descripción general
BigTime causó furor en GameFi después del lanzamiento del token el 10 de octubre de 2023. El equipo comenzó a prestar atención a BigTime en septiembre, pero no pudo realizar un análisis debido a la falta de calificaciones. Después de que se redujo recientemente el umbral de registro, comenzamos. para realizar una serie de análisis y análisis de seguridad en BigTime Testing, incluida la manipulación de los atributos del cliente del juego, pruebas de llamadas maliciosas de GameRPC, auditoría de contratos de tokens, etc. A través de la evaluación general del juego, encontramos que el juego tiene poca seguridad y el costo de hacer trampa es bajo para los jugadores malintencionados. Y el juego es fácil de analizar. Si el equipo del proyecto quiere continuar operando el juego, mejorar la seguridad y la equidad del juego debería ser la primera prioridad en operaciones posteriores.
Fondo del juego
Ø Versión del juego para evaluación: v0.28-CL#78459
Ø Tipo de juego y motor de juego: MMORPG, UE4.27
Ø Posibles problemas con el juego:
Movimiento ilegal (paquetes maliciosos a través de RPC para teletransportación, aceleración, etc.)
Aceleración (hora mundial en el juego, función de tiempo según el marco de la UE)
Combinación con un clic/ciclo de habilidades con un clic
Se aceleró la forja de NFT
Manipulación de números aleatorios NFT
Múltiples acuerdos después de que finaliza la copia.
Análisis de seguridad del juego.
Protección del código del juego:
Proceso de análisis: 1. Dado que diferentes motores tienen diferentes modos de análisis, después de obtener el EXE del juego, primero debe determinar el motor utilizado por el juego. Al identificar la información básica del juego, podemos determinar que el juego se desarrolló utilizando UE4.27.2. .
2. Importe el juego a IDA y descubra que el código del juego no ha sido reforzado y que la variable GWorld se puede localizar rápidamente mediante la búsqueda de código de función de UE4.27.
Y se puede encontrar que la cadena tampoco está cifrada.
Por lo tanto, después de confirmar que se puede localizar Gworld a través de la firma y que el juego no está encriptado, puedes volcarlo a través de algunas herramientas de volcado del SDK extrayendo la firma de NamePool.
Después de obtener el SDK del juego, se puede acelerar el análisis.
Conclusión del análisis:
BigTime obtiene una puntuación de 0 en protección del código del juego, lo que significa que no hay protección alguna. En los juegos tradicionales, el código fuente suele estar protegido mediante cifrado, empaquetado y otros métodos personalizados. Dado que BigTime no tiene una protección básica sólida del código del juego, el umbral y el costo para que los jugadores malintencionados analicen el código son muy bajos. Si hay complementos, es injusto para los jugadores normales y puede dañar el modelo económico del juego. Influencia.
Conceptos básicos del juego anti-trampas:
Proceso de análisis:
1. En términos de detección básica anti-trampas, probamos principalmente desde dos aspectos: uno es si el juego tiene anti-depuración y el otro es si el juego tiene protección de lectura y escritura.
2. Use CE para adjuntar cuando el juego esté abierto, establezca un punto de interrupción en la función general y descubra que el juego no sale o solicita
3. Use CE para modificar la salud en el juego y descubrió que puede surtir efecto y que no hay ventanas emergentes ni mensajes en el juego. (Modificar el estado es solo para una visualización más intuitiva. Este campo generalmente se almacena en el servidor y no tiene ningún efecto cuando se modifica localmente)
Conclusión del análisis:
1. La puntuación de capacidad antitrampas de BigTime es 0. Si hay usuarios malintencionados, pueden hacer trampa a voluntad. 2. La razón por la que solo probamos la protección antidepuración y de lectura y escritura es que, para un complemento, la búsqueda de datos y la implementación de funciones solo se pueden lograr mediante la depuración, la lectura y la escritura. Si faltan las dos capacidades de protección más básicas, algunas inyecciones, ganchos y otras detecciones no tendrán sentido.
problemas de lógica del juego
Proceso de análisis:
Para los juegos de tipo MMO desarrollados en base a UE, los beneficios de alterar los datos locales son muy bajos. La razón es que UE tiene un mecanismo de sincronización bien establecido para la sincronización entre cada actor y otros atributos y la verificación del lado del servidor. analizando el juego Al observar el código fuente, es obvio que BigTime no usa correctamente el mecanismo de sincronización de atributos. Algunos datos aún están implementados, como la función Comboindex. Al establecer un punto de interrupción de escritura en el índice combinado, puede encontrar la escritura. función, y luego puede depurar la función combinada. (Las operaciones específicas afectarán la equidad y no se demostrarán)
Conclusión del análisis:
1. El problema general de seguridad de la lógica del juego de BigTime no es muy importante, pero todavía existen ciertos riesgos de seguridad, por lo que la puntuación de seguridad lógica es de 4 puntos.
2. Falta un mecanismo de sincronización para algunos atributos confidenciales y se deben cifrar más en el lado del servidor.
Análisis RPC del juego
Dado que el problema de RPC es relativamente delicado, no se realizarán análisis temporalmente sin la autorización de la parte del proyecto. La protección de seguridad actual de BigTime RPC es 0 y, después de la prueba, se descubre que el servidor reconocerá algunos paquetes RPC y su puntuación de seguridad es 0. Se recomienda que el equipo del proyecto realice una auditoría detallada de la seguridad general de RPC. La siguiente imagen muestra información de RPC.
Análisis de seguridad WEB3:
descripción general:
Como juego en cadena, Bigtime se puede dividir en dos partes en términos de diseño Web3, a saber: la parte básica del token bigtime y la parte del sistema económico WEB3 del juego. Esta parte del diseño está relativamente separada de otros juegos. El juego es responsable de generar tokens y falsificar NFT y, al mismo tiempo, implementar un contrato de token de circulación fija en ETH.
Seguridad del contrato de token:
La información básica del token es la siguiente:
Dirección: 0x64Bc2cA1Be492bE7185FAA2c8835d9b824c8a194
Símbolo: A LO GRANDE
Propietario: 0xc3322716475fba83bfc057112247a43f1a1f2c4c (GnosisSafe)
Suministro total: 5.000.000.000
El contrato de token BigTime utiliza tokens Mint en una billetera con múltiples firmas y luego los implementa con un suministro fijo. Debido a que las funciones actuales del contrato de token son simples, la seguridad básica del contrato es suficiente. Al observar la información de Tx de la billetera del Propietario, puede ver que la billetera del Propietario transfirió algunos tokens a varias billeteras después de adquirir los tokens.
La mayoría de estas billeteras son billeteras con múltiples firmas que utilizan Safe. Con base en esto, se puede encontrar que los riesgos de seguridad generales actuales relacionados con los tokens provienen principalmente de la filtración de claves privadas y la existencia de cuentas privilegiadas en el lado del proyecto. Aunque se utiliza la firma múltiple, todavía existe un cierto riesgo de robo de moneda si se filtra la clave privada de una cuenta privilegiada.
Seguridad del sistema económico en el juego:
En BigTime, los jugadores pueden ingresar al espacio de la guardia del espacio-tiempo para realizar operaciones como forjar el reloj de arena, cargar el reloj de arena, etc. Algunas de estas funciones que pueden afectar directamente el equilibrio del mercado se almacenan y ejecutan localmente. No está claro cómo está diseñado GS, pero este comportamiento es de alto riesgo. como sigue
Hay muchas funciones RPC como esta. Teniendo en cuenta el alto costo de las pruebas, no realizaremos ninguna prueba de seguridad por el momento. Esperamos que el equipo del proyecto pueda emitir juicios estrictos sobre esta parte del contenido del servidor.
Acerca de Damocles
Damocles Labs es un equipo de seguridad establecido en 2023 que se centra en la seguridad de la industria Web3. Su negocio incluye: auditoría de código de GameFi, minería de vulnerabilidades de GameFi, análisis de complementos de GameFi, anti-trampas de GameFi, auditoría de código de contrato, auditoría de código comercial. pruebas de penetración, etc.
Continuaremos trabajando duro en la industria de la seguridad Web3 y generaremos tantos informes de análisis como sea posible para mejorar el conocimiento de la seguridad de GameFi entre las partes del proyecto y los usuarios, y promoveremos el desarrollo de la seguridad de la industria.
Gorjeo: https://twitter.com/DamoclesLabs
Discordia: https://discord.gg/xd6H6eqFHz
