智能合约随机数算法漏洞影响游戏公平性
据成都链安科技消息,MyCryptoChamp游戏合约随机数“不随机”,影响游戏公平性。
MyCryptoChamp合约的RandMod函数中使用合约的私有变量randNonce和父块哈希作为参数生成随机数,用户可以通过web3.eth.getStorageAt()函数获取randNonce的值,而父块hash在合约内外都可以读取到。
攻击者可以利用获得的两者数值,通过外部合约计算出较理想的随机数,并在此时参与游戏,新的角色及物品属性就会按照该理想数值生成,进而影响游戏公平性,实现了以较小的成本(gas消耗)获得较大利益。
根据Solidity官方建议,合约开发者可以使用链外的第三方服务,比如Oraclize来获取随机数。成都链安科技提醒所有项目方,进行代码安全审计是项目上链前不可缺少的重要安全举措,必要时可以借助第三方专业审计团队的力量防患于未然。
关于链安科技
成都链安科技有限公司,专注区块链安全领域,总部位于成都。由电子科技大学杨霞教授和郭文生教授共同创建,团队核心成员由30多名分别来自海外知名高校和实验室(CSDS、耶鲁、UCLA)留学经历的副教授、博士后、博士、硕士及阿里、华为等知名企业精英组成。其核心技术为形式化验证,该团队使用此技术为航天、军事等领域的安全关键系统提供多年的形式化验证服务,是国内唯一一家将此技术应用到区块链安全领域的公司。
公司已获得分布式股权投资,并与Huobi、OKEX、KuCoin、LBank、Becent、ONT、Scry、CareerOn、IoTeX、Bplus、比原链、布比区块链、云象区块链等多家单位签订战略合作协议 。并与全球顶级的形式化验证团队法国Inria达成合作。在国家工信部发布的《2018中国区块链产业白皮书》中公司榜上有名。公司已经入选Etherscan智能合约安全审计推荐名单。
「成都链安科技」
作为火币、OKex、KuCoin、LBank等
著名交易所指定的合约审计公司。
入选Etherscan智能合约安全审计名单。
欢迎联系链安,进行智能合约安全审计。
·
电话:028-83262585
网站:www.lianantech.com
邮箱:vaas@lianantech.com
官网:
https://www.lianantech.com
GitHub网址:
https://github.com/Lianantech/VCA
Facebook网址:
https://www.facebook.com/LianAnTechChengdu/
twitter网址:
https://twitter.com/LianAnTech_com
Telegram中文群:
https://t.me/LiananTech_cn
Telegram英文群:
https://t.me/LiananTech_en
微博:
https://weibo.com/u/6566884467
CSDN博客:
https://blog.csdn.net/CDLianan
知识星球:
点击了解更多