Damocles:BigTime 游戏分析报告
2023-11-19
作者:Damocles
一、 概要
BigTime GameFi的趋势是在2023年10月10日发布货币之后,团队从9月份开始关注BigTime,但由于缺乏资格,没有进行分析。在最近降低注册门槛后,我们开始对BigTime进行一系列安全分析和测试,主要包括伪造游戏客户端、故意启用GameRPC测试、货币合同审计等。根据游戏的总体评价,我们发现游戏的安全性较弱,故意玩家的欺诈成本较低。根据游戏的总体评价,我们发现游戏的安全性较弱,故意玩家的欺诈成本较低。而且游戏分析难度较低。如果项目方想要不断运营游戏,应该把提高游戏的安全性和公平性放在后期运营的首位。
二、 背景故事
评价游戏版:v0.28-CL#78459
游戏分类&游戏引擎:MMORPG,UE4.27
游戏玩法中可能存在的问题:
1.非法移动(根据RPC故意封包进行瞬移、加速等。)
2.加速(游戏中大世界的时间, UE框架下的时间函数)
3.一键连段/一键技能循环
4.加速NFT煅造
5.NFT随机数控
6.团本结束后的各种清算
三、 游戏安全分析
游戏代码维护:、
分析过程:
- 由于不同的模块有不同的分析模式,因此,在掌握了游戏EXE之后,首先要明确游戏使用的模块,根据游戏的基本信息识别,我们可以知道游戏是用UE27.2设计的。
- 将游戏导入IDA,发现游戏代码没有加固,GWorld变量可以通过UE27的特征码检索快速找到
并且可以发现字符串没有加密。
因此,在显然可以通过特征码定位到Gworld并且游戏没有加密后,可以通过一些SDKDump工具获取NamePool特征码进行dump。
因此,在显然可以通过特征码定位到Gworld并且游戏没有加密后,可以通过一些SDKDump工具获取NamePool特征码进行dump。
在掌握了游戏SDK后,可以加速分析。剖析结果:BigTime在游戏代码保护方面得分为0,没有维护。在传统游戏中,源代码的保护通常采用定制加密、加壳等方式。由于BigTime没有完善的基本游戏代码维护,故意玩家分析代码的门槛和成本非常低。如果有插件,对正常玩家不公平,可能会影响游戏的经济模式。
游戏基本反挂:- 分析过程:
在基本反挂检测层面,我们主要从两个方面进行检测,一是游戏是否存在反调试,二是游戏是否存在读写维护。
- 剖析结果:
BigTime在反挂能力方面得分为0,如果有故意客户,可以随意作弊。只检测反调试和读写维护的两个因素是,对于一个插件,只有通过调试和读写才能找到数据和实现功能。假如最基本的两种保护能力都缺失了,那么一些引进、hook等测试也毫无价值。
游戏逻辑问题
分析过程:
对于基于UE开发的MMO类型的游戏,伪造本地数据的利润非常低,因为UE有一个成型同步机制,用于每个Actor和其他同步及其服务端校准,但通过比较游戏源代码,显然,BigTime没有合理利用同步机制,仍然有一些数据着陆,如Comboindex功能。根据Comboindex设置载入断点,可以找到载入函数,然后调试Combo功能。(具体步骤会影响公平,不做演试)
- 剖析结果:
BigTime的整体游戏逻辑安全隐患并不十分突出,但仍存在一定的安全风险,因次逻辑安全得4分。(具体步骤会影响公平,不做演试)
剖析结果:BigTime的整体游戏逻辑安全隐患并不十分突出,但仍存在一定的安全风险,因次逻辑安全得4分。对某些敏感属缺乏同步机制,应将其放入服务端进行加密。游戏RPC分析由于RPC问题比较敏感,在缺乏项目方受权的情况下,暂时不进行分析。目前BigTime RPC安全防护为0
,而且
经过测试,一些RPC包发现服务器会同意,其安全评分为0。
项目方针对RPC的整体安全进行系统审计。下图显示了部分RPC信息。WEB
3安全分析:
概述:
作为一款链游,Bigtime在Web3设计上可以分为两部分:基本的Bigtime货币部分和游戏中的WEB3经济系统部分。与其他游戏相比,这部分设计相对分离,承担输出货币和煅烧NFT,并在ETH上签订固定流通货币合同。
货币合约安全:货币基本信息如下:
BigTime货币合同选择多签字货币夹Mint货币,然后以固定供应的形式布局。由于目前货币合约的作用简单,合约的基本安全就足够了。仔细观察Owner钱包的Tx信息,可以看到Owner钱包,掌握货币后,将部分货币转移到几个钱包。