Fren Pet, un jeu à chaîne complète, du point de vue de la sécurité

Après que l’engouement pour les Friend.tech se soit calmé, Fren Pet, un jeu blockchain basé sur la blockchain construit par deux développeurs, a attiré l’attention du marché. Du 19 au 20 novembre, grâce à l’attention officielle de Base et au gameplay de la fission sociale de Fren Pet, Fren Pet est devenu populaire sur les réseaux sociaux et est devenu une recrue de la GameFi.

Alors que le nombre d’utilisateurs de Fren Pet augmente rapidement, l’aspect sécurité reste sans entrave. **Aujourd’hui, l’équipe de sécurité de Beosin va analyser le mécanisme de conception et le code contractuel de Fren Pet pour vous aider à comprendre les risques potentiels. **

Analyse du mécanisme de l’animal de compagnie Fren

Le contenu actuel du jeu Fren Pet est la frappe d’animaux de compagnie, l’alimentation d’animaux de compagnie, les batailles d’animaux de compagnie contre d’autres utilisateurs, les roues de chance et le lancer de dés. Les utilisateurs de jeux qui participent à Fren Pet doivent d’abord frapper des animaux de compagnie (NFT), et chaque animal doit dépenser 100 jetons FP pour la frappe (si d’autres utilisateurs frappent par la suite des animaux de compagnie, les FP dépensés seront retournés à l’utilisateur), puis les utilisateurs doivent payer des jetons FP pour acheter des pommes, du café et d’autres accessoires pour nourrir leurs animaux de compagnie afin d’éviter que le TOD (compte à rebours vers la mort) de l’animal ne tombe à zéro, c’est-à-dire que le NFT détenu sera automatiquement détruit.

Les points d’animaux de compagnie sont attribués pour nourrir les animaux de compagnie, plus les points sont élevés, plus vous obtenez de récompenses ETH, et les récompenses ETH proviennent de la taxe de transaction sur les jetons FP, qui est soumise à une taxe de 5 % sur chaque transaction et 2 % est distribuée aux joueurs. Par conséquent, plus il y a d’utilisateurs qui participent, plus la demande de jetons FP est importante, plus le volume d’échange de jetons FP est important et plus l’ETH sera récompensé.

Analyse du contrat Fren Pet Set

L’adresse principale du contrat Fren Pet est 0x85b157EbaAF289De5301aE6694B651BF3b8df1C3, l’adresse du contrat NFT est 0x5b51Cf49Cb48617084eF35e7c7d7A21914769ff1 et l’adresse du contrat du jeton est 0xFF0C532FDB8Cd566Ae169C1CB157ff2Bdc83E105,** Cette fois-ci, nous avons analysé le contrat à l’aide de l’outil Beosin VaaS, combiné à l’analyse des experts en audit de sécurité de Beosin, et avons constaté que le contrat présentait les risques de sécurité potentiels suivants :**

Beosin VaaS

Contrat principal pour les animaux de compagnie de Fren

Le contrat principal Fren Pet est principalement responsable du contenu du jeu et de la distribution des récompenses mentionnés ci-dessus. Voici quelques suggestions pour améliorer la sécurité de leurs contrats :

1 Ajouter un modificateur non réentrant

Dans les fonctions de rachat et d’élimination du contrat, le développeur doit confirmer que la fonction ne risque pas d’être attaquée par réentrée. Il est recommandé d’utiliser le modificateur non-réentrant du contrat anti-rentrant openzeppelin pour éviter les attaques de ré-entrée.

2 Utilisez un générateur de nombres aléatoires sécurisé

Le nonce utilisé par le contrat principal Fren Pet est généré à partir de blocs et d’adresses d’expéditeur, et il est plus sûr d’utiliser une fonction aléatoire vérifiable comme Chainlink pour générer des nombres de nonce fiables et équitables.

3 Faites attention au contrôle d’accès

Le contrat principal Fren Pet utilise le modificateur isApproved pour contrôler si l’appelant a l’autorisation d’appeler la fonction, ce qui nécessite que le développeur connaisse très bien la logique métier de son projet et confirme que l’autorisation ne sera pas contournée. Dans le contrat Fren Pet V2, la question du contrôle d’accès doit encore être prise en compte.

####Fren Pet NFT 合约

La structure globale du contrat NFT Fren Pet est la suivante :

Le contrat FrenpetNFT hérite de l’ERC721 et est responsable de la frappe et de la gravure des NFT, et IRenderer est responsable du traitement des métadonnées des NFT Fren Pet. Il est recommandé d’émettre des événements lorsque ses fonctions setRenderer et setMinter sont appelées, afin que le monde extérieur puisse écouter et suivre le transfert d’informations pertinentes. **

Contrat de jeton de familier Fren

1 Risque de centralisation

Le contrat de jeton comporte plusieurs fonctions onlyOwner, telles que la fonction de liste noire et la fonction updateBuyFees. Ces fonctions peuvent avoir un impact énorme sur le trading de jetons. Le propriétaire du contrat peut modifier les frais de transaction, empêcher l’utilisateur d’acheter ou de vendre et ajouter une liste noire d’adresses :

2 Verrouillage temporel manquant

Le contrat de jeton Fren Pet n’a pas de verrouillage de temps pour limiter les droits d’exploitation du titulaire du contrat. Bien que certaines fonctions du contrat, telles que withdrawStuckToken() et updateSwapEnabled(), permettent aux titulaires de contrat de prendre des mesures contre le contrat en cas d’urgence pour protéger les actifs des utilisateurs, l’absence de verrous temporels peut permettre d’abuser de ces fonctions. Dans ce cas, l’utilisateur et l’entreprise de sécurité n’ont pas assez de temps pour réagir aux actions du titulaire du contrat.

Attention aux risques d’hameçonnage !

En plus des risques contractuels, en raison de la popularité de Fren Pet, les sites Web de phishing et les comptes de médias sociaux connexes émergent également dans un flux sans fin. **Rappelez aux utilisateurs de ne pas cliquer sur de faux liens, par exemple via des liens provenant de recherches Google, et il est préférable de passer par d’autres plateformes sociales pour une vérification secondaire. Ces faux comptes tweetent souvent que des airdrops de jetons pertinents ont été ouverts pour attirer les utilisateurs vers des sites Web de phishing. **

Site web d’hameçonnage Fren Pet

Il y a quelques conseils anti-hameçonnage à garder à l’esprit, essayez d’éviter le phishing ou envisagez d’installer le plugin Beosin Anti-Phishing pour vous aider à identifier les sites de phishing. **

Lien de téléchargement :

Résumé

Le contrat Fren Pet n’a pas de vulnérabilités évidentes en termes de logique métier, mais le risque de centralisation du contrat est évident, et certains codes ont une implémentation plus sécurisée pour améliorer la sécurité de leur contrat. Avant cela, il y a eu de nombreux engouements pour la GameFi et la SocialFi sur le marché, et les utilisateurs ordinaires sont sujets aux émotions FOMO et tombent aveuglément dans le piège de la pêche. **Les utilisateurs doivent reconnaître que Fren Pet n’est qu’une tentative de deux développeurs dans le domaine du Web3, et que les utilisateurs doivent faire un bon travail de gestion de fonds et de recherche de projets, et participer rationnellement. **