Sui MoveCTF 攻防_SUI

官網

https://movectf.movebit.xyz/

Git:https://github.com/shanxuanchen/MoveCTF

題目1

第一題是checkin題，需要用戶準備好環境即可。觸發合約，然后提交對應的簽名即可。

題目2

這道題其實稍微有點難～～～～

我們先看一下getflag的條件：

要拿到TreasuryBox

Ankr：Sui Network RPC現已在主網上線:金色財經報道，Web3 基礎設施提供商 Ankr 宣布其 Sui Network RPC 現已在主網上線，面向高級用戶開放。[2023/5/4 14:42:50]

隨機數要剛好達到0

我們知道其實隨機數達到0的概率非常小，其實此時幾乎可以確定此題的最大考點：

**隨機數攻擊**

CZ：若Justin Sun使用TUSD搶購LaunchPool Sui代幣，將對其采取行動:5月1日消息，5 月 1 日，Binance 創始人兼首席執行官 CZ 在社交媒體發文表示，我們的團隊告訴 Justin Sun，如果他使用任何一枚轉入 Binance 的 TUSD 來獲取 Launchpool Sui Token，我們將對其采取行動。Binance Launchpool 的目的是為我們的普通用戶提供空投服務，而不僅僅是為了少數鯨魚用戶。

此前報道，波場 TRON 創始人 Justin Sun 在社交媒體發文表示：作為 TUSD 的合作做市商，TRON DAO Venture 充值進入交易平臺的主要目的是為了搬平各大平臺 TUSD 的價差，提高流動性掛單與交易量，目的不是參加相關交易平臺內的活動。[2023/5/1 14:37:07]

1.拿到TreasureBox

The Easy Company計劃在Sui網絡上推出其社交加密錢包:2月16日消息，社交加密錢包The Easy Company與Sui開發團隊Mysten Labs達成合作，未來幾個月將在Sui網絡上推出Easy。

據此前報道，今年1月，社交加密錢包The Easy Company完成1420萬美元種子輪融資， Lobby Capital、Relay Ventures、6th Man Ventures、Tapestry VC、Upside和Scribble等參投。融資資金將用于繼續構建社交產品，同時也將用于擴大區塊鏈支持。[2023/2/16 12:11:08]

從slay_boar_king的方法里可以看到，當滿足d100==0時，sender就可以拿到box資源。當然，我們前提是要能打贏怪物boar。打贏怪物boar純屬就是一個簡單的循環邏輯了，只要攻擊力和防御力有一定就可以了。

所以，我們需要循環100多次slay_boar。然后積累一定的經驗值，然后升級即可。

2.隨機數要剛好達到0

本題的兩個隨機數重要變量是：

txhash

ids_created

我們采取的攻擊方法很簡單：

**固定txHash，然后模擬隨機數的生成，然后遍歷ids_created**。

最難的部分是自己手動組裝seed，這里直接放答案：

題目3

這套我是AC了的。這道題有很大的漏洞，因為create_lend是一個public方法。通過創建一個0債務的新的資源，然后提交flag即可。

題目4

這道題其實就是考move的循環題，基本功的題目，兩次循環結果就能出來了。

參考鏈接：

https://mp.weixin.qq.com/s/-OFe_E_XTzdRgBB0ilu9aw

來源：bress

Tags：SUIREACOMTUSDsui幣前景如何男生突然把網名改成EtherealYINCOMEwstUSDT價格

萊特幣