智能合约史上最大规模攻击手法曝光，盘点黑客团伙作案细节

下面由小编针对智能合约史上最大规模攻击手法曝光，盘点黑客团伙作案细节为您答疑解惑，希望能给您带来有一些有效参考。

作者：安比（SECBIT）实验室 & AnChain.ai安比（SECBIT）实验室创始人郭宇：2009年，中本聪创造了一个虚拟的去中心化新世界。

这仿佛是一片流着奶和蜜糖的应许之地，人们欢呼雀跃，蜂拥而至。

但与所有的生态系统一样，新世界有生命，就有捕食者。

有交易者，就有黑客。

区块链上的应用在进化，攻击者也同样，我们给大家展示的是区块链世界不为人知的另一面，暗流涌动。

意料之外，也在意料之中。

Last Winner（类 Fomo3D）游戏大火，导致以太坊异常拥堵，Gas 费用暴涨。

大量以太币资金入场。

北京时间 2018 年 8 月 10 日凌晨 1:38，加州时间 9 日上午 10:38，安比（SECBIT）实验室收到合作伙伴美国硅谷 AnChain.ai 公司消息，基于 AI 的态势感知系统发出预警信息，发现部分游戏合约出现大量交易并且存在异常的资金流动情况。

安比（SECBIT）实验室的小伙伴赶紧根据最新线索，对相关合约和交易进行观察、跟踪、分析。

安比（SECBIT）实验室由中国科学技术大学博士郭宇创建，从密码学、代码语义、形式化验证、博弈论、编译器等多种理论角度切入，在智能合约安全技术上开展全方位深入研究。

AnChain.ai 由辛辛那提大学计算机博士方春生 Victor Fang 创建，方博士是硅谷上市网络安全公司 FireEye 史上第一位首席数据科学家，负责 AI 产品研发。

AnChain.ai 专注安全威胁情报、区块链态势感知，凭借 AI 技术助力区块链生态安全。

下文敏感地址只保留前 4 位。

片尾有三个彩蛋，智能合约爱好者请不要错过。

悄然上线莫名火爆的 Last WinnerLast Winner 是一款基于以太坊智能合约的 DApp 游戏，于 8 月 6 日上线，这款游戏一经推出，就“异常”火爆。

这款游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C。

据 Etherscan 显示，短短六天时间内，该游戏合约就已产生 27 万余笔交易。

甚至前段时间以太坊网络大拥堵也与 Last Winner 游戏密切相关。

8 月 8 日 和 9 日，在 Last Winner 和 Fomo3D 超大规模交易量的共同作用下，以太坊未确认交易数量创年内新高，平均 Gas 费用一度飙升至正常 10 倍以上。

该游戏第一轮奖池金额为 1.6 万多个以太币，而玩家总投资额更超过 10 万以太币，资金量巨大。

目前游戏第一轮已结束，第二轮奖金池已迅速累积至 7000 多以太币。

疯狂的现象级游戏背后暗流涌动。

疑团重重前期大量参与者的资金来历不明据知名媒体「区块律动」报道，Last Winner 由名为「蚁群传播」的资金盘传销组织推广运营，有着数量众多的会员和极强的推广拉下线能力 [1]。

而据另一款火爆游戏 Fomo3D 开发团队称，Last Winner 是仿 Fomo3D 游戏，其背后运营团队准备了 20 万 ETH 来进行自动刷量交易。

因此，Last Winner 游戏火爆的背后，可能是一场精心布局的传销游戏，初期利用机器人发起批量交易，伪造活跃假象，吸引新韭菜入场。

Last Winner 游戏合约存在大量非正常交易，并且伴随着大量合约的创建与自毁，与正常人类调用行为特征偏离很大，这引起了我们的高度警惕。

疯狂推广只面向国人，合约源码却从未公开在各大论坛、媒体、以及微信群中，都可以见到 Last Winner 游戏的推广文章，而这些文章有着类似的描述，并且都附上推广邀请码。

但 Last Winner 英文相关资料非常少。

显然，这是一款针对中国人的游戏，有着诱人的推广（拉下线）奖励，因此在网络上广为传播。

并且，这款游戏有适配安卓和 iPhone 手机的 App，简化了使用操作，降低了参与门槛。

但是，十分可疑的是，作为一款基于智能合约的区块链游戏，Last Winner 居然没有公开合约源代码！这是一个非常危险的信号。

为何这样一个游戏能这么火爆，吸引这么多人参加？我们直觉上感到这款游戏到处透露着诡异的气息。

安全性存疑实则是 Fomo3D 山寨版Last Winner 官方宣传语写道：Last Winner（LW）是首款完全去中心化的类 Fomo3D 游戏 DApp，完全基于以太坊智能合约原生开发。

只要下载安装 App 就可参与游戏。

类 Fomo3D 游戏，且未公开源代码，这不得不让人产生怀疑。

要知道，短短时间内原创开发一个好玩又安全的 DApp 游戏难度非常大。

安比（SECBIT）实验室迅速使用内部工具逆向分析了 Last Winner 的合约代码（字节码）。

果不其然，这款游戏合约代码函数名称与 Fomo3D 高度相似，疑似直接拷贝（抄袭）了 Fomo3D 的源码，但却又新增了 10 余个可疑未知函数。

尽管 Fomo3D 在 Etherscan 公开了源代码，但这并不代表它开源给任何人随意使用。

安比（SECBIT）实验室之前报道过：在 Fomo3D 爆红之后，各类山寨版 Fomo3D 层出不穷。

之前这些山寨版游戏往往复制 Fomo3D 官网和合约源码，并可疑地在一些地方进行修改。

而 Last Winner 在此基础上更进一步，推出移动客户端，并疯狂推广，却不公开智能合约源代码。

智能合约游戏或 DApp 的亮点之一就是公开透明。