DamoclesLabs

概要
BigTime 於2023年10.10號上線代幣後引起了GameFi的熱潮，團隊從9月份開始關注BigTime但是苦於沒有資格一直未進行分析，在最近降低註冊門檻以後，我們開始針對BigTime進行一系列的安全分析與測試，其中包括針對遊戲客戶端屬性篡改，GameRPC惡意調用測試，代幣合約審計等。通過對遊戲的整體評估，我們發現該遊戲的安全性較差，對於惡意玩家來看，其作弊成本低。並且遊戲的分析難度低。如果項目方想持續運營遊戲，提升遊戲的安全性與公平性應該放在後期運營首位。

概要
cradles於11.15日開放下載，Damocles團隊於11.16日對該遊戲進行深入的安全分析，通過分析發現該遊戲有大量Debug信息未刪去，從Debug日誌推斷該遊戲開發團隊爲中國團隊。並且在測試過程中發現，該遊戲並未進行任何的安全保護，且遊戲通信協議部分使用開源引擎，並且對於有些邏輯判斷過於不嚴謹，不推薦用戶去遊玩體體驗。

遊戲背景
Ø  進行評估的遊戲版本：20231115
Ø  遊戲類型&遊戲引擎：MMORPG，Unity2021.3.x

概要（遊戲安全性評分）
Seraph於2023年11月22日開放三測。Damocles團隊於11.24號針對該遊戲進行了安全分析與評估，但是評估結果不盡如人意。首先是項目方在代碼中留存大量Log信息，並且可以從Log信息推斷出項目方並非韓國團隊，而是中國團隊，且該遊戲採用Unity加載lua的方式，並未對Lua代碼進行保護，或者使用lua jit等提升逆向難度的手段進行源碼保護，這就導致源碼完全暴露，只需要hook load函數即可從內存中dump出遊戲源碼。但是該遊戲屬於ARPG遊戲，該類遊戲有天然的防作弊優勢，即大部分數據均通過服務器同步，所以又在一定程度上緩解了遊戲的安全問題。