Meteor CrackingExploits

May 08 2022
持続するコミュニティは、信頼と誠実さの上に構築されています。2021年9月にLevanaを立ち上げたとき、私たちはオープンでホワイトリストがなく、裏口のない、サクラのないコミュニティの構築に着手しました。

持続するコミュニティは、信頼と誠実さの上に構築されています。

2021年9月にLevanaを立ち上げたとき、私たちはオープンでホワイトリストがなく、裏口のない、サクラのないコミュニティの構築に着手しました。

これらの原則を使用して、11月にTerraで最も成功したNFT Mintを立ち上げ、6,300を超えるユニークなウォレットが参加しました。流星群では、火星に落下した流星を受け入れるために私たちのコミュニティが参加しました。これらの隕石のうち8888にはドラゴンの卵が含まれており、残りにはクラフト、ネスティング、ハッチング、その他のゲームイベントに使用される魔法の塵が含まれています。

コミュニティのメンバーは、1時間ごとに44時間にわたって、流星のNFTを作成し、合計41,616の作成を行いました。

加重ランダム性の基本的なロジックは、流星から卵への確率を計算する他の詳細とともに、コミュニティに公開され、YouTubeのビデオやポッドキャストで概説されています。平等な競争の場を持つすべての人(コミュニティとチーム)は、私たちの設計に等しいものでした。

約6か月後、8,888個のドラゴンの卵のうち7,000個以上が発見され、流星から割られました。これらのドラゴンのうち6500個は入れ子にされ、残りの卵は入れ子にされていません。

Luartコミュニティでの最近の出来事もあり、TerraNFTコミュニティでの議論は最近公平性と透明性に移っています。当然のことながら、これらの会話は、次のLevanaNFTイベントであるLandRush of Marsの計画を立てるときに、LevanaDiscordで一般的になりました。

先週、コミュニティのメンバーが卵のマッピングへの悪用について疑いを持って私たちに近づきました。数学的分析を使用して、95%を超える精度で、どの流星に卵と塵が含まれるかを予測することが可能になりました。さらに懸念されたのは、内部のLevanaウォレットが、ほこりの上で卵を拾う際に100%の正確さを示唆するアクションにゆるく関連しているという証拠でした。これは、システムの設計方法に関する特権的な情報でのみ実行できました。

予想通り、各層と各シャワーにいくつの卵があり、それらの卵の何個が割られたかが保証されているため、複数のアクターが時間の経過とともにマッピングを正確に予測する方法を正確に理解したという証拠があります。(より多くの卵が割られるにつれて、これはより正確に予測するのがより簡単になります)

クラッキングの現在の平均成功率を計算することから詳細な調査を開始しました。その結果、卵を見つけることと、予想されるダストを受け取る平均率を比較しました。

次に、流星を購入し、異常な成功率でそれらをクラックしたウォレットを調べることによって、可能性のある内部アクターのより深い調査を開始しました。

明らかな外れ値がありました。レバナ流星群とクラッキングゲームの積極的な参加者で、ランダムアースやドラゴンの卵だけを含む他の市場からの流星を完璧またはほぼ完璧な精度で狙撃することができました。

驚いたことに、このような4つのウォレットの資金源を調査したところ、Levana QA / Customer Support Wallet、特に流星群の約6週間後に2021年12月に参加したチームメンバーとのつながりがあったことがわかりました。

長い内部調査の後、問題のウォレットにアクセスできるチームメンバーと対峙しました。チームメンバーは、流星群の仕組みに関する知識にアクセスし、その知識と、彼の個人的な利益のためにLevanaQA資金を使用したことを告白しました。

有罪のチームメンバーは、Terra Stationウォレット、会社のデバイス、および会社のすべてのアクセス権を放棄しました。合計で、25個の卵を含む27個の財布と、ルナとUSTを所有しました。

すべてのLevanaアクセスはすぐに取り消され、ほこりが落ち着いたら(しゃれを意図して)、有罪のチームメンバーから取得したすべての資産をLevanaコミュニティに抽選する予定です。

これについてどう思うか

悲痛なことは控えめな表現になります。ひどく賢いコミュニティメンバー(印象的な仕事、素晴らしいデータサイエンティスト!)が誇張することは1つです。プロジェクトの構築、テスト、および悪用や内部での悪用からプロジェクトを保護するために働くことになっている人がいることは、まったく別のことです。知識、私たちの信頼、そして個人的な利益のためのコミュニティの信頼を乱用します。

謙虚な謝罪

この旅の始めに、私たちはあなたに私たちを信頼するように頼みました。私たちのチームのメンバーがその信頼に違反していることを知っていると、非常に痛いです。私たちは先週、このシナリオが二度と不可能になるのを防ぐために調査、発見、議論、再設計、そして取り組みを費やしましたが、それが行わないのは、コミュニティのすべてのメンバーに謝罪することです。

申し訳ありません。

傲慢、不信、または素朴なものであるかどうかにかかわらず、私たちの行動と設計はこの状況が発生することを可能にしました。私たちは、公正なプレーへの絶対的なコミットメントとすべてを打ち負かすという共通の精神を信頼して、計算で人間の欲望を適切に説明することができませんでした。それは私たちの間違いでしたが、二度としないことを約束します。

この事件についてさらに話し合うためにAMAを設定し、DMはいつものように開いたままで、直接連絡を取り合っています。

私たちが知っていることと知らないこと

  • Levana QAチームの1人のメンバーが、流星群の設計に関する特権情報にアクセスし、それを使用して100%の精度で一部の流星を狙撃したことを知っています。多くの才能のあるコミュニティアナリストが、残りの流星がどのように卵子を持っているかを(非常に高い確実性で)予測する方法を独自に理解していることを私たちは知っています。
  • 元QAチームのメンバーが使用した情報へのアクセスが追加の人間に与えられ、個人的な利益のためにそれを使用する予定があるかどうかはわかりません。
  • この同じエクスプロイトや他の潜在的なエクスプロイトを防ぐために、次のNFTドロップで何をすべきかを知っています
  • Luart Minting Controversy(Lu-gate?)からのコミュニティのフォールアウトを見て、最近のLevana Discordに関する多くの会話は、NFTミンティングとランク分布に関する公平性と透明性に触れました。
  • これらの会話を通じて、Discordコミュニティのメンバーは、統計分析を使用して、ほぼ100%の精度で流星から卵を識別する方法を理解したことを告白しました。
  • この主張を調査したところ、チームの誰かがシステムの構築方法へのアクセスを悪用し、流星内の卵を100%の精度で識別できることを確認しました。
  • レバナのチームメンバーが捕まり、会社のリソースを使用して、隕石クラッキングの知識を個人的な利益のために利用したことを告白しました
  • 何個の卵が割られたのか、または悪用された情報を何人の人が使用したのかはわかりません。
  • 元チームメンバーはすぐに解放されました
  • チームメンバーは、所有しているすべての卵と残りの資金を返したと主張しています
  • 彼はもっと持っているのではないかと思いますが、これまでのところウォレット/ファンドをリンクすることはできず、それを明確に証明することはできませんでした
  • Levanaは、取得したアセットをコミュニティに抽選します
  • クラッキングステーションは現在閉鎖されています
  1. 残りのすべての卵を再ランダム化します。重み付けされたランダム性を完全に削除し、シャワーごとに割り当てられる一般的な、まれな、および古代のドラゴンの卵の数の特定のカウント。(伝説の卵はシャッフルされません)
  2. 「流星からドラゴンの卵」のマッピングを公開して、コミュニティの全員が同じ競技場にいるようにします

学んだ教訓

現在、新しいNFTのセットである火星のランドラッシュを設計しており、この夏の後半にオークションにかけられます。

この次のイベントで同じエクスプロイトを防ぐために、いくつかのアクションを実行する必要があります

  • NFT分布にランダム性の要素を追加します
  • 非公開状態のオブジェクトと公開状態の間のメタデータとしてマップされたRANKを使用することは避けてください
  • Chainlinkなどのサードパーティエンティティと連携して、オンチェーンのランダム性の2番目の要素を追加します
  • 外部監査人または報奨金プログラムと協力して、リリース前に潜在的なエクスプロイトを特定します
  • 複数のQA担当者間でテストを分割し、配布のロジックと方法の全体像を1人の担当者が把握できないようにします。

© Copyright 2021 - 2022 | hachiwiki.com | All Rights Reserved