ETH能否跟随DeFi起飞|以太坊史上最大的庞氏骗局之一1.25亿美元的FairWin是如何坍

引言

以太坊2.0是今年的最大热点之一，但是相对BTC而言，ETH的价格一直比较低，目前还没有达到94之前的水平，17年的大牛市，ETH也是最迟发威的，今天给大家带来几个ETH的分享，包括1个市场分析以及三个与庞氏骗局相关的文章，尤其是后三个文章，为作者与他的朋友们的行动点赞，下面是详细内容。

1.以太坊的价格是否会随着DeFi代币的暴涨而涨至300美元？

本周初以太坊正在利用比特币的上涨，并有望突破300美元的关键阻力位。

随着比特币价格从9300美元上涨至9800美元，比特币最近几天一直表现强劲。然而，市值排名第二的加密货币以太坊从225美元上涨至246美元，显示出更大的力量。

让我们看看以太坊走势图，由于最近几天ETH的表现一直明显优于BTC。主要的问题是：以太坊能最终赶上比特币的步伐吗？

加密货币市场每日表现。来源：Coin360

1.1.250美元成为以太坊加速冲向300美元前的最后障碍

在215美元至220美元之间的关键支撑位经历了短暂测试并立即反弹。这样的反弹意味着买家渴望介入并大大推高价格。

ETH/USDT日线图。来源:TradingView

从本质上讲，以太目前的表现高于100天和200天移动均线，这是一个看涨指标。除了这个强烈的信号，最近的交易量还在增加。

通常情况下，交易量先于价格（量价理论），再加上以太坊的横向震荡，交易量的增加表明积累。

同样，自3月12日以来，价格一直处于上升趋势，因为加密货币一直在将先前的阻力转化为支撑位。前一支撑/阻力翻转是在217- 222美元区域完成的。

这样的市盈率反转意味着进一步的上涨力量，下一个目标为250美元。以太币的价格一直相当接近这个阻力区。

如果ETH突破250美元，那么290美元的水平可能不会像上次那样保持，因为这不是一个显著的阻力区。ETH/USD更有可能迅速升至330美元甚至360美元。

这样的涨势将界定为新高，这是另一个看涨信号。“难以置信”一词很快就会被使用。

1.2.234美元的短期测试并不意外

ETH/USDT4小时图。来源:TradingView

以太坊的四小时图显示了从下跌趋势的明显突破，价格反弹至247-252美元的区间阻力位。

但是，这是否意味着以太坊可能一次性突破250美元？当然不会，因为在阻力位大幅突破之前，预计会有更多的波动。换句话说，这就像比特币将突破10,500美元的关口。

短期来看，回调至232-235美元的概率并不意外，而且很健康。在这种情况下，之前234美元的支撑应该会起到支撑作用，从而推动250美元上方的潜在反弹。

最终，由于已经数次测试了247-252美元之间的阻力位，因此阻力变得更弱。对阻力区的重新测试很可能最终导致突破。

1.3.山寨币总市值达到820亿美元的重要水平

加密货币山寨币市值日线图。来源：TradingView

山寨币的市值显示出强劲，因为它仍然在100天和200天均线上方运行。同样，对820亿美元水平进行了必要的支撑测试，并证实了支撑/压力反转。

为了证明进一步向上延续的合理性，820亿美元必须作为支撑，事实确实如此。

因此，似乎有可能继续突破950亿美元。这也将为1130亿美元和1350亿美元的水平敞开大门，同时大多数山寨币将全面反弹。

由于山寨币的总市值严重落后于比特币，因此可以说以太坊是山寨币开始反弹的重要触发因素。

一旦以太坊开始移动，其余的山寨币通常也会效仿。这是因为以太坊是最大的山寨币，并且大多数项目都建立在以太坊网络上。

此外，比特币的价格目前比历史最高水平低50％。以太坊仍然徘徊在历史最高点以下80％的水平，这表明过去几年山寨币的疲软，与比特币表现相比明显不佳。

在减半后，比特币的价格趋于稳定，炒作可能正从比特币转向山寨币，最近包括以太坊在内的山寨币的飙升就是明证。

1.4.ETH与BTC的交易对仍在整理（consolidation）

ETH/BTC日线图。来源:TradingView

以太的价格仍在盘整中。持续的低于旧高和高于旧低是典型的整理信号，通常会导致扩张和波动性增加。

在这方面，以太坊就是这种整理的一个很好的例子。Zilliqa（ZIL）也显示了这一点，从而导致价格大幅上涨。

ETH的关键区域是0.023sats（BTC）水平。仍然可以将其作为与100天和200天移动均线融合的潜在支撑进行测试。只要这样，市值排名最高的加密货币就可以被视为看涨的，而且有可能出现进一步的上涨势头。

如果ETH保持在该水平，则下一个要突破的重要阻力位在0.0275–0.03sats之间。 如果以太能够突破该阻力区，那么下一个目标就是0.04sats。

如果以太坊选择与比特币一起涨势，360美元上方可能出现大幅飙升，涨500美元的价格也不足为奇了。

另一方面，如果以太币的价格跌破100日均线和200日均线，则可能会重新测试低点。请记住，这里的100天和200天均线是牛市/熊市动能的关键指标。失去它们将表明进一步的下行压力。

2.以太坊充满了庞氏，这是一个问题吗？

查尔斯·庞兹（Charles Ponzi）

以太坊被用作一堆庞氏骗局的平台。这是系统的衰败迹象吗？还是它可以正常工作的迹象？

对于不熟悉它的人，以太坊通常被称为分布式计算机。一个独立和匿名节点网络可保持系统运行，开发人员可在此之上编写智能合约和分布式应用，称为Dapps。

如果转到dappRadar，则可以查看以太坊当前正在使用哪种类型的应用。有赌场应用，包括vDice、Etheroll、EOSbet。有很多分布式加密货币交易所，例如IDEX和ForkDelta。以及各种游戏，其中最著名的可能是加密猫。

也有一系列的庞氏和传销类应用。在撰写本文时，PoWH 3D是其中最大的，约有4500 ETH承诺（230万美元）。还有许多其他较小仿庞氏骗局应用，包括EthPhoenix、Proof of Community、Gandhigi、POWM、Proof of Fair Launch、Proof of only Hodling、Revolution1等。

鲁里埃尔·罗比尼（Nouriel Roubini，有着“末日博士”之称的罗比尼教授）嘲笑了以太坊构建的应用集合：

罗比尼说得有道理。我们被告知，诸如比特币和以太坊之类的加密货币应该提供无银行服务，保护委内瑞拉人免受通货膨胀影响，帮助结束独裁统治，摧毁银行业卡特尔，从维萨（Visa）和万事达卡（MasterCard）手中接管在线商务，以及撤消诸如西联公司（Western Union）等阴险的资金转移。但是给我们的只是一堆游戏和旁氏骗局。几乎没有改变世界的东西。

-----------------------

我将尝试为以太坊的庞氏骗局提供合格的辩护。首先，我要区分庞氏游戏和庞氏骗局。让我们从前者开始。就像扑克游戏或彩票一样，庞氏游戏是零和金融游戏。 彩票奖励那些碰巧有中奖号码的人，而庞氏骗局则奖励早起的鸟儿，而牺牲了后来者。一个诚实的庞氏游戏是透明的。它并没有试图将自己伪装成双赢的投资机会，但是直率地向参与者声明，只有在其他人加入游戏后才能赢。

庞氏游戏由管理员维护。他们的工作是努力将所有后进入的钱分配给先进入的人。就像扑克发牌者得到了一些底池一样，庞氏游戏管理员也需要采取一些小措施来弥补他们的时间和精力。

好吧，现在让我们来做庞氏骗局。庞氏骗局是庞氏游戏的劣质版本。首先，它不是透明的。为了招募更多的参与者，庞氏骗局将把自己推销为一种投资，即一个高收益的人人都赢的游戏，而不是一个零和游戏。至于管理员，他/她可能会执行所谓的退出骗局，而不是将每笔后来者的钱支付给早期参与者。这涉及到大量游戏玩家应得的资金的逃离，从而使游戏提前结束。

正如我在这里建议的那样，公众对玩庞氏游戏的需求一直存在。这似乎有些奇怪，但这与公众玩扑克或彩票的需求并无不同。对于许多人来说，这些游戏是一种逃离现实的乐趣，是一个幻想大获全胜的机会。考虑到对庞氏游戏的需求，当游戏类型更多而骗局类型更少时，世界可能会变得更好。庞氏骗局伤害了人们，诚实地运行游戏却没有。这就是以太坊来的地方。它似乎很善于提供诚实的庞氏游戏。

-----------------------

值得探索以太坊最大的庞氏游戏，弱手证明3D（PoWH 3D），在2018年4月3日的鼎盛时期，有16000 ETH，约合640万美元。自那时以来，由于存款人全速逃离，这一数字已降至4500 ETH。

PoWH 3D的结构不像传统的庞氏游戏。对于传统的庞氏游戏，玩家花 1美元买进，然后以1美元套现（假设还有剩余的钱）。在兑现之前，会从底池中向他们支付稳定的资金，直到底池用完为止。

对于PoWH 3D，庞氏代币具有浮动价格而不是固定价格。要开始玩游戏，参与者需要拥有一些已经存在的太坊支付媒介ether（ETH）。通过向P3D智能合约发送一些以太币（稍后会介绍更多智能合约），玩家可以获得一些P3D代币。智能合约确定购买价格。对于每次购买代币，合约都会将价格提高一个边际量，对于每次卖出代币（即将代币发送到智能合约并取回以太币），价格则会降低。

因此，尽管PoWH 3D无疑是庞氏游戏的一个版本，但价格波动等创新可能使其比传统类型更有趣。以下图表显示了过去几个月中P3D代币的价格表现：

除价格浮动机制外，所有购买的P3D代币均需缴纳10％的税。该税将分配给所有现有代币持有者。因此，如果您要购买价值10ETH的代币，其中的一个ETH将自动发送给游戏中已经存在的每个人。卖出时也是如此。例如，如果你想兑现一个P3D代币，并且价格为1ETH，你将仅获得0.9 ETH，其余的0.10归所有剩余的代币持有者所有。因此，即那些一直持有人的“强手”，会从“弱手”那里得到了源源不断的以太坊。

该游戏是通过智能合约实现的，其中一些代码运行在以太坊之上。使用智能合约运行庞氏游戏的好处是每个人都可以看到代码，从而了解游戏规则。即使潜在的玩家不懂该代码，他们也总能找到能理解的人。关键是，以太坊的庞氏游戏是可以审计的。而且由于代码无法更改，因此向所有游戏玩家保证游戏规则将保持不变。 （这里需要注意的是，代码不能是错误的；如果是错误的话，则攻击者可能会耗尽筹码。）

弱手3D证明是基于Jochen Hoenicke在2017年提出的名为旁氏代币的想法。Hoenicke写道：

“这是一个庞氏代币。早期的投资者有后期的投资者支付的费用支付。总而言之，这是一个零和游戏。这意味着，如果您使用代币赚钱，那么其他人就会亏钱。不明白这一点的话，你很有可能会亏本，最坏的情况下是你的全部投资。”

你不觉得这是对于庞氏骗局令人赞叹的透明性吗？

因此，罗比尼对以太坊庞氏骗局的贬义性引用需要加上星号。人们喜欢玩扑克和其他如旁氏游戏的零和游戏。PoWH 3D及其许多不同版本（Revolution1、EthPhoenix等）满足了这一需求。它们不是我之前定义的“骗局”。他们是庞氏游戏。由于它们作为智能合约透明地实现，因此不能将它们伪装成投资。管理员也无法执行退出骗局。因此，这些事为冒险者提供的安全的，甚至可能是创新的零和游戏。它们肯定比另一种方案优越：卑鄙的地下庞氏骗局。

----------------

在美国，SEC已宣布所有庞氏均为欺诈行为。因此，任何庞氏游戏都必须地下进行，以免被法律追究。而这恰恰是旁氏游戏管理员最有可能流氓和设置退出骗局的时候。当一项商业被打入地下地时，合法商业实体的典型特征——做生意、做广告和做品牌的固定场所——就不再存在。因此，开展业务的标准比其他情况要低。这意味着不可靠的运营商会发现更容易引入危险的庞氏骗局，例如谢尔盖·马夫罗迪（Sergei Mavrodi）的MMM。

作为一个去中心化系统，以太坊不能被当局关闭。当局也不能要求禁用某些Dapp。因此，合法的庞氏游戏管理员可以安全地在以太坊区块链上重新建立固定的营业场所，而不必担心被监禁。他们可以广告和品牌自己，而不是低调行事。一种非卑鄙的选择出现了。

从某种意义上说，以太坊可能在这里扮演着类似于那些为吸毒者提供免费针头的慈善机构的角色。吸毒和经营庞氏骗局都是应受惩罚的罪行。既然毒品犯罪并不能停止使用，也许我们能做的最好的事情就是为吸毒者提供一个安全的环境，例如，提供免费的针头并在医疗监督下进行射击。这减少了吸毒者对自己和社会造成的伤害。同样，以太坊为庞氏游戏玩家聚集提供了避风港，希望取代一些更危险的地下不可靠操作，否则这些操作会吸引并伤害玩家。

向世界提供开放的后备平台似乎有些价值。当然，在以太坊上看到比庞氏和游戏更重要的事情真是太好了，特别是考虑到这些分布式系统吸收了大量的电力。

另一方面，如果以太坊Dapps表现为镇压和禁止的症状，也许我们应该感到高兴，除了一些游戏和庞氏游戏之外，网络似乎并没有得到太多使用——缺少Dapps可能表明我们的社会（仍然）是相当自由的。也许以太坊有点像灭火器。灭火器大部分时间都放在壁橱里不用，这并不意味着它没用。有时它能拯救我们的生命。

3.FairWin的1.25亿美元庞氏骗局崩盘

Philippe Castonguay

在2019年9月11日，我偶然发现了FairWin.me，这是一个以太坊上可疑而繁忙的项目，在过去30天内，该项目耗资了价值150万美元的GAS费用。在接下来的三个星期中，我与社区中的各个成员进行了接触，我们发现了以下内容：

?当前合约包含一个严重漏洞

?合约中存储的价值800万美元的ETH可能会被管理员窃取

?合约中充满了错误和不良的编码习惯

?网站上的图片和电子邮件是假的

?在先前版本的合约中浪费了25万美元

9月26日，我们决定公开披露存在漏洞的情况，当时合约持有的金额接近5万以太坊（约合800万美元）。在披露后4天的9月30日，该合约持有0 ETH。在庞氏骗局崩盘之前，该合约总共获得了687598 ETH（约1.25亿美元）。

这是一篇简短的博客文章，详细介绍了我们击败FairWin的历程，是我和Daniel Luca、Harry Denley、Griff Green,、Oleksii Matiiasevych、David Wolever、Taylor Monahan和许多其他人之间的协作完成的，其中一些人不想被提及 。

什么？相关来龙去脉请观看https://fairwin.me/home/（已无法访问）上1m50的视频。

3.1.简要历程

这是有关漏洞发现、漏洞披露以及FairWin帝国崩盘的简短历史。

3.1.1意外发现 (2019年9月11日)

下午14时，我在Horizon Games,公司的一个同事Maciej, 在我们的不一致服务器上指出了FairWin。

下午18时:我查看了该网站，并认为它看起来可疑，尤其是考虑到该项目的性质。 原来团队部分是假的：

Huang Zhongyu是著名的钢琴家，叫邓泰山（Dang Thai Son），而Li Yayin是Instagram的“明星”，名叫Jessica Vu

下午19点:我查看了合约，以了解它们为什么要使用这么多的GAS，以及它们是否安全。 毫不奇怪，合约中充满了错别字和BUG：

isVaild?

3.1.2原始黑客（2019年9月12日）

21-23时:经过一天的工作和美味的晚餐，我开始寻找漏洞。到目前为止，我还没有找到，但是我发现该合约的较早版本在7月27日流出了2662 ETH。

查看漏洞利用者针对旧漏洞利用者的地址，就很容易找出它是谁，因此我联系了他，对他第一次听说这个项目感到好奇。Daniel Luca实际上是ConsenSys Diligence的安全审核员！

来的合约有一个公共方法sendFeeToAdmin（amount），可以将任何金额发送到所有者的地址之一，这就是Daniel清空合约的方式（对他没有好处）。

Daniel确实使用他制作的称为Karl的工具发现了这个较旧的合约及其漏洞，该工具监视部署在以太坊上的智能合约并测试它们的漏洞。尽管在最新版本的合约中已对此进行了修复，但管理员仍然可以清空合约，从而使他们可以在满意的情况下解除合约（他们决定谁获得奖励以及获得多少）。好东西，我们不知道他们是谁。

与Daniel联络后不久就上床睡觉了，因为他居住在罗马尼亚，当时很可能在睡觉。

3.1.3第一次接触（2019年9月13日）

早上2点: 他回答：

上午8 时:我和丹尼尔·卢卡（Daniel Luca）交流了一些信息，并决定合作揭露此案。我们注意到许多投资于FairWin的地址从那里获得了资金后，我们联系了一些火币联系人。

3.1.4火币沉默（2019年9月14日）

我周末去乡下，但没有收到火币的联系方式。

3.1.5发现（2019年9月15日）

仍然没有来自火币的答复，我们开始讨论有关发布博文，并尝试在我们自己的社区中提高认识，直到…

18时：我发现了一个漏洞。事实证明，一个可以在存款之前抢先运行的用户，窃取他们将要使用的邀请代码以及交易完成时，他们所存款的ETH将与您相关联。 这意味着任何人都可以通过预先运行用户来窃取用户存储的ETH。它不是免费的，并且存在一些风险，但是也不难。

3.1.6备战（2019年9月15-23日）

本周早些时候，工作和生活受到阻碍，我们决定与更多人接触，以征询他们的意见。那时我们联系了格里夫·格林（Griff Green）、哈利·D（Harry D.）和奥列克西·马蒂亚塞维奇（Oleksii Matiiasevych），我们与他们进行了聊天，并讨论了我们应该采取的行动方案。哈利正在努力进行Dune Analytics以获取有关FairWin.me合约的重要数据，格里夫帮助我们与各个关键人物取得了联系，并帮助协调所有工作，而奥列克西确认了漏洞利用并寻求进一步的漏洞。

经过几天的讨论和分析，我们提出了以下三个选项：

1.不执行任何操作→延迟退出骗局/坍塌（可能为早期投资者省钱）

2.宣布漏洞→尽快退出骗局/坍塌（为那些尚未投资和可以及时撤资的人省钱）

3.抢跑→延迟退出骗局/坍塌（为抢先行者和尚未投资的人省钱）；

“退出诈骗”是指管理员可能愿意从合约中取出所有ETH，而“坍塌”则是指合约中没有足够的资金来支付用户发起的所有提款。

3.1.7队伍壮大（2019年9月24-25日）

我们开始向社区中更多的人披露该漏洞，主要是涉及以太坊相关安全性的人们。围绕逐渐披露脆弱性而不采取任何行动达成共识。

3.1.8骗局曝光（2019年9月26日）

我们决定在不提供太多有关该漏洞的详细信息的情况下披露这些漏洞的存在。

东部时间21点45 分：我们公开披露了漏洞的存在。

https://twitter.com/ameensol/status/1177398502986375169

目前，合约中包含接近5万个以太坊（约合800万美元）。用户存入资金后需要5到6天的时间才可以提取资金，但是所有资金的提取可能需要更长的时间。

3.1.9解释漏洞（2019年9月29日）

Clément Lesagee在一篇Reddit帖子中披露了漏洞的详细信息。

目前，该合约持有约1.9万以太坊（约300万美元），大幅减少。克莱门特（Clement）还直接与FairWin团队联系，该团队公开表示没有漏洞，也不能窃取用户资金（这两种说法都是错误的）。

3.1.10坍塌（2019年9月30日）

https://twitter.com/koeppelmann/status/1178781425585328129

他的合约现在完全空了。这比我个人预期的要快得多。不幸的是，许多人尝试提取资金失败，最后一次有效的提取是这个交易。

FairWin合约的历史ETH余额?https://etherscan.io

3.2.合约是否被利用？

我们寻找合约是否受到FairWin团队本身或第三方的损害。尽管我们没有发现先行漏洞已被利用的证据，但我们仍不能排除FairWin团队在最近几天没有恶意行为。的确，由于他们有效地选择了允许提币的人和时间，因此在过去几天中，他们很可能会偏爱某些账户，而不是他们控制的地址。需要进行更多调查以确定情况是否如此（如果您正在寻找一个有趣的项目，则应亲自看看）。

3.3.漏洞利用

主要的漏洞利用将使领先者能够窃取将要投资FairWin的用户的资金。基本上，每次用户在合约中“投资”（调用invest（）方法）时，他们都会提供“ inviteCode（邀请人代码）”。然后，使用代码将此inviteCode映射到第一个地址，并且所有提供该代码的进一步投资都将属于使用它的第一个地址。因此，如果某人将要投资10 ETH，那么领跑者可以使用与他们相同的代码，在包含10 ETH投资tx之前投资1ETH，现在领跑者可以在短时期内提取11 ETH 。

您可以参阅Clement的精彩文章，详细了解此漏洞利用的工作原理以及管理员如如何耗尽合约的细节。

奖励：这是漏洞指控发布后第二天，FairWin团队发布的另一个非常尴尬的视频。 该视频在删除之前仅在网站上停留了几天，但哈利（Harry）设法保存并上传了该视频，以供我们欣赏：

https://youtu.be/pog9OcZg6C0

--------------

特别感谢MyCrypto协助调查和博文，Dune Analytics提供了用于分析合约的工具以及许多提供反馈，建议和数据的人员；Ameen Soleimani，Samczsun，Marshal Webb和所有其他我忘记提及的人。

本文作者：Philippe Castonguay

分布式账本技术|智能合约研发@ HorizonGames |计算神经科学研究

4.[漏洞披露] [FairWin]当前最常用的以太坊合约的抢先交易

资金处于风险之中（主要是因为它是庞氏骗局，所以资金有风险，但是这里的资金处于三倍风险之中^^）。

4.1.FairWin是什么？

FairWin是使用此合约的庞氏骗局。它是当前最常用的以太坊合约（TX的33％，每日活跃用户数量和ETH数量最高）。

用户可以通过两种方式赚钱：

?在骗局中“投资”资金，这将每天产生“股息”。

?将邀请码提供给其他人。你邀请的人以及你邀请的人邀请的人（等等……），花的钱给你奖励。（PS:多级提成，典型的庞氏骗局）

用户只会以一种方式赔钱（假设智能合约按承诺工作）：

?合约资金不足。由于向人们支付了股息和红利，因此支付的金额超过了用户的存款。它目前之所以能起作用，是因为新人们投入了更多的钱。这是不可持续的，不可避免地会导致合约无法向参与者付款。目前仍在骗局中的人们将失去所有资金。

它具有中等偏低的诚实度（适用于庞氏世界）。如果您阅读细则：

只要合约中有eth，玩家就可以提取eth。

如果合约余额为0，将自动启动重新启动机制。重新启动时，所有账户将恢复为0，但是节点关系（邀请关系）保持不变，并且将开始新一轮游戏。

阅读这些内容你可以理解，这个系统有时会停止工作。 但是，大多数宣传材料都在赞美该项目（英语水平很差，请参见其网站视频），并且没有提及停止该项目时，人们将失去所有金钱。宣传材料甚至吹嘘“资金安全”（主页弹出窗口中的视频）。（PS:目前这个项目的网站已经不存在了）

该团队还似乎是伪造的，使用伪造的图片并声称他们的智能合约开发人员具有9年的区块链经验，他们有来自美国的人（而他们的英语水平很糟糕）等等。

4.2.运营商可以偷钱

与Fairwin的说法相反，

FairWin将不会使用也无法使用任何玩家的eth。

经营者可以窃取合约中的所有资金。奖励、红利和奖励的发送只能由经营者完成。 经营者可以选择获得奖励的用户。经营者可以通过不执行其他用户的奖励而是执行他们控制的账户的奖励来从合约中窃取资金。这样，他们可以逐步消耗合约资金，直到合约为空。这将需要一些时间和大量的GAS。由于用户需要先获得5个奖励才能收回其“投资”，因此经营者可以防止人们从该骗局中提款。

它是故意制造的吗？ 我不这么认为。

该合约是我见过的代码质量最低的合约（而且我曾见过非常糟糕的合约）。没有注释、变量名到处都是错字、多余的变量到处都是、有无法访问的整个代码段，当代码遇到一些禁止的动作时，它会在返回之前执行随机操作，同时需要一个简单的要求。

由于奥卡姆剃刀定律（Occam's razor）, 最简单、最可能的解释是它的编码错误。 但是，此漏洞可能很容易将资金转移到新合约中。

4.3.任何人都可以先发制人地进行“投资”

当某人“投资”该骗局时，他们会提供“邀请码”。如果其他人也“投资”，也可以将此码分享给他们以获取奖励。但是，此“邀请码”也用作识别用户的方式（此处和此处）。

仅在此“邀请码”之前未使用的情况下，码和用户之间的链接才会更新。 这意味着，如果有人在你之前注册了“邀请码”，则奖励和你的钱将被提供给该用户而不是您。

你和其他人使用同一邀请码的概率有多大？如果没有人攻击，概率很低，但这里有一个陷阱：攻击者可以在事务执行之前在内存池中看到你的“邀请码”，并使用与您相同的“邀请码”进行“投资”。他们可以通过提高GAS价格来确保首先被包括在内。这样，他们将获得你的金钱和奖励。这是一种抢先交易攻击。

用户（包括攻击者）可以在“投资” 5天后提款，但前提是合约仍具有偿付能力。为了使攻击者从攻击中成功获利，必须满足所有这些条件：

1.必须先执行攻击者交易。如果有多个攻击者，则首先执行交易的攻击者将获得受害者和其他攻击者的金钱。

2. 运营商必须继续正常运行该方案（不退出欺骗或审查攻击者的支出）。

3.庞氏骗局在袭击后5天仍有偿付能力。

4.4.我受影响了吗？

每个“投资者”都会受到团队取款的影响。

只有新的“投资者”才能直接受到抢先交易问题影响。但是，该漏洞意味着新的“投资者”数量可能会减少。这提高了合约破产的速度。根据贡献率，庞氏骗局将在新的“投资者”将钱退还之前就已经资不抵债。

4.5.可以解决吗？

FairWin团队可以耗尽合约。这将花费时间和精力。如果他们“诚实”，那么他们可以建立新的合约并继续该方案，或者可以按参与者的投入按比例补偿参与者。

4.6.负责任的披露理由

我们（本人和其他白帽子）已向FairWin团队披露了此漏洞。多次通过邮件和电报（其网站上列出的联系方式）与他们联系的尝试一直没有得到答复。

根据目前的贡献率，庞氏骗局将在不到5天的时间内破产。即使条件1.（不会被其他攻击者抢先）和条件2.（运营商不干涉该方案）也很可能得到满足。条件3（庞氏骗局在5天后仍有偿付能力）实际上不太可能实现，因此攻击不太可能。

由于攻击者不太可能从攻击中受益，但人们仍然会在“投资”该方案中损失金钱，因此，披露攻击可能会降低参与率，从而减少损失金钱的人数。披露攻击可以使你了解特定类型的攻击（在本例中为抢先交易攻击），从而减少人们再次犯此错误的风险。因此，从减少危害和透明度的角度来看，公开披露似乎是适当的。

Clément Lesaege、Kleros首席技术官和本文作者

相关原文地址

以太坊的价格是否会随着DeFi代币的暴涨而涨至300美元？

以太坊充满了庞氏，这是一个问题吗？

1.25亿美元的FairWin庞氏骗局坍塌

[漏洞披露] [FairWin]当前最常用的以太坊合约的抢先交易

—-

编译者/作者：灰狼

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。