《Minecraft》駭客肆虐「2B2T」伺服器3年 用漏洞追蹤玩家破壞上萬座基地

《Minecraft》廣大的線上社群，有許多無人管理的「無政府伺服器」，「2B2T」（2 Builders 2 Tools）絕對是其中最惡名昭彰的伺服器之一。常被稱為「數位荒漠」，不僅沒有任何規則與限制，且擁有著數 TB 大小的地圖，從 2010 年上線至今完全沒有重置過。裡頭有許多玩家，常常透過駭客手段和漏洞對付彼此，並竊取新玩家的道具，四處搞破壞造成各種混亂。

雖然沒有任何規則，玩家可以肆無忌憚，但有時候玩家利用漏洞的行為太超過，伺服器的管理人員還是會為了整體伺服器與社群的健康出手干預。近幾年 2B2T 因為一個嚴重的漏洞導致大量玩家選擇出走。

事情回到 2018 年，有兩位玩家發現軟體「PaperMC」有漏洞，該軟體原本的功能是用來修復或改善線上伺服器的異常，但漏洞會讓伺服器誤判玩家點擊的方塊位置，即使不是在視野區域內的方塊也會被判讀到。結果伺服器因此同時讀取大量的 16x16 區塊，直接超過負荷並當機。

原本發現漏洞的玩家認為當機的問題反覆出現，會讓管理員或是 PaperMC 開發人員意識到，並針對漏洞補強。最後這樣的想法還真的應驗，PaperMC 很快修復相關問題，不過卻也衍生出其他潛在風險。

修改過後的 PaperMC 雖然不會再讓伺服器大量讀取區塊，但會先偵測玩家的所在位置，再針對玩家點擊的方塊給予回應，換言之這樣的偵測方法會暴露玩家位置。

2018 年到 2019 年間，名為 Nerds Inc. 的團隊便開始濫用修復後的 PaperMC 查看伺服器哪裡有玩家，並將位置記錄在圖表上，接著偷取或破壞該區塊中的道具和基地，這樣的漏洞最後成為 2B2T 玩家耳熟能詳的「NoCom」，其中起初發現 PaperMC 漏洞的玩家也加入 Nerds Inc. 的行列。

不過基於伺服器本身無政府的環境，所有玩家通常都會將基地和道具隱藏起來，避免遭到蓄意破壞，所以 Nerds Inc. 能毫無誤差鎖定玩家的行為瞬間讓社群陷入恐慌。

為了排除嫌疑，Nerds Inc. 的成員甚至還滲透到 2B2T 的 Reddit 討論版和 Discord，試圖說服其他人鎖定玩家的漏洞其實並不存在。這個策略順利奏效，暫時安撫住 2B2T 的玩家。

時間來到 2020 年，團隊仍持續作亂，甚至還網羅程式設計師鞏固團隊實力，順便改善追蹤功能的效率，讓團隊能夠偵測到區塊內更詳細的行為資訊，並即時判斷區塊內玩家的位置，甚至細微到能判別箱子、界伏盒、建材等細節。

有了更作弊的漏洞可鑽，團隊直至 2021 年間大肆肆虐整個伺服器，到處都有基地被炸毀，大量玩家回報道具遭人清空或破壞，社群再度陷入恐慌，最後差點把 2B2T 玩垮。因為 Nerds Inc. 知道管理員總有一天會徹底阻止團隊的惡行，所以就在今年 6 月到 7 月加大破壞規模。最終管理員限制連結帳戶在伺服器裡傳輸的資料容量大小，整起事件才徹底落幕。

儘管一切塵埃落定，卻已有上千位玩家受到影響，有 1.5 萬座基地被摧毀或被記入團隊資料庫，遭到偷取的道具數量更高達 2 億，想必 NoCom 帶來的餘波仍會讓不少玩家提心吊膽好一段時間。

參考原文：Windows Central