官网
https://movectf.movebit.xyz/
Git:https://github.com/shanxuanchen/MoveCTF
题目1
第一题是checkin题,需要用户准备好环境即可。触发合约,然后提交对应的签名即可。
题目2
这道题其实稍微有点难~~~~
我们先看一下getflag的条件:
要拿到TreasuryBox
Sui基金会:尚未在Binance或通过其他方式出售锁仓和非流通SUI的质押奖励等任何Token:6月28日消息,Sui基金会官方表示,尚未在Binance或通过其他方式出售锁仓和非流通SUI的质押奖励或任何其他Token。所有Token分配仍受其锁定期和其他转让限制的约束。Sui基金会很快将发布Token释放时间表的详细计划。此外,Sui基金会回应此前DefiSquared追踪的3个转移SUI的地址称,其所指的具体交易是受合同锁定期约束的付款。
此前报道,DeBank排名前10的巨鲸钱包地址交易者DefiSquared称,Sui基金会并未公布真实Token排放量,SUI持有者持币份额每月或被稀释20%。[2023/6/28 22:04:02]
随机数要刚好达到0
Mysten Labs已推出Sui Wallet和Sui Explorer:金色财经报道,Sui 开发公司 Mysten Labs 已推出两款基于 Sui 的产品:Sui Wallet 和 Sui Explorer。其中 Sui Wallet 是一个开源、自托管钱包,可帮助用户访问 Sui 并与之交互;Sui Explorer 则可查询 Sui 主网的最新信息。[2023/5/4 14:41:32]
我们知道其实随机数达到0的概率非常小,其实此时几乎可以确定此题的最大考点:
SUI团队要求Binance、OKX等平台上线SUI时暂不推出其永续合约:5月3日消息,SUI 官方团队要求合作交易平台(Binance、OKX、Bybit、KuCoin 等)在 SUI 上线时暂不上线 SUI 永续合约。目前各大交易平台暂时满足这一需求,未来可能会延迟一段时间上线。(吴说区块链)[2023/5/3 14:40:30]
**随机数攻击**
1.拿到TreasureBox
从slay_boar_king的方法里可以看到,当满足d100==0时,sender就可以拿到box资源。当然,我们前提是要能打赢怪物boar。打赢怪物boar纯属就是一个简单的循环逻辑了,只要攻击力和防御力有一定就可以了。
所以,我们需要循环100多次slay_boar。然后积累一定的经验值,然后升级即可。
2.随机数要刚好达到0
本题的两个随机数重要变量是:
txhash
ids_created
我们采取的攻击方法很简单:
**固定txHash,然后模拟随机数的生成,然后遍历ids_created**。
最难的部分是自己手动组装seed,这里直接放答案:
题目3
这套我是AC了的。这道题有很大的漏洞,因为create_lend是一个public方法。通过创建一个0债务的新的资源,然后提交flag即可。
题目4
这道题其实就是考move的循环题,基本功的题目,两次循环结果就能出来了。
参考链接:
https://mp.weixin.qq.com/s/-OFe_E_XTzdRgBB0ilu9aw
来源:bress
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。