Fren Pet, một trò chơi toàn chuỗi, từ góc độ bảo mật

Sau khi cơn sốt Friend.tech lắng xuống, Fren Pet, một trò chơi blockchain dựa trên blockchain được xây dựng bởi hai nhà phát triển, đã thu hút sự chú ý của thị trường. Từ ngày 19 đến ngày 20 tháng 11, nhờ sự chú ý chính thức của Base và lối chơi phân hạch xã hội của Fren Pet, Fren Pet trở nên nổi tiếng trên mạng xã hội và trở thành tân binh GameFi.

Trong khi số lượng người dùng Fren Pet đang tăng lên nhanh chóng, khía cạnh an toàn vẫn không bị cản trở. **Hôm nay, đội ngũ bảo mật Beosin sẽ phân tích cơ chế thiết kế và mã hợp đồng của Fren Pet để giúp bạn hiểu rõ những rủi ro tiềm ẩn. **

**Phân tích cơ chế thú cưng Fren **

Nội dung trò chơi hiện tại của Fren Pet là đúc thú cưng, cho thú cưng ăn, đấu thú cưng với những người dùng khác, bánh xe may mắn và tung xúc xắc. Người dùng trò chơi tham gia Fren Pet trước tiên cần đúc thú cưng (NFT) và mỗi thú cưng cần bỏ ra 100 FP token để đúc (nếu người dùng khác sau đó đúc thú cưng, FP đã sử dụng sẽ được trả lại cho người dùng), sau đó người dùng cần trả FP token để mua táo, cà phê và các đạo cụ khác để nuôi thú cưng của họ để tránh TOD (Countdown to Death) của thú cưng về không, tức là NFT được giữ sẽ tự động bị hủy.

Điểm thú cưng được trao cho thú cưng ăn, điểm càng cao, bạn càng nhận được nhiều phần thưởng ETH và phần thưởng ETH đến từ thuế giao dịch đối với mã thông báo FP, chịu thuế 5% cho mỗi giao dịch và 2% được phân phối cho người chơi. Do đó, càng nhiều người dùng tham gia, nhu cầu về mã thông báo FP càng nhiều, khối lượng giao dịch của mã thông báo FP càng lớn và càng nhiều ETH sẽ được thưởng.

Phân tích hợp đồng Fren Pet

Địa chỉ hợp đồng chính của Fren Pet là 0x85b157EbaAF289De5301aE6694B651BF3b8df1C3, địa chỉ hợp đồng NFT là 0x5b51Cf49Cb48617084eF35e7c7d7A21914769ff1 và địa chỉ hợp đồng mã thông báo là 0xFF0C532FDB8Cd566Ae169C1CB157ff2Bdc83E105,** Lần này, chúng tôi đã quét hợp đồng thông qua công cụ Beosin VaaS, kết hợp với phân tích của các chuyên gia kiểm toán bảo mật của Beosin và nhận thấy rằng hợp đồng có các rủi ro bảo mật tiềm ẩn sau: **

Beosin VaaS

Hợp đồng chính Fren Pet

Hợp đồng chính của Fren Pet chịu trách nhiệm chính về nội dung trò chơi và phân phối phần thưởng được đề cập ở trên. Dưới đây là một số gợi ý để cải thiện tính bảo mật cho hợp đồng của họ:

**1 Thêm công cụ sửa đổi không phải Reentrant **

Trong các chức năng đổi và giết của hợp đồng, nhà phát triển nên xác nhận rằng chức năng không có nguy cơ bị tấn công lại. Bạn nên sử dụng công cụ sửa đổi nonReentrant của hợp đồng chống reentrant openzeppelin để tránh các cuộc tấn công re-entrancy.

**2 Sử dụng trình tạo số ngẫu nhiên an toàn **

Nonce được sử dụng bởi hợp đồng chính Fren Pet được tạo từ các khối và địa chỉ người gửi, và sẽ an toàn hơn khi sử dụng Hàm ngẫu nhiên có thể xác minh như Chainlink để tạo số nonce đáng tin cậy và công bằng.

**3 Chú ý đến kiểm soát truy cập **

Hợp đồng chính Fren Pet sử dụng công cụ sửa đổi isApproved để kiểm soát xem người gọi có quyền gọi hàm hay không, điều này đòi hỏi nhà phát triển phải rất quen thuộc với logic nghiệp vụ của dự án và xác nhận rằng quyền sẽ không bị bỏ qua. Trong hợp đồng Fren Pet V2, vấn đề kiểm soát truy cập vẫn cần được chú ý.

####Fren Pet NFT 合约

Cấu trúc tổng thể của hợp đồng Fren Pet NFT như sau:

Hợp đồng FrenpetNFT kế thừa ERC721 và chịu trách nhiệm đúc và đốt NFT, đồng thời IRenderer chịu trách nhiệm xử lý siêu dữ liệu của Fren Pet NFT. Bạn nên phát ra các sự kiện khi các hàm setRenderer và setMinter của nó được gọi, để thế giới bên ngoài có thể lắng nghe và theo dõi việc chuyển thông tin liên quan. **

Hợp đồng mã thông báo Fren Pet

1 Rủi ro tập trung

Hợp đồng token có nhiều chức năng onlyOwner, chẳng hạn như hàm blacklist và hàm updateBuyFees. Các chức năng này có thể có tác động rất lớn đến việc giao dịch mã thông báo. Chủ sở hữu hợp đồng có thể sửa đổi phí giao dịch, chặn người dùng mua hoặc bán và thêm danh sách đen địa chỉ:

2 Thiếu khóa thời gian

Hợp đồng mã thông báo Fren Pet không có khóa thời gian để hạn chế quyền hoạt động của chủ hợp đồng. Mặc dù một số chức năng trong hợp đồng, chẳng hạn như withdrawStuckToken () và updateSwapEnabled (), cho phép chủ sở hữu hợp đồng thực hiện hành động chống lại hợp đồng trong trường hợp khẩn cấp để bảo vệ tài sản của người dùng, việc thiếu khóa thời gian có thể cho phép các chức năng này bị lạm dụng. Trong trường hợp này, người dùng và công ty bảo mật không có đủ thời gian để phản ứng với hành động của chủ hợp đồng.

** Cẩn thận với rủi ro lừa đảo!**

Ngoài rủi ro hợp đồng, do sự phổ biến của Fren Pet, các trang web lừa đảo và tài khoản mạng xã hội liên quan cũng đang nổi lên trong một dòng chảy vô tận. ** Nhắc nhở người dùng không nhấp vào các liên kết giả mạo, chẳng hạn như thông qua các liên kết từ các tìm kiếm của Google và tốt nhất là đi qua các nền tảng xã hội khác để xác minh thứ cấp. Các tài khoản giả mạo như vậy thường tweet rằng airdrop của các mã thông báo có liên quan đã được mở để thu hút người dùng vào các trang web lừa đảo. **

Trang web lừa đảo Fren Pet

Có một số mẹo chống lừa đảo cần ghi nhớ, cố gắng tránh lừa đảo hoặc xem xét cài đặt plugin Beosin Anti-Phishing để giúp bạn xác định các trang web lừa đảo. **

Liên kết tải xuống:

Tóm tắt

Hợp đồng Fren Pet không có lỗ hổng logic kinh doanh rõ ràng, nhưng rủi ro tập trung của hợp đồng là rõ ràng và một số mã có triển khai an toàn hơn để cải thiện tính bảo mật của hợp đồng. Trước đó, đã có rất nhiều cơn sốt GameFi và SocialFi trên thị trường, và người dùng bình thường dễ có cảm xúc FOMO và mù quáng rơi vào bẫy câu cá. **Người dùng cần nhận ra rằng Fren Pet chỉ là một nỗ lực của hai nhà phát triển trong lĩnh vực Web3 và người dùng nên làm tốt công việc quản lý quỹ và nghiên cứu dự án, đồng thời tham gia hợp lý. **