如果抽卡游戏用的不是密码学安全的随机数算法（我觉得大部分游戏都不是），是不是有可能从客户端控制服务器的随机抽卡结果？

RT

新游戏不太可能用纯随机的算法，十连抽需要保底，会修改一些策略。 当然也有傻乎乎的老游戏使用可预测的客户端算法，比如猫咪大战争，有粉丝网站预测抽卡下一只是啥猫。

如果不是杀熟保底算法，而是真正的伪随机，而且产生随机数的方式是仅以当前时间毫秒为种子，那得知抽奖的算法的人就可以知道在哪 1000 毫秒内中奖概率高，哪 1000 毫秒内概率为 0 。所以我印象里一般网游都会采用多个种子，保证实际上的不可预测性。比如给每个账号都设置一个幸运值作为种子，只有脱裤才能获取。

大部分扣卡游戏就是去服务器拿个结果，客户端本质是个播放器。

逆向过某抽卡游戏，在发送抽卡包时候会有个 heat 参数，猜测是控制爆率的

结果是服务器返回的，你客户端只有发送一个请求，包含数量啥的，假设你站着不动，有其他玩家从你旁边经过，你有控制行为吗。 游戏客户端是一个收包，一个发包的。发包后，服务器收到处理后吧结果发给客户端，收包的 handler 会收到处理的

@echo1937 @guanzhangzhang 我知道正常的网络游戏抽卡随机肯定是在服务器服务器上计算，但是非密码学安全的随机数算法计算结果是有可能被预测的。

挺难的，不安全的伪随机数生成器最多让你能预测下一个数字。但你不知道服务端具体是怎么使用这个生成器的，更不用说为了减少极端的抽卡体验，不少游戏都不是真正的随机。

非密码学安全的随机数算法指的是随机性不够，你能不能控制结果跟随机性够不够有啥关系。

一般为了“尽可能随机”，用的是当前服务器拿到的毫秒数+uid 做种子的，没啥可以钻空子的点。