今日运势评分

-4

本月运势

癸未月

震荡偏多

劫财夺财,卯冲酉
戊不受田田主不祥
寅不祭祀神鬼不尝

嫁娶,开光,出行,理发,作梁,出火,拆卸,修造,开市,交易,立券,挂匾,动土,入宅,移徙,安床,栽种

伐木,祭祀,纳畜,祭祀

月相

小望

冲顶回落

日冲

Powered by RitMEX

TRUMP8.64 0.42%

SUI2.92 2.13%

TON2.78 0.52%

TRX0.29 -0.01%

DOGE0.17 2.50%

XRP2.30 -0.55%

SOL151.82 1.13%

BNB661.07 0.46%

ETH2610.62 3.24%

BTC108899.25 0.80%

ETH Gas3.94 Gwei

贪婪
65

像 Web3「牛皮癣」病毒式传播,从安全视角看近期刷屏的 xPet 项目

一文解析 xPet 项目的安全风险。

撰文:Beosin

最近,一款名为 xPet 的链游在推特平台上迅速走红,有人形容这个项目像 Web3「牛皮癣」般病毒式传播,其关注人数和用户数也呈现快速增长的趋势。xPet 是一款结合游戏和社交的早期项目,在仅仅上线两周的时间就吸引了大量用户的注意力。得益于 GameFi 赛道的回暖和 xPet 的机制设计,xPet 目前存入了 2785 个 ETH(约 658 万美元),成为近期备受关注的项目。

同时,与之相关的安全问题同样不可忽视,为了帮助用户了解其中的潜在风险,Beosin 安全团队今天将对 xPet 的设计机制和合约代码进行详细分析,揭示其中存在的安全隐患。

xPet 机制分析

xPet 是一款基于 Arbitrum 构建的宠物游戏,其玩法结合了 Tipcoin 与此前在 Base 链爆火的 Fren Pet,通过喂养宠物进行升级、获利。xPet 与此前类似项目的不同点在于 xPet 是以浏览器插件形式推出的,通过绑定推特进行登录,后续的游戏奖励任务也是与推特完全绑定。

官网: https://www.xpet.tech/

目前的游戏内容主要为喂养宠物、升级工厂、刷推特做任务获得宝箱。参与 xPet 的游戏用户首先需要将自己的宠物升级,因为宠物的等级需要到达 7 级才能生产 $Berry,$Berry 可以在工厂中转换成 $BPET 进行获利。而升级宠物需要支付 xPet 的两种代币中的一种:$XPET 或者 $BPET,在游戏初始时,用户需要存入 ETH 进行抵押,借出 $XPET($XPET 与 $BPET 可以进行 1:1 的转换)或者在 XPET-ETH 交易池购买 $XPET。其游戏经济系统的设计如下图所示:

source: Beosin

xPet 合约分析

xPet 的主合约为 ERC1967 可升级合约。

其代理合约地址为

0x1B0D12879960A768D02bd223ef735D4231a15348,

其逻辑合约地址为

0xcD4420B70e2669De8dE9d62dd7fEa4D19b320768。

$XPET 代币合约地址为

0x00cbcf7b3d37844e44b888bc747bdd75fcf4e555

$BPET 代币合约地址为

0x6daf586b7370b14163171544fca24abcc0862ac5

本次我们通过 Beosin VaaS 工具扫描该合约,结合 Beosin 安全审计专家的分析,发现 xPet 相关合约存在以下潜在的安全风险

Beosin VaaS

xPet 主合约

xPet 主合约主要负责 ETH 与 $XPET 的借贷逻辑,但主合约为可升级合约,项目方并未对该可升级合约中的逻辑合约进行开源,无法检测其逻辑合约是否有逻辑错误或潜在风险。

对于可升级合约的安全,Beosin 建议

1. 初始化合约与依赖项

开发者可能会在部署合约时忘记初始化合约和依赖项,导致合约存在严重漏洞。

2. 注意存储冲突

升级合约时修改存储可能会导致不同版本合约之间的存储冲突,不同的变量可能指向同一存储位置,导致数据错误和资金损失。

3. 注意权限

开发者需对合约的升级权限进行限制,避免攻击者获得合约升级的控制权。

$XPET 代币合约

$XPET 代币合约继承 ERC20 和 AccessControl 合约,有以下潜在风险:

1. 中心化风险

合约将部署者设置为管理角色,这是一个中心控制点。如果部署者的帐户遭到泄露,这将会带来巨大风险。

2. 代币可访问性

由于合约将所有代币铸造给自己,因此调用 withdraw 函数和 convert 函数是将代币转移的唯一方法。这种设计集中了代币的流动。

3. 合约未对 withdraw 和 convert 两个函数设置事件

建议这两个函数设置为被调用时发出事件,以便进行外部监听并追踪相关信息。

$BPET 代币合约

与 $XPET 代币合约类似,其单点风险不容忽视:

1. 中心化风险

该代币合约将合约部署者设置为管理员和铸造者,这将权力集中在部署者手中,如果部署者的地址遭到泄露,这可能会带来严重的安全风险。

2. 铸造无上限

convert 函数对可铸造的代币数量没有限制。 如果部署者决定铸造过多的代币卖出获利,这将会导致代币价格暴跌。

EagleEye 对于 BPET 铸币风险提醒

3. 角色管理

合约未实现撤销或转移角色的功能。如果合约需要转移所有权或铸币者因任何原因需要被移除,这可能会成为潜在的安全问题。

其它风险

除了合约风险外,由于 xPet 需要用户在推特进行带有「xPet」文字的评论才能获得游戏奖励,目前推特中已出现大量包含 xpet 的无关回帖,引发众多推特博主的不满。

推特的开发者协议规定禁止使用推特相关开发者产品产生垃圾信息。如果 xPet 被推特禁用,目前其游戏玩法将彻底暂停。

推特开发者协议:

https://developer.twitter.com/en/developer-terms/policy

总结

xPet 项目的核心逻辑合约未开源,两种代币的合约中心化风险明显,对于铸造新代币未进行特别的权限限制,用户需要注意相关风险。部分合约代码可以进一步提升安全性。在此之前,市场已出现过多次 GameFi、SocialFi 的热潮,用户应当做好资金管理和项目调研,在充分了解项目的风险后理性参与

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者Beosin@Beosin_com
相关文章
2025.07.08 - 10 小时前
订单簿 + AMM?Kuru Labs 获 1150 万融资,发力 EVM 新链 Monad
项目致力于在高性能 EVM 公链 Monad 上构建一套全链订单簿 + 自动做市的混合 DEX。
2025.07.08 - 10 小时前
测评 bitchat:推特创始人新作,这是加密通讯届的 「twttr」 时刻吗?
不用 WI-FI 和网络,Twitter 创始人 Jack Dorsey 开发了一款蓝牙加密通讯产品。
2025.07.07 - 昨天
速览 ETHGlobal 戛纳黑客松最终入围的 10 大新项目​​
AI、跨链、隐私成亮点。
2025.07.04 - 4 天前
Maple Finance:机构资本时代的链上资产管理
分析 Maple Finance 作为链上资产管理平台的定位以及在不断发展的加密机构市场中的战略机遇。
2025.07.04 - 4 天前
YZi Labs 最新投资的 Digital Asset 速读:4 万亿美元 RWA 帝国背后的隐形推手
累计逾 4 亿美元融资,处理 4 万亿美元代币化 RWA,Canton 凭何成为机构金融的「幕后区块链」?
2025.07.04 - 4 天前
揭秘 Erebor:Peter Thiel 的加密银行,特朗普金主们的阳谋
承接硅谷银行原本的市场定位,填补加密货币的银行服务缺口。
2025.07.04 - 4 天前
寻找潜力加密美股:灿谷如何从车企一跃成全球第二大比特币矿企?
灿谷目前算力达 50EH/s,年底前计划成为全球第一大矿企。
2025.07.04 - 5 天前
详解 Backed xStocks:代币化股票的链上尝试与突破路径
xStocks 与 bTokens 提供覆盖全球蓝筹股、指数基金与短期债券的链上代币化证券服务。
2025.07.04 - 5 天前
以太坊不再缺席,Virtuals ACP 打开 AI 万亿经济之门
Virtuals 将带着 ACP 写下 AI 新商业逻辑的第一行代码。
2025.07.03 - 5 天前
一文读懂 Cooking.City: Day1 明牌空投的  Solana Launchpad
Cooking.City 通过积分体系和 Conviction Pool,构建了一个公平、透明的代币发射生态。