Autore: Damocle
1. Panoramica
BigTime ha causato una mania in GameFi dopo il lancio del token il 10 ottobre 2023. Il team ha iniziato a prestare attenzione a BigTime a settembre ma non è stato in grado di condurre analisi a causa della mancanza di qualifiche. Dopo che la soglia di registrazione è stata recentemente abbassata, abbiamo iniziato per condurre una serie di analisi e analisi di sicurezza su BigTime Test, inclusa la manomissione degli attributi del client di gioco, test delle chiamate dannose GameRPC, controllo del contratto dei token, ecc. Attraverso la valutazione complessiva del gioco, abbiamo scoperto che il gioco ha una scarsa sicurezza e che il costo degli imbrogli è basso per i giocatori malintenzionati. E il gioco è facile da analizzare. Se il team del progetto vuole continuare a gestire il gioco, migliorare la sicurezza e l'equità del gioco dovrebbe essere la prima priorità nelle operazioni successive.
2. Sfondo del gioco
Versione del gioco valutata: v0.28-CL#78459
Tipo di gioco e motore di gioco: MMORPG, UE4.27
Possibili problemi con il gioco:
1. Movimento illegale (pacchetti dannosi tramite RPC per teletrasporto, accelerazione, ecc.)
2. Accelerazione (ora mondiale del gioco, funzione temporale nel quadro dell'UE)
3. Ciclo di abilità combo con un clic/con un clic
4.Accelerazione della forgiatura NFT
5. Manipolazione di numeri casuali NFT
6. Insediamenti multipli al termine della copia
3. Analisi della sicurezza del gioco
Protezione del codice di gioco:,
Processo di analisi:
Poiché diversi motori hanno diverse modalità di analisi, dopo aver ottenuto l'EXE del gioco, devi prima determinare il motore utilizzato dal gioco. Identificando le informazioni di base del gioco, possiamo determinare che il gioco è stato sviluppato utilizzando UE27.2.
Importa il gioco in IDA e scopri che il codice del gioco non è stato rinforzato e che le variabili GWorld possono essere rapidamente individuate tramite la ricerca del codice caratteristica di UE27.
E si può scoprire che anche la stringa non è crittografata.
Pertanto, dopo aver confermato che Gworld può essere localizzato tramite la firma e che il gioco non è crittografato, puoi scaricarlo tramite alcuni strumenti SDK Dump estraendo la firma NamePool.
Dopo aver ottenuto l'SDK del gioco, l'analisi può essere accelerata.
Conclusione dell'analisi:
BigTime ha ottenuto 0 punti per la protezione del codice di gioco, ovvero nessuna protezione. Nei giochi tradizionali, il codice sorgente è spesso protetto tramite crittografia, pacchetti e altri metodi personalizzati. Poiché BigTime non dispone di una solida protezione di base del codice di gioco, la soglia e il costo per l'analisi del codice da parte dei giocatori malintenzionati sono molto bassi. Se sono presenti plug-in, ciò è ingiusto nei confronti dei giocatori normali e può causare danni al modello economico del gioco. Influenza.
Nozioni di base del gioco anti-cheat:
Processo di analisi:
In termini di rilevamento anti-cheat di base, testiamo principalmente due aspetti: il primo è se il gioco dispone di anti-debug e l'altro è se il gioco dispone di protezione in lettura e scrittura.
Utilizzare CE per collegarsi quando il gioco è aperto e impostare un punto di interruzione sulla funzione generale. Si scopre che il gioco non si chiude o non viene richiesto
Ho modificato la salute nel gioco tramite CE e ho scoperto che può avere effetto e non sono presenti popup o istruzioni nel gioco. (La modifica dell'integrità serve solo per una visualizzazione più intuitiva. Questo campo è generalmente archiviato sul server e non ha alcun effetto se modificato localmente)
Conclusione dell'analisi:
BigTime ha un punteggio pari a 0 in termini di capacità anti-cheat. Se sono presenti utenti malintenzionati, possono imbrogliare a piacimento.
Il motivo per cui vengono testate solo la protezione anti-debug e la protezione da lettura-scrittura è che per un plug-in, la ricerca dei dati e l'implementazione delle funzioni possono essere ottenute solo tramite debug, lettura e scrittura. Se mancano le due funzionalità di protezione più basilari, alcuni tipi di injection, hook e altri rilevamenti saranno privi di significato.
problemi di logica del gioco
Processo di analisi:
Per i giochi di tipo MMO sviluppati sulla base di UE, i vantaggi derivanti dalla manomissione dei dati locali sono molto bassi. Il motivo è che UE dispone di un meccanismo di sincronizzazione ben consolidato per la sincronizzazione tra ciascun attore e altri attributi e la verifica lato server analizzando il gioco Osservando il codice sorgente, è ovvio che BigTime non utilizza correttamente il meccanismo di sincronizzazione degli attributi. Alcuni dati sono ancora implementati, come la funzione Comboindex. Impostando un punto di interruzione di scrittura sull'indice combo, è possibile trovare la scrittura funzione, quindi è possibile eseguire il debug della funzione combinata. (Operazioni specifiche influenzeranno l'equità e non saranno dimostrate)
Conclusione dell'analisi:
I problemi complessivi di sicurezza della logica di gioco di BigTime non sono molto importanti, ma ci sono ancora alcuni rischi per la sicurezza, quindi il punteggio di sicurezza logica è di 4 punti.
Manca un meccanismo di sincronizzazione per alcuni attributi sensibili e altri dovrebbero essere crittografati sul lato server.
Analisi RPC del gioco
Poiché la questione RPC è relativamente delicata, l'analisi non verrà effettuata temporaneamente senza l'autorizzazione della parte progettuale. L'attuale protezione di sicurezza RPC di BigTime è 0 e, dopo i test, si è riscontrato che il server riconoscerà alcuni pacchetti RPC e il loro punteggio di sicurezza è 0. Si consiglia al team di progetto di condurre un audit dettagliato sulla sicurezza complessiva di RPC. L'immagine seguente mostra alcune informazioni RPC.
Analisi della sicurezza WEB3:
panoramica:
Essendo un gioco a catena, Bigtime può essere diviso in due parti in termini di progettazione Web3, vale a dire: la parte base del token Bigtime e la parte del sistema economico WEB3 in-game. Questa parte del progetto è relativamente separata dagli altri giochi. Il gioco è responsabile della generazione di token e della falsificazione di NFT e allo stesso tempo dell'implementazione di un contratto di token a circolazione fissa su ETH.
Sicurezza del contratto token:
Le informazioni di base del token sono le seguenti:
Il contratto token BigTime utilizza i token Mint su un portafoglio multi-firma e quindi li distribuisce con una fornitura fissa. Poiché le attuali funzioni del contratto token sono semplici, la sicurezza di base del contratto è sufficiente. Osservando le informazioni Tx del portafoglio Owner, puoi vedere che il portafoglio Owner ha trasferito alcuni token a diversi portafogli dopo aver acquisito i token.
La maggior parte di questi portafogli sono portafogli multi-firma che utilizzano Safe. Sulla base di ciò si può constatare che gli attuali rischi complessivi per la sicurezza legati ai token derivano principalmente dalla fuga di chiavi private e dall’esistenza di conti privilegiati sul lato del progetto. Sebbene venga utilizzata la firma multipla, esiste comunque un certo rischio di furto di valuta se viene divulgata la chiave privata di un account privilegiato.
Sicurezza del sistema economico nel gioco:
In BigTime, i giocatori possono entrare nello spazio della guardia spazio-temporale per eseguire operazioni come forgiare la clessidra temporale, caricare la clessidra temporale, ecc. Alcune di queste funzioni che possono influenzare direttamente l'equilibrio del mercato vengono memorizzate ed eseguite localmente non è chiaro come sia progettato GS ma questo comportamento è un comportamento ad alto rischio. come segue
Esistono molte funzioni RPC come questa. Considerando l'alto costo dei test, per il momento non eseguiremo alcun test di sicurezza. Ci auguriamo che il team di progetto possa esprimere giudizi severi su questa parte del contenuto sul server.
A proposito di Damocle
Damocles labs è un team di sicurezza fondato nel 2023, focalizzato sulla sicurezza del settore Web3. I suoi contenuti aziendali includono: audit del codice contrattuale, audit del codice aziendale, test di penetrazione, audit del codice GameFi, mining delle vulnerabilità GameFi, analisi dei plug-in GameFi e. Anti-cheat di GameFi.
Continueremo a lavorare sodo nel settore della sicurezza Web3 e produrremo il maggior numero possibile di rapporti di analisi per aumentare la consapevolezza della sicurezza di GameFi tra le parti del progetto e gli utenti e promuovere lo sviluppo della sicurezza del settore.
