Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Plus
Débuts sur GameFi : Fren Pet, un jeu à chaîne complète du point de vue de la sécurité
Après que l’engouement pour les Friend.tech se soit calmé, Fren Pet, un jeu blockchain basé sur la blockchain construit par deux développeurs, a attiré l’attention du marché. Du 19 au 20 novembre, grâce à l’attention officielle de Base et au gameplay de la fission sociale de Fren Pet, Fren Pet est devenu populaire sur les réseaux sociaux et est devenu une recrue de la GameFi.
Alors que le nombre d’utilisateurs de Fren Pet augmente rapidement, l’aspect sécurité reste sans entrave. Aujourd’hui, l’équipe de sécurité de Beosin va analyser le mécanisme de conception et le code contractuel de Fren Pet pour vous aider à comprendre les risques potentiels.
Analyse du mécanisme de Fren Pet
Le jeu actuel de Fren Pet se compose de la frappe d’animaux de compagnie, de l’alimentation d’animaux de compagnie, de batailles d’animaux de compagnie contre d’autres utilisateurs, de la roue de la fortune et du lancer de dés. Les utilisateurs de jeux qui participent à Fren Pet doivent d’abord frapper des animaux de compagnie (NFT), et chaque animal doit dépenser 100 jetons FP pour la frappe (si d’autres utilisateurs frappent par la suite des animaux de compagnie, les FP dépensés seront retournés à l’utilisateur), puis les utilisateurs doivent payer des jetons FP pour acheter des pommes, du café et d’autres accessoires pour nourrir leurs animaux de compagnie afin d’éviter que le TOD (compte à rebours vers la mort) de l’animal ne tombe à zéro, c’est-à-dire que le NFT détenu sera automatiquement détruit.
Les points d’animaux de compagnie sont attribués pour nourrir les animaux de compagnie, plus les points sont élevés, plus vous obtenez de récompenses ETH, et les récompenses ETH proviennent de la taxe de transaction sur les jetons FP, qui est soumise à une taxe de 5 % sur chaque transaction et 2 % est distribuée aux joueurs. Par conséquent, plus il y a d’utilisateurs qui participent, plus la demande de jetons FP est importante, plus le volume d’échange de jetons FP est important et plus l’ETH sera récompensé.
Analyse du contrat Fren Pet
L’adresse principale du contrat de Fren Pet est 0x85b157EbaAF289De5301aE6694B651BF3b8df1C3, l’adresse du contrat NFT est 0x5b51Cf49Cb48617084eF35e7c7d7A21914769ff1 et l’adresse du contrat du jeton est 0xFF0C532FDB8Cd566Ae169C1CB157ff2Bdc83E105 L’outil VaaS de Beosin a analysé le contrat, combiné à l’analyse des experts en audit de sécurité de Beosin, et a constaté que le contrat présentait les risques de sécurité potentiels suivants :
Contrat principal pour les animaux de compagnie de Fren
Le contrat principal Fren Pet est principalement responsable du contenu du jeu et de la distribution des récompenses mentionnés ci-dessus. Voici quelques suggestions pour améliorer la sécurité de leurs contrats :
1. Ajouter un modificateur non réentrant
Dans les fonctions de rachat et d’élimination du contrat, le développeur doit confirmer que la fonction ne risque pas d’être attaquée par réentrée. Il est recommandé d’utiliser le modificateur non-réentrant du contrat anti-rentrant openzeppelin pour éviter les attaques de ré-entrée.
2. Utilisez un générateur de nombres aléatoires sécurisé
Le nonce utilisé par le contrat principal Fren Pet est généré à partir de blocs et d’adresses d’expéditeur, et il est plus sûr d’utiliser une fonction aléatoire vérifiable comme Chainlink pour générer des nombres de nonce fiables et équitables.
3. Faites attention au contrôle d’accès
Le contrat principal Fren Pet utilise le modificateur isApproved pour contrôler si l’appelant a l’autorisation d’appeler la fonction, ce qui nécessite que le développeur connaisse très bien la logique métier de son projet et confirme que l’autorisation ne sera pas contournée. Dans le contrat Fren Pet V2, la question du contrôle d’accès doit encore être prise en compte.
####Fren Pet NFT 合约
La structure globale du contrat NFT Fren Pet est la suivante :
Le contrat FrenpetNFT hérite de l’ERC721 et est responsable de la frappe et de la gravure des NFT, et IRenderer est responsable du traitement des métadonnées des NFT Fren Pet. Il est recommandé d’émettre des événements lorsque ses fonctions setRenderer et setMinter sont appelées, afin que le monde extérieur puisse écouter et suivre le transfert d’informations pertinentes. **
Contrat de jeton de familier Fren
1. Risque de centralisation
Le contrat de jeton comporte plusieurs fonctions onlyOwner, telles que la fonction de liste noire et la fonction updateBuyFees. Ces fonctions peuvent avoir un impact énorme sur le trading de jetons. Le propriétaire du contrat peut modifier les frais de transaction, empêcher l’utilisateur d’acheter ou de vendre et ajouter une liste noire d’adresses :
2. Verrouillage temporel manquant
Le contrat de jeton Fren Pet n’a pas de verrouillage de temps pour limiter les droits d’exploitation du titulaire du contrat. Bien que certaines fonctions du contrat, telles que withdrawStuckToken() et updateSwapEnabled(), permettent aux titulaires de contrat de prendre des mesures contre le contrat en cas d’urgence pour protéger les actifs des utilisateurs, l’absence de verrous temporels peut permettre d’abuser de ces fonctions. Dans ce cas, l’utilisateur et l’entreprise de sécurité n’ont pas assez de temps pour réagir aux actions du titulaire du contrat.
Attention aux risques de phishing !
En plus des risques contractuels, en raison de la popularité de Fren Pet, les sites Web de phishing et les comptes de médias sociaux connexes émergent également dans un flux sans fin. Rappelez aux utilisateurs de ne pas cliquer sur de faux liens, tels que des liens provenant de recherches Google, et il est préférable de passer par d’autres plateformes sociales pour une vérification secondaire. Ces faux comptes tweetent souvent que des airdrops de jetons pertinents ont été ouverts pour attirer les utilisateurs vers des sites Web de phishing.
Il y a quelques conseils anti-hameçonnage à garder à l’esprit, essayez d’éviter le phishing ou envisagez d’installer le plugin Beosin Anti-Phishing pour vous aider à identifier les sites de phishing. **
Lien de téléchargement :
Résumé
Le contrat Fren Pet n’a pas de vulnérabilités évidentes en termes de logique métier, mais le risque de centralisation du contrat est évident, et certains codes ont une implémentation plus sécurisée pour améliorer la sécurité de leur contrat. Avant cela, il y a eu de nombreux engouements pour la GameFi et la SocialFi sur le marché, et les utilisateurs ordinaires sont sujets aux émotions FOMO et tombent aveuglément dans le piège de la pêche. Les utilisateurs doivent reconnaître que Fren Pet n’est qu’une tentative de deux développeurs dans le domaine du Web3, et que les utilisateurs doivent faire un bon travail de gestion de fonds et de recherche de projets, et participer rationnellement.