概要
BigTime 于2023年10.10号上线代币后引起了GameFi的热潮，团队从9月份开始关注BigTime但是苦于没有资格一直未进行分析，在最近降低注册门槛以后，我们开始针对BigTime进行一系列的安全分析与测试，其中包括针对游戏客户端属性篡改，GameRPC恶意调用测试，代币合约审计等。通过对游戏的整体评估，我们发现该游戏的安全性较差，对于恶意玩家来看，其作弊成本低。并且游戏的分析难度低。如果项目方想持续运营游戏，提升游戏的安全性与公平性应该放在后期运营首位。
游戏背景
Ø  进行评估的游戏版本：v0.28-CL#78459
Ø  游戏类型&游戏引擎：MMORPG，UE4.27
Ø  游戏玩法可能存在的问题： 
非法移动（通过RPC进行恶意封包进行瞬移，加速等操作） 加速（游戏内大世界时间, UE框架下的时间函数）一键连段/一键技能循环 NFT锻造加速NFT随机数操纵 副本结束后的多重结算
游戏安全性分析
游戏代码保护：
分析过程： 1.    由于不同的引擎有不同的分析模式，所以在获取到游戏EXE后首先需要确定游戏使用的引擎，通过对游戏基础信息识别我们可以确

概要
cradles于11.15日开放下载，Damocles团队于11.16日对该游戏进行深入的安全分析，通过分析发现该游戏有大量Debug信息未删去，从Debug日志推断该游戏开发团队为中国团队。并且在测试过程中发现，该游戏并未进行任何的安全保护，且游戏通信协议部分使用开源引擎，并且对于有些逻辑判断过于不严谨，不推荐用户去游玩体体验。

游戏背景
Ø  进行评估的游戏版本：20231115
Ø  游戏类型&游戏引擎：MMORPG，Unity2021.3.x
Ø  游戏玩法可能存在的问题：
非法移动（通过RPC进行恶意封包进行瞬移，加速等操作）加速（游戏内大世界时间, UE框架下的时间函数）自瞄/自动锁定无敌 无限体力挖矿加速
游戏安全性分析
游戏代码保护
1.    由于不同的引擎有不同的分析模式，所以在获取到游戏EXE后首先需要确定游戏使用的引擎，通过对游戏基础信息识别我们可以确定该游戏是使用Unity21.3.x进行开发。

2.    通过浏览游戏释放的文件，可以确定游戏采用Mono机制，并不是采用iL2Cpp的模式进行开发。采用这种方式开发的游戏，整体的安全性会更差，分析

概要（游戏安全性评分）
Seraph于2023年11月22日开放三测。Damocles团队于11.24号针对该游戏进行了安全分析与评估，但是评估结果不尽如人意。首先是项目方在代码中留存大量Log信息，并且可以从Log信息推断出项目方并非韩国团队，而是中国团队，且该游戏采用Unity加载lua的方式，并未对Lua代码进行保护，或者使用lua jit等提升逆向难度的手段进行源码保护，这就导致源码完全暴露，只需要hook load函数即可从内存中dump出游戏源码。但是该游戏属于ARPG游戏，该类游戏有天然的防作弊优势，即大部分数据均通过服务器同步，所以又在一定程度上缓解了游戏的安全问题。

游戏背景
Ø  进行评估的游戏版本：v0.0.0.6
Ø  游戏类型&游戏引擎：ARPG，Unity
Ø  游戏玩法可能存在的问题：
瞬移 加速（加速移动，加速释放技能）自动挂机倍率修改 无敌 Buff修改（让角色可以持续存在增加灵魂晶石产出的buff或其它
游戏安全性分析
游戏代码保护