search icon



menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

區塊鏈

在推特病毒式傳播的xPET,合約代碼真的安全嗎?

BlockBeats 律動財經 2023-12-29 11:30

cover image of news article
律動財經圖片

最近,在 Twitter 平台上,一款名為 xPET 的基於區塊鏈的遊戲迅速走紅。有人形容這個項目像是一種「Web3 病毒」,迅速增加了關注者和用戶數量。xPET 是一個早期的項目,結合了遊戲和社交元素,在推出僅兩周內就引起了巨大關注。由於 GameFi 行業的復甦和 xPET 獨特的機制,該項目在最近成為了備受矚目的話題,吸引了 2785 ETH(約合 650 萬美元)的存款。

然而,與之相關的安全問題不容忽視。為了幫助用戶了解潛在的風險,Beosin 安全團隊將對 xPET 的設計機制和合約代碼進行詳細分析,揭示其中存在的安全漏洞。

xPET 機制分析

xPET 是一款建立在 Arbitrum 上的寵物遊戲,結合了 Tipcoin 和之前在 Base 鏈上廣受歡迎的 Fren Pet 的元素。遊戲玩法涉及通過餵養寵物進行升級和盈利。xPET 的獨特之處在於它採用了瀏覽器插件的形式,要求通過 Twitter 身份驗證進行登錄,並在隨後的遊戲獎勵任務中實現與 Twitter 的完全集成。


https://www.xPET.tech/

目前,遊戲內容主要圍繞着餵養寵物、升級工廠以及完成 Twitter 任務以獲取寶箱展開。玩家必須將寵物升級到第 7 級,以生產 Berry,這可以轉換為 BPET 以獲取利潤。升級寵物需要支付 xPET 的兩個代幣之一,即 xPET 或 BPET。用戶最初需要以 ETH 作為抵押,借入 xPET(可與 BPET 以 1:1 兌換),或者從 xPET-ETH 交易池購買 xPET。遊戲的經濟系統設計如下圖所示:

來源:Beosin

xPET 合約分析

xPET 的主要合約是一個 ERC1967 可升級合約。

代理合約地址為: 0x1B0D12879960A768D02bd223ef735D4231a15348,

邏輯合約地址為: 0xcD4420B70e2669De8dE9d62dd7fEa4D19b320768。

xPET 代幣合約地址為: 0x00cbcf7b3d37844e44b888bc747bdd75fcf4e555,

$$XPET 代幣合約地址為 0x00cbcf7b3d37844e44b888bc747bdd75fcf4e555,$$BPET 代幣合約地址為: 0x6daf586b7370b14163171544fca24abcc0862ac5。

通過 Beosin VaaS 工具和 Beosin 安全審計專家的分析,已經識別出 xPET 相關合約中的潛在安全風險:

https://vaas.beosin.com/

xPET 主合約

主合約負責處理 ETH 和 xPET 的借貸邏輯。然而,由於主合約是一個可升級合約,而且項目未公開此可升級合約中的邏輯合約,因此無法檢測邏輯合約中潛在的邏輯錯誤或風險。

在可升級合約的安全性方面,Beosin 提出以下建議:

初始化合約和依賴項,開發者在部署過程中可能忽略對合約和依賴項的初始化,從而導致嚴重的漏洞。

解決地址儲存衝突,在合約升級過程中修改儲存可能導致不同版本之間的衝突,引發數據錯誤和財務損失。

管理權限,開發者應當限制升級權限,以防止攻擊者掌控合約升級。

xPET 代幣合約

xPET 代幣合約繼承了 ERC20 和 AccessControl 合約,存在潛在風險:

中心化風險,該合約將部署者指定為管理員角色,形成一個中心化的控制點。攻擊部署者的帳戶會帶來重大風險。

代幣可訪問性,該合約集中了代幣流動,因為所有代幣都被鑄造到合約自身。這種設計使得代幣流動變得中心化。

提款和轉換功能缺乏事件,在調用這些功能時應發出事件,以進行外部監控和跟蹤。

BPET 代幣合約

xPET 代幣合約類似,BPET 代幣合約存在一個無法忽視的單點風險:

中心化風險,該合約將部署者指定為管理員和鑄造者,集中了權力。攻擊部署者的地址可能導致嚴重的安全風險。

無上限鑄幣

轉換功能缺乏對可鑄幣數量的限制。如果部署者決定過度鑄造代幣以謀求利潤,可能導致代幣價格急劇下跌。

角色管理,合約缺乏吊銷或轉移角色的功能,如果需要進行所有權轉移或移除鑄造者,可能存在潛在的安全問題。

其他風險

除了合約風險之外,xPET 還面臨與 Twitter 上的垃圾資訊有關的問題。由於 xPET 要求用戶在 Twitter 上發布帶有「xPET」一詞的評論以賺取遊戲獎勵,導致出現了大量無關的帖子包含「xPET」,引起了許多 Twitter 用戶的不滿。

Twitter 的開發者協議禁止使用與 Twitter 相關的開發者產品生成垃圾資訊。如果 Twitter 禁用了 xPET,其依賴於 Twitter 集成的遊戲玩法將完全停止。

https://developer.twitter.com/en/developer-terms/policy

結論

xPET 項目的核心邏輯合約仍然是封閉源代碼,而且兩個代幣合約都存在明顯的中心化風險。用戶應當注意相關風險,而通過一些合約代碼的改進可以提高安全性。在此之前,市場已經見證了 GameFi 和 SocialFi 的多個趨勢。建議用戶明智管理資金,並在充分了解項目風險後以理性的方式參與。

原文連結

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠

文章標籤


Empty