NFT:分析 | Loot分叉的集體漏洞——稀缺性有規律可循

來源：Medium

作者：iamthetorn

翻譯：思嘉

如果沒有修改智能合約中使用隨機性的方式，不要將Loot的代碼用于新項目。

Loot的智能合約有一個設計限制，影響著初始代幣分配的公平性。而那些使用Loot代碼的新項目也存在這個漏洞。

本文不是要貶低Loot或任何相關公司，而是意在：

1.通過減少信息不對稱，營造NFT的公平競爭環境；

2.減少程序錯誤或設計模式的繼續擴散，以防將用戶置于風險中。

Loot是一個由8000個代幣組成的NFT集合，稱為Bags。97%的NFT可由公眾鑄造，除了Gas費之外沒有其他費用。

智能合約包含隨機化和渲染層、邏輯層，允許它生成對應于任何代幣ID的SVG。

每個Bag有8項屬性，每一項都在智能合約上隨機生成一個分值。分值越高，物品的名稱可變性越強，物品也就更加稀有。

分析 | 橫盤走勢伴隨下破風險，主流幣市場等待BTC選擇方向:根據OKEx現貨顯示，截至歐盤開始，BTC暫報7086.2美元（-0.46%）。

BTC于周末非但未能再次站上7400美元，反而受7300美元阻力打壓后回落，從日線級別也可觀察到自11月末幣價反彈至7850美元附近，后續反彈高點便逐漸下移，分別為7700美元以及本次的7300美元。

OKEx分析師Neo認為，很多買盤在意識到7850美元的反彈關鍵位置難以突破后，在階段性底部建倉并拉升的意愿在逐漸降低，這本質上就是多數投資人對于未來多頭市場信心不足的直觀體現。此時7000美元附近的多頭倉位雖仍有一定存量，但與空頭長期的“消耗戰”大概率會讓多頭失去耐心平倉離場，彼時7000美元的底部恐怕不再牢固。

主流幣市場的命運也不出預料的再次掌握在BTC手中，對于像ETH與EOS這類下方有年初底部作為支撐的幣種來說，下方空間或比XRP與TRX這類已創年內新低的幣種相對較小。短期提醒投資人關注BTC 7300美元阻力位以及7000美元支撐位強度。

根據國際第三方統計機構CoinGecko數據顯示，OKEx平臺24小時合約交易額30億美元。

風險提示：入市有風險，投資需謹慎。[2019/12/16]

那么問題出在哪里呢？

分析 | 監管框架含糊不清等因素導致韓國交易所比特幣交易量難恢復:加密貨幣分析師Joseph Young于LongHash發文就韓國一線交易所比特幣交易量難以恢復的原因進行了分析。Young提到，自2018年10月以來，韓國最大的加密貨幣交易平臺Bithumb（還有UPbit）的日成交量下跌了83%，從120萬BTC減少到了20萬BTC 。韓國三大交易所的比特幣及其他加密貨幣交易量下跌的主要因素似乎是：加密貨幣交易監管框架含糊不清，2018年1月比特幣價格的突然暴跌，以及山寨幣價格的大幅下跌。此外，成交量的下跌在一定程度上也與交易所層面的爭議有關系。[2019/11/16]

Bag的內容是根據其代幣ID確定的——這意味著在最初的代幣分配之前或分配期間的任何節點，只要通過閱讀智能合約，任何人都可以輕而易舉地提前計算出整個Bag的供應量。

由于claim()函數將代幣ID作為一個參數，所以很容易從收藏品中挑選出最稀有的物品，并趕在其他人之前立即將其鑄造完成。

分析 | 5G對于區塊鏈是一個加速器:本月初，中國工業和信息化部正式向中國電信、中國移動、中國聯通和中國廣電頒發了基礎電信業務經營許可證，批準四家企業經營“第五代數字蜂窩移動通信業務”（俗稱“5G”）。區塊鏈作為新一代互聯網，其去中心化、交易信息隱私保護、歷史記錄防篡改、可追溯等特性可推動5G應用的高效發展。5G之于區塊鏈是一個加速器，有了5G之后，基于互聯網的數據一致性將會大大改善，可以提高區塊鏈網絡本身的可靠性，減少由于網絡延遲帶來的差錯和分叉。[2019/10/20]

如果合同代碼在最初發行時是公開的，就會使得Loot和類似的項目很容易被游戲化。

事實上，Loot和其大多數模仿者都把使用Etherscan作為他們的造幣UI，這要求源代碼在Etherscan上經過驗證。

公司已經確認，以下項目的初始發行版對上述的造幣操作是開放的。Loot、Bloot、MoreLoot、n、CHAR0......

分析 | BTC鏈上交易額持續下滑 人氣緩慢回升:據TokenInsight數據顯示，反映區塊鏈行業整體表現的TI指數北京時間07月24日8時報747.42點，較昨日同期下跌31.69點，跌幅為4.07%。此外，在TokenInsight密切關注的28個細分行業中，24小時內漲幅最高的為治理協議行業，漲幅為1.52%；24小時內跌幅最高的為娛樂與游戲平臺行業，跌幅為7.66%。

據監測顯示，BTC 24h交易額為$183億，活躍地址數較前日上升2.32%，轉賬數分別則下降3.07%。BCtrend分析師Jeffrey認為，BTC鏈上交易額持續下滑，人氣緩慢回升，短期或將延續盤整。

另據Bituniverse智能AI量化分析，今日行情可開啟TUSD/USDT穩定幣網格交易，區間0.9939-1.0056 USDT，無懼行情下跌。?注：以上內容僅供參考，不構成投資建議。[2019/7/24]

這是個非詳盡的列表，在寫這篇文章時，我還沒有發現任何其他對此開放的項目。

分析 | Tether近日并未增發USDT:公開數據顯示，Tether區塊高度536312新增價值5000萬美元的Token。經查詢，該筆交易并非增發，原因有三。一是該筆交易的發出方與USDT發行地址不符。該筆交易的發出方為1NTMakcgVwQpMdGxRQnFKyb3G1FAJysSfz，并非Tether官網給出的發行地址。二是該筆交易的性質是轉賬，而以往增發的交易性質為“Grant Property Tokens”。三是據統計，截至8月6日，Tether官網顯示USDT總量為30.2億美元，與今日顯示的總量相同，沒有變化。數據公司Chaindigg也證實了該筆交易并非增發，且Chaindigg USDT監控助手同樣顯示，在6月25日后沒有發生過USDT增發。[2018/8/13]

最令人擔憂的是，這種游戲性會導致普通用戶和內行或具有技術知識的用戶之間產生的結果存在顯著差距。

漏洞1

MoreLoot是Loot的創造者dhof發布的Loot后續產品，截至本文寫作時僅發布幾個小時，從MoreLoot的鏈上數據中就可以明顯地發現這一漏洞產生的影響。

上圖顯示了MoreLootBags可供鑄幣與實際鑄幣之間的分布差異。它包括目前該系列中超過130萬個Bag的"greatness"分數。

如果鑄幣是隨機的，我們期望這些分布是一致的。

恰恰相反，我們可以清楚地看到，雖然絕大多數的購買是"盲目的"，但有一小部分的交易是利用合同，只對最稀有的Bag鑄幣。

自GitHub上公布了稀有度排名后，這種有針對性的鑄幣活動的頻率有所增加。

然而，即使在公開的LootDiscord中分享了這些數據后的幾個小時，有針對性的鑄幣活動仍然只占鑄幣活動的一小部分，這表明大多數用戶都被蒙在鼓里。

有些人可能會用MoreLoot來試試水，不會太認真對待，但仍應當考慮其實際影響。

比如用戶為MoreLoot鑄幣支付了大約300萬美元Gas費。這些鑄幣中的絕大部分是盲目的。

隨著供應上限遠遠超過100萬個代幣，成千上萬的"特殊"代幣涌入市場，普通持有人的轉售前景非常暗淡。

漏洞2：CHAR0

CHAR0是最近另一個基于Loot的項目，從UTC9月3日13:47到UTC9月4日11:56，在分發9700個代幣的過程中，預計花費70萬美元的Gas費。

作為這個項目的早期礦工，產出必要的數據來識別和獲得該系列中許多最稀有的代幣，對我來說非常容易。

為了演示，我只對一個小的收藏品進行鑄幣，但沒有什么能阻止我迅速且隱蔽地獲得前1%絕大所數的供應。

很明顯，像我這樣有動機獲取者可以從CHAR0的用戶群中提取巨大的價值，并對項目的結果產生相當大的影響。

可能的解決方案

我會把這一部分劃定在比較高層次的討論上，并留有一些后續解決空間。以下是解決上述問題的幾種不同方法。

盲投

Hashmasks普及了盲投模式，在這種模式中創作者承諾為整個系列提供一個哈希值，在銷售結束時通過鏈上隨機性對系列順序進行洗牌。

這可以創造出公平、隨機的分配，即使是創作者也不能作弊。Hashmasks智能合約被BAYC和其他一些項目成功采用。

可改變盲投策略與Loot一起使用，同時保留所有LootSVG由智能合約生成的屬性。

鏈上RNG

可在運行時使用鏈上隨機性使每個鑄幣的結果隨機產生。

對這種方法必須格外小心，因為鏈上隨機性的來源可能會被他人以意想不到的方式利用。

最好的方法是利用VRF，如Chainlink的VRF，但這對某些應用來說可能過于昂貴。

未驗證的合同

一個簡單的修復方法是在最初發布時保持智能合約代碼的私密性。在以下情況下，這種方法合理：

1.創建者的聲譽受到威脅；

2.合同不接受付款。

雖然這可以說是一種改進，但我強烈建議不要采用這種方法。

與盲投不同，這種方法沒有保護措施防止NFT創建者作弊。無論是通過分析鑄幣輸出還是通過字節碼反編譯，合約可能會受到逆向工程的影響。

即使合同創建者是值得信任的，然而也存在不好的先例，包括合同不接受付款，要求用戶與未經驗證的合同互動。

抗Sybil投資

最后，我有一個建議想要呼吁：使用Mirror的數據來嘗試抗Sybil的公平分配。

這是一個具有前瞻性的方法，我相信在未來會變得越來越有趣。

最后...

這些方法中的每一種都有取舍，有些可能是最初的Loot團隊所考慮的。

事實是，當前版本的Loot智能合約擴散得越多，對用戶來說情況就越糟糕。

在問題得到解決之前，這個智能合約不應該重新進行使用，至少在沒有明確溝通的情況下，鑄幣是游戲化的，而且分配目的不是為了公平或隨機。

結尾的呼吁

所有關于社區和公平分配的討論都在于，NFT用戶應該得到更好的待遇。

他們應該有一個公平的競爭環境，他們應該得到精心設計的、不會坑害他們的代幣發行。

毋庸置疑，Loot已經引發了一場革命，是NFT持續發展的一個關鍵項目。

我想強調的是，即使是在試水，NFT開發者也要對他們的用戶負責，這包括那些從其他項目中復制粘貼代碼的開發者。

不要再吹噓那個利用你的Loot進行抄襲的家伙通過看YouTube在一天之內學會了智能合約。

讓我們為用戶提供更安全的NFT空間，新型的和高價值的智能合約應該接受審查，或者至少由經驗豐富的智能合約開發者進行代碼審查。

眾所周知的問題應該公開進行討論，讓我們改進優秀做法，并廣泛分享，確保藝術家創作安全和富有意義的NFTs時有用武之地。

Tags：LOOTOOTBTCNFTloot幣怎么買oneroot幣騙局PBTCNFTD

TRX