Дебют новачка GameFi: Fren Pet, повноланцюгова гра з точки зору безпеки

Після того, як захоплення Friend.tech вщухло, увагу ринку привернула Fren Pet, блокчейн-гра на основі блокчейну, створена двома розробниками. З 19 по 20 листопада, завдяки офіційній увазі Base та геймплею соціального поділу Fren Pet, Fren Pet став популярним у соціальних мережах і став новачком GameFi.

Незважаючи на те, що кількість користувачів Fren Pet швидко зростає, аспект безпеки залишається безперешкодним. Сьогодні команда безпеки Beosin проаналізує механізм розробки та код контракту Fren Pet, щоб допомогти вам зрозуміти потенційні ризики.

Аналіз механізму Fren Pet

Поточна гра Fren Pet складається з карбування домашніх тварин, годування домашніх тварин, битв домашніх тварин проти інших користувачів, колеса фортуни та кидання кубиків. Користувачам гри, які беруть участь у Fren Pet, спочатку потрібно карбувати домашніх тварин (NFT), і кожен вихованець повинен витратити 100 токенів FP на карбування (якщо інші користувачі згодом карбуватимуть домашніх тварин, витрачений FP буде повернуто користувачеві), а потім користувачам потрібно заплатити FP-токени, щоб купити яблука, каву та інший реквізит для годування своїх вихованців, щоб уникнути TOD (Countdown to Death) вихованця до нуля, тобто утримуваний NFT буде автоматично знищений.

Pet Points нараховуються за годування домашніх тварин, чим вищі бали, тим більше винагород ETH ви отримуєте, а винагороди ETH надходять від податку на транзакції з токенів FP, який обкладається податком у розмірі 5% з кожної транзакції та 2% розподіляється між геймерами. Таким чином, чим більше користувачів беруть участь, тим більший попит на FP tokens, тим більший обсяг торгів FP token і тим більше ETH буде винагороджено.

Аналіз контракту з домашніми тваринами

Основна адреса контракту Fren Pet — 0x85b157EbaAF289De5301aE6694B651BF3b8df1C3, адреса контракту NFT — 0x5b51Cf49Cb48617084eF35e7c7d7A21914769ff1, а адреса контракту токена — 0xFF0C532FDB8Cd566Ae169C1CB157ff2Bdc83E105 Інструмент Beosin VaaS просканував контракт у поєднанні з аналізом експертів з аудиту безпеки Beosin і виявив, що контракт має такі потенційні ризики для безпеки:

Beosin VaaS

Основний контракт Fren Pet

Основний контракт Fren Pet несе основну відповідальність за ігровий контент і розподіл винагород, згаданих вище. Ось кілька пропозицій щодо підвищення безпеки їхніх контрактів:

1. Додано модифікатор nonReentrant

У функціях викупу та знищення контракту розробник повинен підтвердити, що функція не піддається ризику атак повторного входу. Рекомендується використовувати модифікатор nonReentrant контракту openzeppelin anti-reentrant, щоб уникнути атак повторного входу.

2. Використовуйте безпечний генератор випадкових чисел

Nonce, який використовується основним контрактом Fren Pet, генерується з блоків та адрес відправників, і безпечніше використовувати випадкову функцію, яку можна перевірити, як-от Chainlink, для генерації надійних і справедливих номерів nonce.

3. Зверніть увагу на контроль доступу

Основний контракт Fren Pet використовує модифікатор isApproved для контролю того, чи має абонент дозвіл на виклик функції, що вимагає від розробника бути добре знайомим з бізнес-логікою свого проекту і підтвердити, що дозвіл не буде обійдено. У договорі Fren Pet V2 питання контролю доступу все одно потрібно приділити увагу.

####Fren Pet NFT 合约

Загальна структура NFT-контракту Fren Pet виглядає наступним чином:

Контракт FrenpetNFT успадковує ERC721 і відповідає за карбування та спалювання NFT, а IRenderer відповідає за обробку метаданих NFT Fren Pet. Рекомендується випромінювати події при виклику його функцій setRenderer і setMinter, щоб зовнішній світ міг прослухати і відстежити передачу відповідної інформації. **

Контракт на токен Fren Pet

1. Ризик централізації

Контракт токена має кілька функцій onlyOwner, таких як функція чорного списку та функція updateBuyFees. Ці функції можуть мати величезний вплив на торгівлю токенами. Власник контракту може змінити комісію за транзакцію, заблокувати користувачеві купівлю або продаж, а також додати чорний список адрес:

2. Відсутнє блокування часу

Контракт на токен Fren Pet не має тимчасового блокування для обмеження прав на операцію власника контракту. У той час як деякі функції в контракті, такі як withdrawStuckToken() і updateSwapEnabled(), дозволяють власникам контрактів вживати заходів проти контракту в надзвичайних ситуаціях для захисту активів користувачів, відсутність тимчасових блокувань може дозволити зловживати цими функціями. У цьому випадку користувач і охоронна компанія не встигають відреагувати на дії власника договору.

Остерігайтеся ризиків фішингу!

На додаток до контрактних ризиків, через популярність Fren Pet нескінченним потоком з’являються пов’язані фішингові веб-сайти та облікові записи в соціальних мережах. Нагадайте користувачам, щоб вони не натискали на фальшиві посилання, наприклад, посилання з пошуку Google, і найкраще пройти через інші соціальні платформи для вторинної перевірки. Такі фальшиві облікові записи часто пишуть у Твіттері, що були відкриті аірдропи відповідних токенів, щоб заманити користувачів на фішингові веб-сайти.

Фішинговий веб-сайт Fren Pet

Слід пам’ятати про кілька порад щодо боротьби з фішингом, намагатися уникати фішингу або розглянути можливість встановлення плагіна Beosin Anti-Phishing, щоб допомогти вам ідентифікувати фішингові сайти. **

Посилання для скачування:

Підсумки

Контракт Fren Pet не має очевидних вразливостей бізнес-логіки, але ризик централізації контракту очевидний, і деякий код має більш безпечну реалізацію для підвищення безпеки контракту. До цього на ринку було багато захоплень GameFi та SocialFi, а звичайні користувачі схильні до емоцій FOMO та сліпо потрапляють у рибальську пастку. Користувачі повинні усвідомлювати, що Fren Pet — це лише спроба двох розробників у сфері Web3, і користувачі повинні добре справлятися з управлінням коштами та дослідженням проєктів, а також брати участь раціонально.