2018-10-21 00:00:00
热度: 14226
文/零界
赌,是人类天性。
据不完全统计,2016年全球博彩业总交易额为4500亿美金,2017年则达到了惊人的5000亿美金。在世界杯推动下,2018年博彩行业营收可能会更高。
这种天性,也蔓延到新生的区块链领域。Fomo3D、Dice2win、333ETH等,博彩类Dapp成为目前各个惨淡公链中为数不多的亮点。
参与者往往以为,区块链上的博彩公开透明,去中心化,没有庄家操控,让游戏更加安全有秩序。
然而事实真的如此吗?看似透明公正背后还深藏哪些陷阱?博彩类Dapp给区块链带来的虚幻繁荣还能存在多久?
1 火爆的区块链“博彩”
“目前来看,区块链第一应用就是赌博,其他应用,暂时目测还火不起来。”
锦宏是区块链Dapp资深开发者,他一边演示最近开发的博彩游戏的Demo,一边向31QU介绍着目前区块链应用方面的现状。
打开区块链Dapp活跃度检测排行榜,高居榜首的往往是博彩类区块链应用。这验证了锦宏的说法 。
EOS公链Dapp用户活跃前十的应用(红色部分代表博彩类游戏)
以最新数据为例,以太坊公链上最活跃的应用是333ETH这款游戏,目前日活跃人数为3000左右,占以太坊应用活跃榜前十用户总数的25%,游戏资金池沉淀将近4680个以太坊,价值650万人民币。
333ETH资金池沉淀4680个以太坊
据以往数据显示,333ETH日玩家人数从个位数增长到3000,只用1个月左右时间。要知道,基于比特股的全球第一大去中心化交易所,经过4年发展,日交易人数也不过2000左右。
333ETH如此快速的发展速度,究竟有什么吸引力?这就需要对该游戏的奖励模式加以说明。
蓝线代表333ETH用户增加情况
进入该游戏官网,31QU发现,这款游戏最大特点是:投资日收益率为3.33%。按照复利计算,这款游戏月收益可达267%。这就意味着,月初你投入10个以太坊,月底就会变成26.7个。
参与游戏的方式更是“方便快捷”,投资者只需要将以太坊转入游戏给出的地址,就可以持续不断地获得游戏分配的收益。
333ETH只不过是众多这类游戏中的一个。
“这类游戏开发起来很简单,基本上就是开发投注功能,外加智能合约就可以了”,锦宏在介绍这类游戏的过程中,指着Mac屏幕上的333ETH说道,“智能合约都是标准的,再稍加开发,就能适配这类游戏。”
较低的开发门槛,人们较高的博彩热情,直接导致这类博彩游戏快速发展。
据最新数据统计,以太坊前二十热门应用中,与333ETH相类似的博彩类游戏就多达8个,沉淀以太坊数量多达17900个,价值2500万人民币。虽然这些资金数量相对于整个币圈来说不算多,但是这8个游戏的日活跃参与人数,达到6000左右。而目前全球知名头部交易所,日活跃人数也不过这个数字。
EOS公链上也能找到相似情况。EOS公链活跃度前十的Dapp中,一半是博彩类区块链应用,目前活跃用户7000左右。
“火爆,并不代表安全,尤其是智能合约的安全性更是需要‘打问号’”,对这类游戏有过系统性研究的锦宏,提出了自己对智能合约安全性方面的质疑。
2 “难以避免”的智能合约漏洞
“智能合约是这类博彩游戏的灵魂,任何漏洞都有可能让资金池中的资金被席卷一空。”谈到智能合约漏洞的危害,锦宏这样说道。
但是这类博彩类游戏的智能合约,偏偏存在“不少”问题。
“智能合约中存在庞式骗局和支付实施问题,这个项目可能会出错。”9月16日,著名的Dapp排行网站 StateOfTheDApps 就对333ETF贴上了庞氏骗局的标签,同时还对智能合约安全性做出提醒。庞氏骗局就意味着,这是一款后来者接盘的资金盘类游戏,当后入资金不足以支付之前投资者的收益时,将会面临崩盘威胁。
而 StateOfTheDApps 所提到的“智能合约”安全性问题,可能是更为严重的问题。
“Fomo3D 第一轮大奖实际上就是有人向以太坊发起大量攻击交易,导致以太坊阻塞时间长达2分钟,最终赢所有奖励。”谈到Fomo3D智能合约被利用的过程,锦宏这样说道,“攻击者其实是利用了游戏合约自动判断游戏进行状态,通过发送高额手续费的交易,让正常投注的玩家无法交易,最终自己赢得大奖。”
Fomo3D第三轮游戏,目前资金池沉淀了16个以太坊
苍蝇不叮无缝的蛋。
Fomo3D的漏洞实际上是这类游戏自带漏洞所导致。会不会存在其它类型的攻击呢?
“当然存在,对于目前这类博彩类游戏的智能合约,‘随机数’选择十分重要。”锦宏在分析智能合约被攻破的方式时,向31QU强调了随机数的重要性。
在进行游戏结果判定时,需要判定到底谁赢得比赛。随机数的作用就是“裁判”,判定大奖到底归谁。比如,用1和0代表结果,用随机数算出来比赛结果是1还是0,如果他们各有50%的出现概率,就代表比赛参与者各有50%的可能性赢得比赛。
随机数参考的因素非常多,由于智能合约本身是自动执行的,它需要参考的随机数,对公信力要求特别高。
“但是,前博彩类游戏智能合约所参考的随机数比较局限,例如随机数可能是某个哈希值运算最后一位数,这是可能被猜出来,暂时无法实现真正的随机。”锦宏告诉31QU。
因此,博彩类游戏的智能合约,并没有想象的那么安全。
以太坊诞生以来,由于智能合约便捷的发币功能,让整个行业看到了区块链应用前景,Dapp开发也如火如荼进行着。但是随之而来的安全问题,也让整个行业面临巨大的损失。
2017年11月份,由于以太坊合约漏洞,导致以太坊钱包Parity中价值1.6亿美元的以太坊被冻结。而智能合约漏洞导致的安全事件并不只一件。今年4月份,由于合约“溢出漏洞”,导致SMT代币价格大跌。同样的原因,导致BEC代币价格几乎归零。
目前BEC代币价格,从最高点跌去95%
在区块链技术还不成熟的今天,智能合约自身漏洞给资金安全带来了巨大威胁。如果无脑参与这类游戏,最终很有可能会面临资金归零的结局。
任何一款应用必定是玩家与运营者双方共同参与的。而这类游戏的运营者也能通过各种不为人知的手段,从这类游戏中获取惊人利润。
3 开发者的“后门”
技术上的公开透明,给了区块链从业者无限的遐想。但是,如果你认为公开透明能解决一切问题,就未免太过天真。
“游戏开发者实际上是可能留有后门的,”锦宏告诉31QU,“但是这样,会被人验证开源代码的哈希值,专业人士是有可能发现这种‘猫腻’的,所以开发者一般不会这么做。”
既然项目方一般不会“卷包会”,他们有其他方法血洗投人的口袋吗?
“这类资金盘的项目方可以通过发空气币,卖给投资者。像1CO一样,项目方得到现金,投资者得到的是一串虚拟数字。”锦宏向31QU透露了这类项目新的“割韭菜”模式。
正如锦宏所言,一款基于EOS开发的博彩类Dapp MyEosVegas,所采用的的投注方式就是“玩家使用EOS代币与项目方发行的代币MEV替换”,然后再进行博彩。
除了在智能合约中“埋雷”,发行代币“血洗”玩家,开发者其实还有个“杀手锏式”的方法,让你的钱乖乖进入他的口袋,那就是开发“庞氏骗局”智能合约。
常见的是一种“庞氏骗局合约”,该合约是这样设定的:如果你向某合约投资一笔以太坊,它就会以高回报率回赠你更多的以太币,高回报的背后是从后续投资者那里源源不断地吸取资金以反馈给前面的投资者(本文开头详细介绍的333ETH就是属于这类游戏)。
那么开发者是如何通过这种合约“赚钱”呢?
我们来介绍一个典型的庞氏合约ETHX。该合约可以看成虚拟币交易所,但是交易所里只有交易ETH和ETHX (ERC20 Token),每次交易,都有5%的token分配给整个平台的已有的token持有者,因此token持有者在持币期间,将会直接赚取新购买者和旧抛售者的手续费。
庞氏骗局智能合约ETHX( 0x1c98eea5fe5e15d77feeabc0dfcfad32314fd481)的部分代码
但是,眼睛不要只盯着5%利润。这个合约实际上存在严重的“溢出漏洞”问题,该漏洞允许攻击者使用两个已知账户,对合约进行反复攻击,最终凭空制造出大量的代币。攻击者再用这些代币与ETH进行交换,投资者的资金被反复“蹂躏”。
看了这么多“坑”,还敢将自己的真金白银投入这些区块链博彩游戏吗?
-----------
在这样一个缺乏监管,不确定性极高的市场上,风险无处不在。
当你觉得这类博彩类游戏公平透明、回报率高时,说不定开发者已经在智能合约中埋下了“隐形地雷”。当你觉得自己即将美梦成真,实现梦寐以求的“财富自由”的美梦时,说不定游戏背后的“黑手”已经准备对你的财富下手。
“把他们当做纯粹的游戏,别去赌,说不定还能发现一丁点乐趣。”作为博彩类游戏一线开发者,锦宏给出了这样的意见。
截止发文,333ETH这款游戏已经被DappRadar从搜索列表剔除,但是官网依然可以打开,31QU特别对此做出风险提示。
文章声明:本文为火星财经专栏作者作品,不代表火星财经观点,版权归作者所有,如需转载,请提前联系作者或注明出处。