EOS版Fomo3D出现重大BUG,资金池变负数,用户资金不翼而飞?

DappSo

在这几天有人爆料 EOS 版 Fomo3D 存在的一些潜在风险,大意就是:

EOS 版 Fomo3D 这个项目,利用了普通用户对 EOS 权限机制的认知缺陷。在代码中,对用户账号更新了权限。

这不仅仅是授权, 而是更改权限。

用的是 updateAuth 操作,代表用户账号里的币已经不安全了,随时能被项目方轻松转走。

这种情况下用户就是案板上的鱼肉,是生是死全在项目方的一念之间。

被曝光后,项目方第一时间发了公告。拿几个月前 issue 和 bm 来说事。

不过当天就有大神用代码做实验了,感兴趣的朋友可以去试一试。

代码如下:

cleos wallet import 5KGkHW3LKQy8DUkhYdAJAJP2xfnhPTYmcAxerjm815vYKB5qqL1

cleos wallet open

cleos wallet unlock --password=

cleos -u http://52.199.182.25:8888 push action codecontract transfer '{"from":"codeauth1111","to":"codecontract","quantity":"1.0000 EOS","memo":"test auth"}' -p codecontract@active

一个没有经过完整的测试,带着 BUG 上线的产品,就如同埋了一颗定时炸弹随时都可能引爆。

「权限」这种常识性的错误都犯了。整型溢出、循环、重入等这些常见的智能合约错误更是大概率存在。

毕竟 EOS 版 Fomo3D 没开源代码,其中是否有什么问题我们也看不到。

就在我们担忧资金是否安全的时候,游戏今天就出事儿了。

EOS 版 Fomo3D 今天真的被整形溢出攻击了。

智能合约内部数据已经损坏,游戏看来也差不多 GG了。

如果是传统数据库,叫运维改个数据就完事儿了。在区块链上,想改数据可不是那么简单的。

现在资金池里边的 EOS 已经变成了负数。

这个时候姗姗来迟的官方也赶紧发布公告来稳住用户。

官方已经做好了修复方案。

所谓的修复方案。只能通过写一个临时的合约方法,更新合约,然后再调用这个新写的合约方法,去修复损坏的数据。

这是在侮辱智能合约和区块链吗?

这种操作不仅风险很大,而且完全违背了去中心化!

不过事到如今他们也没有办法,只能走一步看一步了。「假装啥也没有发生」

大家都只看到了以太坊上 Fomo3D 这个资金盘瞬间引爆,三天吸金63240000元,却忘了它是经过了整整一年的测试才正式推出。

而反观其他山寨 Fomo3D 的资金盘,为了抢占吸金的时机,不经过任何测试优化就直接上线。

都在割韭菜,但是拜托吃相好看点好不好?

小编在此也告诫各位用户,尽量远离这些资金盘。如果真的想赚钱,盯着别人利息的时候,记得看好自己的本金。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180725G1RAIC00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券