Fomo3D山寨版原来是这样留后门的...

前言

Fomo 3D游戏，一款最近基于以太坊网络开发的Dapp在发布后一下登到了Dapp 榜首。在网络上，有人称它为“永不跑路”的庞氏基金盘，又被视作最火的区块链游戏。在上线短短两天内，就吸收超过90000枚ETH，总价值达数亿元。

目前，FOMO3D的源代码已经公开。由于疯狂的吸金能力，在很短的时间内，已经有Fomo 3D的山寨游戏Fomo    short出现。山寨游戏并不像Fomo一样具有“永不跑路”的能力，它在智能合约中赋予了owner过高的权限，使得管理者可以提走最后的48%ETH和用户还存在资金盘中的分红。

（截止到7.23晚7点Fomo 3D）

代码分析

在这篇文章中，我们详细分析了Fomo short 的智能合约，提炼出了fomo short为owner提供过高权限的途径。

在山寨合约中，从game setting 开始引入admin ，开始留下权限。

（admin第一次出现）

然而，这在Fomo 3Dlong的智能合约中是不存在的。

（Fomo 3D的智能合约不存在admin）

在Fomo short 中，后续的admin 利用过程如下：

首先是赋予管理转账地址和每个人的转账地址的权限。

接着检查调用admin。

然后赋予转账的权限。

最后检测要求admin为活跃时可以进行转账操作。

总结：

这一系列admin的调用赋予了owner过高的权限，留下了后门。致使owner可以把奖金池、用户的分红（还未提现到个人钱包）转移出来。而不像Fomo 3D那样，智能合约的创建者和管理着不能控制资金盘内token的流向。Fomo 3D很好的利用了人性的弱点，一个好的资金盘可以存活很久，但是类似于上文中所述的资金盘，谁也不能了解到创建者的目的。所以，希望大家在投资的过程中，要小心谨慎，警惕一些危害性大、安全性低的项目。