强烈建议普通玩家不要投入资金在这类游戏中。

链得得统计发现，仅部署在以太坊网络上的资金盘游戏就有164款，但是不同于8月初的狂热，目前仅有10款游戏有成交量，而日成交量平均只有65.27ETH，由此可以看出，在问题频发的环境下，玩家的热情快速消减。

呼吁与安全公司的合作

由于智能合约的不可篡改性，直接决定了在游戏合约在开发上线的初期就应该进行复杂的代码审计。但是在区块链行业监管和透明度缺失的时间里，开发者的逐利意图显而易见。

SECBIT（安比）实验室联合创始人赵坤告诉链得得，资金盘游戏目前最大的问题是随机数问题，目前以太坊随机数都不是真随机，都存在可能被预测或者利用的问题，导致出现漏洞；还有一个是存在智能合约阻塞交易攻击，导致游戏公平性出现问题，可以理解为智能合约上的ddos攻击。

正如前文提到，在Fomo3D中，攻击者可以利用随机数问题攫取“空投”收益，同样可以在智能合约上发起“ddos攻击”来阻塞交易。赵坤补充道，commit-reveal方案是比较可行的随机数解决方案。

链得得作者了解到，这个方案需要在特定的场景下进行设计，跟游戏逻辑有一定的相关性。资金盘游戏可以采用commit-reveal方式产生真随机数，来保证游戏的公平性。

结语

公平性是游戏玩家获得最好体验的大前提，通常由于改进方法和游戏逻辑有一定相关性，具体案例需具体分析。游戏项目方在开发上线前需要的是和专业安全公司的合作，以此得到一个安全有保障的智能合约。（本文独家首发链得得App）