主页 > imtoken官网下载广告 > Primedice曝光家族丑闻:我们如何被黑客骗走100万美元

Primedice曝光家族丑闻:我们如何被黑客骗走100万美元

imtoken官网下载广告 2023-09-09 05:10:01

黑客利用比特币博彩网站Primedice在线赌场的RNG系统漏洞,导致该赌场损失了价值100万美元的比特币。 虽然这件事发生在去年,但近日 Primedice 主动公开分享了这段“悲惨”的经历。 希望同行们引以为戒。

这是一个悲伤的故事,请自备纸巾...

primedice-breaking-the-house

2014 年 8 月,在 Primedice 第三版发布后不久,我们的团队遇到了威胁我们网站生存的竞争对手。 尽管我个人的编程经验非常有限,但我们的团队在构建比特币博彩网站方面拥有近两年的经验。 在巨大的压力下,为了避免进一步的延误,我们在内部 Beta 测试仅一周后就发布了新版本。

“抢劫案”始于两个不寻常的账户,Nappa 和 Kane。 我们在这两个账户中发现了一些不寻常的赌博模式。 Kane 自动兑现,我们重新审视了 Nappa 的赌注,发现他们非常可疑,但无法找出问题所在,因此在他们兑现略有延迟后,通过简单的电子邮件交流。 在 2014 年 9 月被我们拖延后,“开发者”似乎有点受惊,于是在几周后创建了一个名为“Hufflepuff”的新帐户。 赫奇帕奇是有史以来出现在 Primedice 上的最大赌徒,经常连续几个小时每秒投注价值超过 8,000 美元的比特币。 我们整个团队都对赫奇帕奇始终击败庄家感到惊讶(在正常情况下只有 1% 的几率),随着时间的推移赚到越来越多的钱。

比特币比特币的行情_比特币坑死人_比特币转错到比特币现金地址了

我们高度怀疑他的奖金来源,多次限制他的账户进行调查,但每次我们的开发人员都没有发现任何违规行为。 我们没有证据证明他在作弊,因此不能以正当理由延迟他的提款请求很长一段时间。

另一方面,我们立即将奖金支付给他,并强烈鼓励他继续玩下去。

我们对每一种可能性都做了很多研究,进行了模拟……但最后我们得出了这个结论:他实在是太幸运了。 令人震惊的发现 在赫奇帕奇清除了帐户中超过 2037 个比特币奖金的大约两天后,我们的首席开发人员发现少数帐户在同一台​​服务器上共享种子,从而发现了赫奇帕奇的漏洞。

在了解赫奇帕奇如何击败我们的系统之前,我们首先需要了解公平系统 (RNG) 的工作原理:

比特币坑死人_比特币转错到比特币现金地址了_比特币比特币的行情

用户在下注前得到一串加密的随机值(服务器种子),同时必须提交自己的随机值(客户端种子)。 这两个随机值的组合用于决定最终的输赢。 用于投注的随机加密随机值将在用户下注后交给用户,以确保他们的投注不受操纵。 您可以在此处找到详细深入的解释:

我们网站的部分功能是分发解密的服务器种子(以确保用户没有赌博),放置一个新的随机种子并丢弃旧的。

赫奇帕奇找到了一种方法来“混淆”我们的服务器,使其成为一个同样活跃的解密服务器。 这种方式是发送大量短时间内无法处理的请求,但是每分钟几百个请求就足够了。 赫奇帕奇会知道他是否会赢,所以他可以决定是否参加。

比特币转错到比特币现金地址了_比特币坑死人_比特币比特币的行情

在疯狂地检查了我们的服务器之后,EUREKA! ! ! 我们发现了这个问题。 我们怀疑可能存在一些问题,最终发现了上述定时攻击的可能性。 我们数据库中的所有种子都不是活跃的,并且都与 Hufflepuff 帐户相关联。 由于这些“薛定谔”种子,看似无用的种子都连接到同一个帐户,表明获取种子的请求泛滥。 Deja vu 不幸的是,我们在赫奇帕奇撤回了 2400+ 比特币(当时约 100 万美元)后才发现了这个 exp。 鉴于比特币(被称为“世界上最危险的货币”)的特性,我们只能认输。 我们通过他的比特币论坛帐户与赫奇帕奇沟通,要求退还奖励比特币坑死人,但这种抵制适得其反。

事实证明,我们的开发人员不恰当地修补了这个故障。 应我们的要求,赫奇帕奇创建了一个名为 Robbinhood 的新账户,并迅速绕过补丁又赢得了 2000+ 比特币。 但是这次他不能提取超过 50 或 60 BTC,因为我们没有更多的金币。

yEF3EjV

不久之后,他私信我们:“你提出的交易被我拒绝了。你的要求显然是荒谬的。我很高兴离开你,但如果你打算继续,我会一直陪你到最后。我认为你不“想继续前进,对吧。我真的很喜欢这个 XX(不和谐)。你的行动。哦,顺便说一下,还有一些未结清的提款需要你处理。” 那天赌场没赢…… ……透明度证明和调查目的赫奇帕奇的存款地址:

比特币坑死人_比特币比特币的行情_比特币转错到比特币现金地址了

他的主要提现地址:

RobbinHood 账户提款:

注意:Nappa 和 Kane 是之前使用的许多旧名称中的两个。

凯恩提现地址:

比特币转错到比特币现金地址了_比特币坑死人_比特币比特币的行情

Nappa充值地址:

我们已经删除了所有稍微敏感的信息(邮箱是ip),以上分享的内容都可以公开。

另请注意,在这种情况下,我们的完整性和可验证的公平系统得到了证明。 如果我们尝试操纵 Hufflepuff 参与的任何游戏,我们很容易发现他在作弊,我们不会损失 2400+ 比特币或更多。 然而,我们没有。 赫奇帕奇在我们将最大赌注减半后就休息了,我相信他认为我们不知道发生了什么。 我们投资了自己的资金,因此没有用户在这件事上受到负面影响。

最后比特币坑死人,抱歉,这个故事讲了这么久……

参考来源:medium,作者 Stunna (Primedice) 翻译:明明知道

上一篇:以太坊从 POW 到 POS 的过渡过程中,难度炸弹的导火索已被点燃
下一篇:基金经理3000点反思:如何应对焦虑?我应该在那里吗?

相关文章

imToken全球领先的区块链钱包,为千万用户提供可信赖的服务,帮助你安全管理比特币, 以太坊, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL 等资产,并支持币币兑换和 DApp浏览器。