近期出現(xiàn)盜幣事件說明了代碼審計(jì)的性

近期farmersworld出現(xiàn)盜幣事件說明了代碼審計(jì)的性
據(jù)悉，農(nóng)場類型鏈游 farmers world 昨晚發(fā)生130盜幣9370事件6165,，傳聞金額超過1億farmers world 是當(dāng)前 wax 鏈上爆的游戲，而 wax 是基于 eos 公鏈二次開發(fā)的，因此同樣采取 d共識，要求用戶waxp 以獲取 cpu、net 和 ram 資源。11月7日晚9點(diǎn)，一些玩家發(fā)現(xiàn)游戲出現(xiàn)“ram 不足”的提示，補(bǔ)充 waxp 后仍無法解決。根據(jù)discord 的討論信息：項(xiàng)目智能合約與 wax 錢包均未出現(xiàn)漏洞，但用戶waxp 的地址卻不是游戲的地址，目前可能是游戲“”腳本更改了用戶地址，導(dǎo)致用戶無法獲得 ram 資源。
據(jù)gamefi鏈游工會：今天凌晨農(nóng)民世界玩家賬戶出現(xiàn)大面積事件，根據(jù)初步了解價(jià)值已經(jīng)超過3億超過200件裝備、涉及1000個(gè)玩家賬戶。根據(jù)受害者反應(yīng)出現(xiàn)被盜情況的賬戶都是使用了一個(gè)b站博主（誰占了xxx）他們提供的腳本，使用這個(gè)腳本的賬戶大面積出現(xiàn)的資產(chǎn)（挖機(jī)、電鋸、漁船等）nft被轉(zhuǎn)走的情況，用漏洞制裁腳本是代碼慣用手法，尤其是游戲行業(yè)居多，在早些年魔獸玩家利用腳本漏洞，小號一個(gè)操作擊垮工作室，因此代碼審計(jì)的作用不僅僅是修補(bǔ)漏洞，防御漏洞，更重要是的構(gòu)建優(yōu)良的安全代碼環(huán)境，從而增加的成本！
為什么會出現(xiàn)這種情況的發(fā)生呢？我們都知道游戲重要的是代碼，代碼一旦受到就會出現(xiàn)各種各樣的問題。從而導(dǎo)致安全事故的發(fā)生。這也是血的教訓(xùn)。就好比是游戲的導(dǎo)致了一些不公平的規(guī)則出現(xiàn)。首先我們來了解一下出現(xiàn)這種問題的原理。
首先的原理
現(xiàn)在分為好多種,比如模擬鍵盤的,鼠標(biāo)的,修改數(shù)據(jù)包的,還有修改本地內(nèi)存的,但好像沒有修改服務(wù)器內(nèi)存的哦,呵呵!其實(shí)修改服務(wù)器也是有辦法的,只是技術(shù)太高一般人沒有辦法入手而已!
　修改游戲無非是修改一下本地內(nèi)存的數(shù)據(jù),或者截獲api函數(shù)等等,這里chainlion把所能想到的方法都作一個(gè)介紹,希望大家能做出很好的來使游戲廠商更好的完善自己的技術(shù).
輸入驗(yàn)證，例如（在sql中）：statement：=“select * from users where name ='”+ username +“';”是一個(gè)sql注入漏洞的示例
文件包含功能，例如（在php中）：include（$ page。'。php'）;是遠(yuǎn)程文件包含漏洞的示
對于可能與惡意代碼鏈接的庫，返回對內(nèi)部可變數(shù)據(jù)結(jié)構(gòu)（記錄，數(shù)組）的引用。惡意代碼可能會嘗試修改結(jié)構(gòu)或保留引用以觀察將來的更改。
低風(fēng)險(xiǎn)漏洞
以下是審計(jì)代碼時(shí)應(yīng)該找到的低風(fēng)險(xiǎn)漏洞列表，但不會產(chǎn)生高風(fēng)險(xiǎn)情況。
客戶端代碼漏洞不影響服務(wù)器端（例如，跨站點(diǎn)腳本）
用戶名枚舉
目錄遍歷（在web應(yīng)用程序中）