Last Winner游戏“过不去”的黑客：智能合约史上最大规模攻击事件回顾

智能合约漏洞不断被挖掘、披露和扩散的同时，一些人在利用漏洞零散获益，另一些人在精心筹谋部署系统化、工程化的谋利。心有多大，舞台就有多大，于是他们成功演出智能合约史上最大规模的黑客攻击，震慑众人。

史上最大规模智能合约攻击“花落”Last Winner

8月17日，据安比（SECBIT）& AnChain.ai联合实验室发布消息称，BAPT-LW20黑客团伙发动史上最大规模攻击，利用Last Winner区块链游戏的空投漏洞，累计获利超13,000个ETH，价值约2600万人民币。

据悉，该黑客团队控制了5个地址，通过自动脚本，在不到一周的时间内，持续对Last Winner发动累计超过5万次攻击，不仅从游戏空投奖金池中获利5,194个ETH，更成功抢夺第一轮游戏的最后大奖7754.7ETH。

小葱注：BAPT-LW20 团队是由AnChain.ai 团队和安比（SECBIT）实验室命名，全称为Blockchain APT – Last Winner。

Last Winner：传销加持、闪电吸金、席卷以太坊网络的类FOMO3D游戏

Last Winner （以下简称 LW）是一款基于以太坊智能合约的 DApp 游戏，8 月 6 日凌晨上线，游戏合约地址为 0xDd9fd6b6F8f7ea932997992bbE67EabB3e316f3C，是一款类FOMO3D的区块链游戏，继承了FOMO3D的玩法，并有被广为传颂（传销）的多项“甜头”：

诱人的推广（拉下线）奖励；

FOMO3D中国区首款APP，简化了操作，降低了参与门槛；

相比原版FOMO3D，LW修改了空投游戏参数，使得空投奖励提高了10倍；

内置以太坊钱包基础功能，解决了大部分用户无法安装浏览器钱包插件问题；

游戏界面更美观，体验更流畅，玩法更刺激......

LW一经推出，就有大量资金涌入和玩家入场，短短几天就席卷了整个以太坊网络，8 月 8 日- 9 日，在LW 和 FOMO3D 超海量交易的共同作用下，以太坊未确认交易数创年内新高，平均 Gas 费用一度飙升至正常水平的10 倍以上。

来源：安比实验室

国人专属、传销加持

LW游戏传播速度极快，大小微信群和朋友圈皆被刷屏，且各大论坛、媒体、微信群内，皆可见到内容如出一辙、铺天盖地、传销味浓重的推广软文（如下图），不过英文资料极少，LW游戏似乎转为国人打造。

据区块律动调查发现，负责Last Winner推广运营的正是资金盘传销组织蚁群传播IAC/ADC，而该组织有广阔的人脉网和极强的推广（拉下线）能力，在LW游戏开始时就已经积攒了 2 万人参与注册，LW游戏开始 3 天之后就进行了超过 22 万次的交易量。

来源：区块律动

原版FOMO3D的开发团队也表示，LW背后的运营团队准备了 20 万 ETH 来进行自动刷量交易。因此，该游戏可能是一场精心布局的传销游戏，初期利用机器人发起批量交易，伪造游戏活跃假象，吸引不明所以的新用户入场。

闭源设计、疑点重重

此外，安全公司也一早就注意到LW的诸多安全疑点并发出告警。

8月7日，第三方大数据评级机构RatingToken安全审计团队公布，LW智能合约安全检测得分为2.90（满分5分），存在12个安全风险，合约安全系数较低。

据小葱APP 8月8日讯，安全公司PeckShield捕获到LW游戏合约地址的持续高频交易导致以太坊网络拥堵，并指出该游戏的代码尚未开源，存较大风险；

此外，安比实验室则更是先后在多篇分析文章中对LW提出诸多质疑：

未公开源代码，有违智能合约游戏或DApp公开透明的基本特点；

疑似直接拷贝了 FOMO3D 的源码，但新增了 10 余个可疑未知函数；

游戏合约存在大量非正常交易，且伴随着大量合约的创建与自毁，与正常人类调用行为特征偏离很大；

类FOMO3D游戏漏洞一脉相传：LW遭攻击实非偶然

7月6日，FOMO3D游戏合约上线，并迅速走红。7月23日，Reddit上有用户爆料 FOMO3D 存在空投漏洞，一天后，安比实验室和派盾（PeckShield）科技也分别发出预警：FOMO3D 游戏及所有抄袭源码的山寨合约皆存在随机数漏洞可被利用；原本设计上随机性较大的空投游戏可通过特殊手段操纵，极大提高中奖概率。

不过，在市场有所警觉前，黑客早有行动。经安比实验室事后调查，早在FOMO3D上线后的2天（7月8日），BAPT-LW10团队就最先成功利用原版 FOMO3D空投漏洞并获取奖励，几次调优后的攻击合约最高回报率可达90%，并先后攻击过原版FOMO3D、Last Winner 以及其他山寨版 FOMO3D游戏。

小葱注：BAPT-LW10团队由安比实验室命名，据安比调查，该团队的攻击合约地址正是热门游戏 Zethr 的八位核心开发者之一，代号“ Etherguy”。且安比实验室认为，从调用规模上看，Etherguy (BAPT-LW10) 主要还是出于游戏同行研究目的，并无太多获利。

可见，类FOMO3D游戏的安全短板早已暴露。而据安比实验室研究员p0n1称“LW游戏空投奖励代码与 FOMO3D 的相似度达 91%，极可能存在同样漏洞，频繁活跃的黑客不可能没注意到这一点”。

一脉相承的漏洞，丰硕的营销成果，出众的吸金能力，高额的空投奖励…...种种“过人事迹”都为后续LW游戏引来黑客攻击买下伏笔。

LW游戏最大赢家养成：不怪漏洞不够新，只怪黑客太认真

来源：安比实验室公众号

根据ANCHAIN.AI的区块链态势感知系统监测数据，安比实验室发现多个地址缠绕在LW游戏合约四周，且这些地址皆存在诸多类似而可疑的行为模式，当即预判黑客极可能是通过这些不明合约成功攫取LW内的以太币，于是展开了追踪。调查发现，BAPT-LW20 团队是通过创建智能合约对LW游戏合约进行攻击。 具体实施方案大致是 ：

「先创建一个攻击合约，然后调用特定函数创建1000个新的代理合约，控制几个特定地址不断调用攻击合约，攻击合约再调用之前创建好的“符合某些条件的”代理合约，从而创建出新的子合约，并以子合约的身份参与 LW 游戏，购买游戏道具，进而获取空投奖励。」

该方案成功的关键，是要保证子合约满足空投条件且一定能够获利，而BAPT-LW20 团队通过疯狂创建代理合约达成了这一目的。受其控制的1000个代理合约地址被循环用于推算各个地址下一次新建的合约地址，而推演出的新地址正是空投游戏中奖数字的随机源，在筛选出符合条件的代理合约后再创建出新的子合约，然后发动攻击，如此可极大增加中奖概率。

据安比实验室透露，BAPT-LW20 团队对LW游戏发出的攻击交易几乎必定会获得空投奖励，回报率在12.5%至400%不等，意思是，黑客在攻击交易中投入0.1个ETH，即可换回0.125个-0.5个ETH不等。

其中，获利最大的是以0x820d地址为首的团队，该团队在短短6天时间内，共发送近5万笔交易，攫取 5194 个 Ether，获利价值将近 1200 万人民币。当然，达成上述功效的“作案手法”经历了多次实验、改进与优化。

小试牛刀：原版FOMO3D游戏充当“小白鼠”

0x820d地址可视作BAPT-LW20 团队的“领头羊”，它是所有攻击合约的部署者，在攻击LW游戏前，多次对原版FOMO3D及其他山寨游戏发起进攻，并对攻击方案进行调优。

0x820d地址最早活跃于7月20日，表现为收到来自 0x73B6地址转入的10个ETH，且0x820d随即部署了第一个合约，但兴许是未达预期，该合约未投入使用；

3分钟后，0x820d 部署了第二个合约，并对FOMO3D展开攻击，其间经历了一组准备工作设置、若干次失败的合约调用以及2次调用成功但零收益的尝试；此后的14个小时内，0x820d又相继部署了8 个合约试图优化并进行攻击测试，都以失败告终；

直到部署了合约 0xBad7，黑客才首次顺利完成攻击，以 0.1 ETH 的投入换回0.125ETH，7月21日-23 日三天内，该合约累计被调用11,551 次，可算小有所成。

7月23-24日两天内，0x820d部署了两个新的攻击合约，分别对FOMO3D山寨版游戏老鼠会 RatScam和一个名为 FOMOGame的山寨游戏发动了攻击，前者发动了2,299 次攻击，后者仅调用126次就停止了。

7月25-27日三天内，0x820d 又前后部署了 10 个新合约进行优化与攻击测试。并于7月26日上线新版攻击合约（0x5483），该合约实现了受攻击合约地址的可配置，因此 0x820d 在接下来的几天中，持续混合攻击 FOMO3D 原版、RatScam、FOMOGame 等游戏，累计发生23,835 笔交易，与此同时，攻击团队继续部署若干个新合约进行调优测试。

BAPT-LW20 团队在7月底对原版FOMO3D，RatScam以及FOMOGame展开的这一波混合攻击一方面进行了不同程度的攫利尝试，另一方面，也为其后续展开更大规模的攻击进行了充分演练。

训练有素：集中火力攻击LW游戏

8月6日，Last Winner 游戏上线。第二天，0x820d 团队就拿出“训练”已久的攻击合约（0x5483）发动攻击，在8月7日-11日四天内都集中火力持续利用LW的空投漏洞进攻。并在8月10日，0x820d 调用该攻击合约（0x5483）的withdraw接口，提走ETH余额，暂停了该合约的攻击。

与此同时，0x820d 团队又部署了新版攻击合约0x9C10，发起超过 30,000 笔交易，持续进行攻击。

据AnChain.ai 提供的BAPT-LW20团队攻击合约每小时攫取 ETH 数据，8月7号开始发起对LW的攻击，8 月 11 日左右停止。短短4天内，该合约平均攫取近100 ETH/小时，约22万人民币。

来源：安比实验室

伺机而动：终极大奖收入囊中

除空投奖励外，BAPT-LW20 团队还未放过LW的终极大奖。一边利用攻击合约获取空投奖励，一边监控LW游戏状态，并直接使用自身地址购买道具参与游戏，多次尝试夺取最终大奖。

8 月 17 日上午，LW游戏第一轮结束，终极大奖由BAPT-LW20 团队控制的五个地址之一（0x5167）获得， 奖金总额达7,754 以太币 。

来源：安比实验室

提走大奖之后，该团队又继续调用合约攻击 LW 游戏（如下图所示）。

来源：安比实验室

此外，从BAPT-LW20团队在LW游戏中的交易量占比和攫取到的ETH占比也可看出，其发送的交易量仅占总交易量的9.877%，却攫取了LW奖金池中49%的奖金，可以说 在获奖概率上吊打LW游戏的其他普通玩家。

来源：安比实验室

区块链安全界大底都会记住Last Winner这款游戏，不因其比FOM3D更有人气，而因其在随机性与公平性上遭受的巨大讽刺与精巧算计。

追击者的回首：斗智斗勇、紧张刺激

BAPT-LW20团队的攻击方案由安比实验室与AnChain.ai 团队率先合力揭发，并于8月17日发布《Last Winner 的最后赢家—智能合约超大规模黑客攻击手法曝光》长文，详细阐述了事件分析经过。

谈到 对本次智能合约攻击事件的评价 ，安比实验室创始人郭宇认为，短时间内完成获益如此巨大的攻击，主要在于BAPT-LW20团队 攻击方案的精巧设计和把控 ，体现在多个方面：

工程化水平高：从技术上看，黑客部署的攻击合约有极高的工程化水平，可多人调用，可协作攻击，能较好地分散权限与资金，同时降低出问题或暴露风险；

成功率可控：利用预先创建的代理合约提前推演和筛选符合空投奖励的合约，然后实施攻击，极大提高了攻击成功概率，减少无效攻击；

攻击目标可配：攻击目标对象可以作为参数传入，因此一早创建的攻击合约成为可复用的通用型武器，为其在 LW 游戏上线前进行攻击合约的调试优化创造了可能。

攻击成本可控：由于攻击目标可配，转换攻击目标的成本低廉；且攻击合约的Gas优化做到了极致，无论是创建代理合约、发起攻击、提前预判，交易Gas消耗都十分小，攻击成本低。

攻击时间精准：攻击时机的把握与攻击目标的选择，是该团队获如此高额收益的一大关键，由于事先训练好了攻击合约，在LW上线奖励池累积资金最旺时，集中火力发动持续攻击。

越精巧的攻击设计，追击还原越复杂和辛苦。根据安比实验室向小葱描述的整个追击过程，他们主要从 四个策略 上进行了分工协作。

「策略一」行为模式特点总结：行径可疑。

结合AnChain.ai 公司提供的态势感知数据，安比实验室首先对围绕在LW游戏合约附近的“常客”地址进行了分析，发现存在大量如出一撤的行为模式：1）持续往某合约地址上发起交易，并附带 0.1 个以太币；2）不少交易状态为失败；3）成功的交易皆涉及大量“内部交易”；4）“内部交易”调用逻辑十分复杂，并伴随大量合约的创建和自毁。

「策略二」可疑地址深度追踪：攫利明显。

鉴于前期发现大量交易，安比实验室迅速锁定几个关键地址，并进行深度追踪，分析其交易类型及交易流程，发现存在大量类似交易，且交易最终皆可获得超高回报率。

「策略三」合约部署历史回溯：攻击手法析出。

在大量高额回报的攻击交易中，锁定攻击合约的主要部署者，追踪其创建合约历史，分析各版本攻击合约调用情况，以及各版本的优化项。

「策略四」攻击合约动态监测：掌握新动向。

实时监测已锁定的可疑合约地址的动态进展，捕捉到BAPT-LW20团队拿走了LW游戏的终极大奖，并且部署了新的攻击合约，开始攻击一个新游戏。

安比实验室研究员p0n1在回顾本次LW游戏攻击事件分析过程时坦言：“整个过程既紧张又兴奋，一方面很钦佩这批黑客的智力、毅力以及信息收集能力，但另一方面也对愈演愈烈的智能合约安全态势表示忧虑， 原本类似的安全事件很多都可以避免的 。”

他向小葱表示，目前各山寨游戏项目方，一味在游戏运营上发力，严重缺乏智能合约安全意识。在FOMO3D的空投漏洞被多次报道之后，依旧原封不动抄袭源码，而未做任何安全改进，给黑客留下肆意掠夺游戏资产的机会。虽说游戏资产名义上不属于任何人，但游戏项目方的表现是对普通玩家不负责任。目前国内大多游戏参与者对此类空投漏洞知之甚少或漠不关心，面对黑客影响游戏规则毫无还击之力，只能坐以待毙。

小葱小结

哪里有财富，哪里就有觊觎财富的匪徒 。 在继各大中心化交易所攻击之后，黑客又寻到了侵夺数字货币财富更好的方式，把区块链游戏的薅羊毛发挥到极致。

区块链游戏的资金募集由智能合约完成而非中心化机构操控，交易数据上链可追溯且造假困难，相比于互联网时代的庞氏骗局，诸多玩家因看重该类游戏的公平性、透明性以及表面的高收益而放心下注，却往往忽略了一点，智能合约安全性始终是悬在区块链游戏上方的达摩克利斯之剑， 黑客从未放弃伺机攫利 ，他们 随时可能掀起一场攻击风浪，将区块链游戏那点“先天技术优势”抹杀得荡然无存 。

攻击者伸进各类区块链游戏的“魔爪 ”，不仅侵掠了普通游戏玩家的正当权益，还严重影响到此类游戏的公平性与生态平衡。且当攻击者们在地球上某个角落揭开香槟举杯欢庆时，丝毫无需忌惮来自任何国度、任何法律的制裁与追击，智能合约这片蛮荒之地上的安全保卫战，艰难而无序。

飞速发展的区块链技术被视作游戏行业发展的“新动能”。不过区块链游戏因其野蛮发展和狂热逐利，有一个不算良好的开端。游戏项目方在注重运营的同时，应当将游戏产品的安全性提上日程，加强与安全企业的合作，抢占先机突破安全瓶颈，在争议中进化和成熟，真正打开游戏行业破局新方向。