资深韭菜 | Web3 摸索者 | 猪脚饭爱好者| Think More, Learn More. 对我而言,这个世界仍是一团迷雾。 twitter:https://twitter.com/0xcoolberwin
 chaos_labs 官方报告](https://img.paragraph.com/cdn-cgi/image/format=auto,width=3840,quality=85/https://storage.googleapis.com/papyrus_images/8cb3ff361f9ba9d4c399bbb858a73dd04c1c3b146148ed12df68ce2cfab0c21d.png)
[深度解析L0 女巫报告专题](一) chaos_labs 官方报告
针对近期沸沸扬扬的L0女巫识别,berwin从众多的女巫报告中,筛选出有意义,有逻辑的报告,进行深度解析,希望对大家有帮助。 本人推特 @0xcoolberwin (大号被封,小号苟延残喘中), 前大厂安全研究员,菜鸟数据分析。 这是我女巫报告深度解析专题的第一篇,接下来持续更新…官方合作的chaos_labs 报告看了下 和 LayerZero_Labs 进行官方合作的 chaos_labs 创始人omer 发布的猎巫方法,感觉有些参考价值: 报告只针对evm系链上的地址行为, aptos分析会未来分析 总用户 482w 得到女巫地址接近 70w 占比高达 14.5%基础数据来源@layerzero_labs 和 @nansen_ai 两部分步骤1 检测资金来源重点关心CEX/DEX和跨链桥,超过50%汇入资金来源于此关注每个地址转入的第一笔交易Token追踪 L0地址 24 小时内的资金发送,并对已知实体进行分组步骤2 初始化实体24小时之内 相同来源资金归集的地址作为一个实体,并划分实体的树状结构, 确定同一天由CEX/DEX或跨链桥 转入的地址图片来源于 @omerago...
[深度解析L0 女巫报告专题](一) chaos_labs 官方报告
针对近期沸沸扬扬的L0女巫识别,berwin从众多的女巫报告中,筛选出有意义,有逻辑的报告,进行深度解析,希望对大家有帮助。 本人推特 @0xcoolberwin (大号被封,小号苟延残喘中), 前大厂安全研究员,菜鸟数据分析。 这是我女巫报告深度解析专题的第一篇,接下来持续更新…官方合作的chaos_labs 报告看了下 和 LayerZero_Labs 进行官方合作的 chaos_labs 创始人omer 发布的猎巫方法,感觉有些参考价值: 报告只针对evm系链上的地址行为, aptos分析会未来分析 总用户 482w 得到女巫地址接近 70w 占比高达 14.5%基础数据来源@layerzero_labs 和 @nansen_ai 两部分步骤1 检测资金来源重点关心CEX/DEX和跨链桥,超过50%汇入资金来源于此关注每个地址转入的第一笔交易Token追踪 L0地址 24 小时内的资金发送,并对已知实体进行分组步骤2 初始化实体24小时之内 相同来源资金归集的地址作为一个实体,并划分实体的树状结构, 确定同一天由CEX/DEX或跨链桥 转入的地址图片来源于 @omerago...
复盘aishiba发币漏洞——项目方的低级bug,科学家的又一次狂欢
AIshiba作为arb上一个比较早期的土狗NFT,毫不夸张的说引燃了arb上的NFT潮流。floor price曾一度最高达到0.04e,但是现在已经跌倒了0.004e(大概8刀)。这就是妥妥的土狗项目,官网做的也是极其简陋,连白皮书都没有,只有路线图。但是没办法,赶上了风口,猪都能飞上天,赶上arb的aidog热度。 并且在今天凌晨进行nft空投发币,空投规则是按照快照时的地址NFT个数计算,即NFT拥有数量越多,空投claim的代币越多,nft空投上限10个,超过按照10个计算。 谁知道发币出现bug,导致科学家发现漏洞,单号直接mint最大量的token 17700000000000 * 10 ** 6 。最高点卖出大概1e+。 代币k线核心原因是项目方利用Merkle Tree发放 空投token,但是本应该在后台的保存了全量地址被项目方放在了前端,并且未做任何混淆代码的保护处理。导致proof被轻易计算得到。(了解原理可参阅文末参考文献) 只需要在官网按 F12 整个代码一览无余:merkleProof.js const { WHITELIST_ADDRESS } =...
复盘aishiba发币漏洞——项目方的低级bug,科学家的又一次狂欢
AIshiba作为arb上一个比较早期的土狗NFT,毫不夸张的说引燃了arb上的NFT潮流。floor price曾一度最高达到0.04e,但是现在已经跌倒了0.004e(大概8刀)。这就是妥妥的土狗项目,官网做的也是极其简陋,连白皮书都没有,只有路线图。但是没办法,赶上了风口,猪都能飞上天,赶上arb的aidog热度。 并且在今天凌晨进行nft空投发币,空投规则是按照快照时的地址NFT个数计算,即NFT拥有数量越多,空投claim的代币越多,nft空投上限10个,超过按照10个计算。 谁知道发币出现bug,导致科学家发现漏洞,单号直接mint最大量的token 17700000000000 * 10 ** 6 。最高点卖出大概1e+。 代币k线核心原因是项目方利用Merkle Tree发放 空投token,但是本应该在后台的保存了全量地址被项目方放在了前端,并且未做任何混淆代码的保护处理。导致proof被轻易计算得到。(了解原理可参阅文末参考文献) 只需要在官网按 F12 整个代码一览无余:merkleProof.js const { WHITELIST_ADDRESS } =...
关于Arbitrum 空投反女巫规则,虽不算漏洞,但远未及格——对X-explore分析报告的再分析
Arbitrum于上周四宣布空投计划,各种社交媒体又一次迎来高潮,此次空投涉及到的地址之广,价值之高,可以说是近年之最,有人一波自由,有人懊悔不已,又一次激发了撸毛党的热情。 然而昨天下午,X-explore和吴说区块链共同发表了一篇针对Arbitrum空投分析的文章,指出空投规则存在巨大漏洞,引得web3媒体纷纷转发扩散。作为一个Arbitrum空投数量为0的旁观者,我好奇到底Arbitrum的反女巫规则到底有多大的漏洞,但当我打开报告阅读后,发现文章所表达的并没有新闻标题那么夸大,不至于是漏洞,本人更倾向于项目方并没有对女巫规则深入研究,从开始算法选型到策略构建再到结果分析,未展现出其作为L2龙头的实力。 X-explore对Arbitrum 空投高级分析链接 👇🏻👇🏻👇🏻 https://mirror.xyz/x-explore.eth/AFroG11e24I6S1oDvTitNdQSDh8lN5bz9VZAink8lZ4 文章总结下来五点:空投账号中不仅有EOA账户,还包括合约账户对小规模团伙(地址数量< 20)无任何识别操作在检测女巫地址时排除了跨链桥、中心...
关于Arbitrum 空投反女巫规则,虽不算漏洞,但远未及格——对X-explore分析报告的再分析
Arbitrum于上周四宣布空投计划,各种社交媒体又一次迎来高潮,此次空投涉及到的地址之广,价值之高,可以说是近年之最,有人一波自由,有人懊悔不已,又一次激发了撸毛党的热情。 然而昨天下午,X-explore和吴说区块链共同发表了一篇针对Arbitrum空投分析的文章,指出空投规则存在巨大漏洞,引得web3媒体纷纷转发扩散。作为一个Arbitrum空投数量为0的旁观者,我好奇到底Arbitrum的反女巫规则到底有多大的漏洞,但当我打开报告阅读后,发现文章所表达的并没有新闻标题那么夸大,不至于是漏洞,本人更倾向于项目方并没有对女巫规则深入研究,从开始算法选型到策略构建再到结果分析,未展现出其作为L2龙头的实力。 X-explore对Arbitrum 空投高级分析链接 👇🏻👇🏻👇🏻 https://mirror.xyz/x-explore.eth/AFroG11e24I6S1oDvTitNdQSDh8lN5bz9VZAink8lZ4 文章总结下来五点:空投账号中不仅有EOA账户,还包括合约账户对小规模团伙(地址数量< 20)无任何识别操作在检测女巫地址时排除了跨链桥、中心...
GhatGPT的AI版Bing搜索申请攻略
上周二,微软推出了整合 ChatGPT-4 的全新必应(Bing)搜索引擎,并且48小时内 申请用户就已经达到百万。1、无法申请很多国内用户想去尝尝鲜,但是打开申请网址(https://www.bing.com/new) 下方链接地址 https://www.bing.com/new 发现会被重定向到(cn.bing.com),下图所示无法申请搞得大家非常郁闷,于是在测试过后我通过一下的方法找到了解决的办法。2、下载HeaderEditor插件浏览器扩展 HeaderEditor,可以通过修改请求头来实现避免 Bing 跳转到国内版。有能力科学上网的各位可以直接从官方商店进行拓展下载: Firefox插件下载 Microsoft Edge插件下载 Chrome 插件下载无法科学上网的可以访问: 离线谷歌插件下载 搜索 eningockdidmgiojffjmkdblpjocbhgh 手动下载或者直接访问 headerEditorzip文件 下载 下载后,打开chrome(edge和firefox同理)将解压后的headerEditor拖入即可3、利用HeaderEditor修改请...
GhatGPT的AI版Bing搜索申请攻略
上周二,微软推出了整合 ChatGPT-4 的全新必应(Bing)搜索引擎,并且48小时内 申请用户就已经达到百万。1、无法申请很多国内用户想去尝尝鲜,但是打开申请网址(https://www.bing.com/new) 下方链接地址 https://www.bing.com/new 发现会被重定向到(cn.bing.com),下图所示无法申请搞得大家非常郁闷,于是在测试过后我通过一下的方法找到了解决的办法。2、下载HeaderEditor插件浏览器扩展 HeaderEditor,可以通过修改请求头来实现避免 Bing 跳转到国内版。有能力科学上网的各位可以直接从官方商店进行拓展下载: Firefox插件下载 Microsoft Edge插件下载 Chrome 插件下载无法科学上网的可以访问: 离线谷歌插件下载 搜索 eningockdidmgiojffjmkdblpjocbhgh 手动下载或者直接访问 headerEditorzip文件 下载 下载后,打开chrome(edge和firefox同理)将解压后的headerEditor拖入即可3、利用HeaderEditor修改请...
Gitcoin女巫检测方案Top1解读及思考
GITCOIN在两个月前举办了 OpenData 社区黑客马拉松!其中公布了三个重点领域,分别是: 女巫检测、捐款激励措施优化分析、Dune高效分析,其结果也于近日公布。 相信大家最关心的应该是女巫问题,因为今年在OP和APT的刺激下,出现了人人羡慕撸毛党,人人皆是撸毛党的盛况。 今天对女巫检测的第一名开源方案结合自身理解,进行技术向的解读,并在文末给出自己对于女巫检测的一些个人思考。相信看完这篇文章,无论是项目方还是交互者都能有所收获。 注:本文不代表官方观点,仅为个人兴趣解读。 剧透,本文较长,涉及很多技术分析,没耐心的可以直接跳转文末浏览本文总结与个人思考。由于出题者是gitcoin,其主要交互场景为捐赠。但内在逻辑在其他的场景下同样适用(transfer、mint等动作),以下将与项目方进行交互的操作统称为项目交互。方案一:批量转移和交互女巫攻击本质上是用户将资金分散到多个地址,操纵这些地址与项目方合约进行交互的过程。 那么在这个过程中则可以将整个过程拆分两个部分,分别是 批量资金转移和合约批量交互。1.1 批量转账检测选择数据批量转账最简单的就是通过智能合约的方式进行,...
Gitcoin女巫检测方案Top1解读及思考
GITCOIN在两个月前举办了 OpenData 社区黑客马拉松!其中公布了三个重点领域,分别是: 女巫检测、捐款激励措施优化分析、Dune高效分析,其结果也于近日公布。 相信大家最关心的应该是女巫问题,因为今年在OP和APT的刺激下,出现了人人羡慕撸毛党,人人皆是撸毛党的盛况。 今天对女巫检测的第一名开源方案结合自身理解,进行技术向的解读,并在文末给出自己对于女巫检测的一些个人思考。相信看完这篇文章,无论是项目方还是交互者都能有所收获。 注:本文不代表官方观点,仅为个人兴趣解读。 剧透,本文较长,涉及很多技术分析,没耐心的可以直接跳转文末浏览本文总结与个人思考。由于出题者是gitcoin,其主要交互场景为捐赠。但内在逻辑在其他的场景下同样适用(transfer、mint等动作),以下将与项目方进行交互的操作统称为项目交互。方案一:批量转移和交互女巫攻击本质上是用户将资金分散到多个地址,操纵这些地址与项目方合约进行交互的过程。 那么在这个过程中则可以将整个过程拆分两个部分,分别是 批量资金转移和合约批量交互。1.1 批量转账检测选择数据批量转账最简单的就是通过智能合约的方式进行,...
