panoramica
BigTime ha fatto scalpore in GameFi dopo il lancio del suo token il 10 ottobre 2023. Il team ha iniziato a prestare attenzione a BigTime a settembre ma non è stato in grado di condurre analisi a causa della mancanza di qualifiche. Dopo che la soglia di registrazione è stata recentemente abbassata, abbiamo iniziato per condurre una serie di analisi e analisi di sicurezza su BigTime Test, inclusa la manomissione degli attributi del client di gioco, test delle chiamate dannose GameRPC, controllo del contratto dei token, ecc. Attraverso la valutazione complessiva del gioco, abbiamo scoperto che il gioco ha una scarsa sicurezza e che il costo degli imbrogli è basso per i giocatori malintenzionati. E il gioco è facile da analizzare. Se il team del progetto vuole continuare a gestire il gioco, migliorare la sicurezza e l'equità del gioco dovrebbe essere la prima priorità nelle operazioni successive.
Sfondo del gioco
Ø Versione del gioco per la valutazione: v0.28-CL#78459
Ø Tipo di gioco e motore di gioco: MMORPG, UE4.27
Ø Possibili problemi con il gioco:
Movimento illegale (pacchetti dannosi tramite RPC per teletrasporto, accelerazione, ecc.)
Accelerazione (ora mondiale nel gioco, funzione temporale nel quadro dell'UE)
Ciclo di abilità combo con un clic/con un clic
Forgiatura NFT accelerata
Manipolazione di numeri casuali NFT
Liquidazioni multiple al termine della copia
Analisi della sicurezza del gioco
Protezione del codice di gioco:
Processo di analisi: 1. Poiché diversi motori hanno diverse modalità di analisi, dopo aver ottenuto l'EXE del gioco, devi prima determinare il motore utilizzato dal gioco. Identificando le informazioni di base del gioco, possiamo determinare che il gioco è stato sviluppato utilizzando UE4.27.2 .
2. Importa il gioco in IDA e scopri che il codice del gioco non è stato rinforzato e che la variabile GWorld può essere rapidamente individuata tramite la ricerca del codice caratteristica di UE4.27
E si può scoprire che anche la stringa non è crittografata.
Pertanto, dopo aver confermato che Gworld può essere localizzato tramite la firma e che il gioco non è crittografato, puoi scaricarlo tramite alcuni strumenti SDK Dump estraendo la firma NamePool.
Dopo aver ottenuto l'SDK del gioco, l'analisi può essere accelerata.
Conclusione dell'analisi:
BigTime ottiene un punteggio pari a 0 per la protezione del codice di gioco, ovvero nessuna protezione. Nei giochi tradizionali, il codice sorgente è spesso protetto tramite crittografia, pacchetti e altri metodi personalizzati. Poiché BigTime non dispone di una solida protezione di base del codice di gioco, la soglia e il costo per l'analisi del codice da parte dei giocatori malintenzionati sono molto bassi. Se sono presenti plug-in, ciò è ingiusto nei confronti dei giocatori normali e può causare danni al modello economico del gioco. Influenza.
Nozioni di base del gioco anti-cheat:
Processo di analisi:
1. In termini di rilevamento anti-cheat di base, testiamo principalmente due aspetti: il primo è se il gioco dispone di anti-debug e l'altro è se il gioco dispone di protezione in lettura e scrittura.
2. Utilizzare CE per allegare quando il gioco è aperto e impostare un punto di interruzione sulla funzione generale e scoprire che il gioco non si chiude o richiede
3. Usa CE per modificare la salute nel gioco e scopri che può avere effetto e non ci sono popup o istruzioni nel gioco. (La modifica dell'integrità serve solo per una visualizzazione più intuitiva. Questo campo è generalmente archiviato sul server e non ha alcun effetto se modificato localmente)
Conclusione dell'analisi:
1. Il punteggio dell'abilità anti-imbroglio di BigTime è 0. Se sono presenti utenti malintenzionati, possono imbrogliare a piacimento. 2. Il motivo per cui testiamo solo la protezione anti-debug e di lettura-scrittura è che per un plug-in, la ricerca dei dati e l'implementazione delle funzioni possono essere ottenute solo tramite debug, lettura e scrittura. Se mancano le due funzionalità di protezione più basilari, alcuni tipi di injection, hook e altri rilevamenti saranno privi di significato.
problemi di logica del gioco
Processo di analisi:
Per i giochi di tipo MMO sviluppati sulla base di UE, i vantaggi derivanti dalla manomissione dei dati locali sono molto bassi. Il motivo è che UE dispone di un meccanismo di sincronizzazione ben consolidato per la sincronizzazione tra ciascun attore e altri attributi e la verifica lato server analizzando il gioco Osservando il codice sorgente, è ovvio che BigTime non utilizza correttamente il meccanismo di sincronizzazione degli attributi. Alcuni dati sono ancora implementati, come la funzione Comboindex. Impostando un punto di interruzione di scrittura sull'indice combo, è possibile trovare la scrittura funzione, quindi è possibile eseguire il debug della funzione combinata. (Operazioni specifiche influenzeranno l'equità e non saranno dimostrate)
Conclusione dell'analisi:
1. Il problema generale della sicurezza della logica di gioco di BigTime non è molto importante, ma ci sono ancora alcuni rischi per la sicurezza, quindi il punteggio della sicurezza logica è di 4 punti.
2. Manca un meccanismo di sincronizzazione per alcuni attributi sensibili e altri dovrebbero essere crittografati sul lato server.
Analisi RPC del gioco
Poiché la questione RPC è relativamente delicata, l'analisi non verrà effettuata temporaneamente senza l'autorizzazione della parte progettuale. L'attuale protezione di sicurezza RPC di BigTime è 0 e, dopo i test, si è riscontrato che il server riconoscerà alcuni pacchetti RPC e il loro punteggio di sicurezza è 0. Si consiglia al team di progetto di condurre un audit dettagliato sulla sicurezza complessiva di RPC. L'immagine seguente mostra alcune informazioni RPC.
Analisi della sicurezza WEB3:
panoramica:
Essendo un gioco a catena, Bigtime può essere diviso in due parti in termini di progettazione Web3, vale a dire: la parte base del token Bigtime e la parte del sistema economico WEB3 in-game. Questa parte del progetto è relativamente separata dagli altri giochi. Il gioco è responsabile della generazione di token e della falsificazione di NFT e allo stesso tempo dell'implementazione di un contratto di token a circolazione fissa su ETH.
Sicurezza del contratto token:
Le informazioni di base del token sono le seguenti:
Indirizzo:0x64Bc2cA1Be492bE7185FAA2c8835d9b824c8a194
Simbolo: GRANDE TEMPO
Proprietario: 0xc3322716475fba83bfc057112247a43f1a1f2c4c(GnosisSafe)
Offerta totale: 5.000.000.000
Il contratto token BigTime utilizza i token Mint su un portafoglio multi-firma e quindi li distribuisce con una fornitura fissa. Poiché le attuali funzioni del contratto token sono semplici, la sicurezza di base del contratto è sufficiente. Osservando le informazioni Tx del portafoglio Owner, puoi vedere che il portafoglio Owner ha trasferito alcuni token a diversi portafogli dopo aver acquisito i token.
La maggior parte di questi portafogli sono portafogli multi-firma che utilizzano Safe. Sulla base di ciò si può constatare che gli attuali rischi complessivi per la sicurezza legati ai token derivano principalmente dalla fuga di chiavi private e dall’esistenza di conti privilegiati sul lato del progetto. Sebbene venga utilizzata la firma multipla, esiste comunque un certo rischio di furto di valuta se viene divulgata la chiave privata di un account privilegiato.
Sicurezza del sistema economico nel gioco:
In BigTime, i giocatori possono entrare nello spazio della guardia spazio-temporale per eseguire operazioni come forgiare la clessidra temporale, caricare la clessidra temporale, ecc. Alcune di queste funzioni che possono influenzare direttamente l'equilibrio del mercato vengono memorizzate ed eseguite localmente non è chiaro come sia progettato GS ma questo comportamento è un comportamento ad alto rischio. come segue
Esistono molte funzioni RPC come questa. Considerando l'alto costo dei test, per il momento non eseguiremo alcun test di sicurezza. Ci auguriamo che il team di progetto possa esprimere giudizi severi su questa parte del contenuto sul server.
A proposito di Damocle
Damocles labs è un team di sicurezza fondato nel 2023, focalizzato sulla sicurezza del settore Web3. La sua attività comprende: audit del codice GameFi, mining di vulnerabilità GameFi, analisi dei plug-in GameFi, anti-cheating GameFi, audit del codice contrattuale, audit del codice aziendale. test di penetrazione, ecc.
Continueremo a lavorare sodo nel settore della sicurezza Web3 e a produrre il maggior numero possibile di rapporti di analisi per migliorare la consapevolezza dei partecipanti al progetto e degli utenti sulla sicurezza di GameFi e promuovere lo sviluppo della sicurezza del settore.
Twitter: https://twitter.com/DamoclesLabs
Discordia: https://discord.gg/xd6H6eqFHz