近期出現盜幣事件說明了代碼審計的性

近期farmersworld出現盜幣事件說明了代碼審計的性
據悉，農場類型鏈游 farmers world 昨晚發生130盜幣9370事件6165,，傳聞金額超過1億farmers world 是當前 wax 鏈上爆的游戲，而 wax 是基于 eos 公鏈二次開發的，因此同樣采取 d共識，要求用戶waxp 以獲取 cpu、net 和 ram 資源。11月7日晚9點，一些玩家發現游戲出現“ram 不足”的提示，補充 waxp 后仍無法解決。根據discord 的討論信息：項目智能合約與 wax 錢包均未出現漏洞，但用戶waxp 的地址卻不是游戲的地址，目前可能是游戲“”腳本更改了用戶地址，導致用戶無法獲得 ram 資源。
據gamefi鏈游工會：今天凌晨農民世界玩家賬戶出現大面積事件，根據初步了解價值已經超過3億超過200件裝備、涉及1000個玩家賬戶。根據受害者反應出現被盜情況的賬戶都是使用了一個b站博主（誰占了xxx）他們提供的腳本，使用這個腳本的賬戶大面積出現的資產（挖機、電鋸、漁船等）nft被轉走的情況，用漏洞制裁腳本是代碼慣用手法，尤其是游戲行業居多，在早些年魔獸玩家利用腳本漏洞，小號一個操作擊垮工作室，因此代碼審計的作用不僅僅是修補漏洞，防御漏洞，更重要是的構建優良的安全代碼環境，從而增加的成本！
為什么會出現這種情況的發生呢？我們都知道游戲重要的是代碼，代碼一旦受到就會出現各種各樣的問題。從而導致安全事故的發生。這也是血的教訓。就好比是游戲的導致了一些不公平的規則出現。首先我們來了解一下出現這種問題的原理。
首先的原理
現在分為好多種,比如模擬鍵盤的,鼠標的,修改數據包的,還有修改本地內存的,但好像沒有修改服務器內存的哦,呵呵!其實修改服務器也是有辦法的,只是技術太高一般人沒有辦法入手而已!
　修改游戲無非是修改一下本地內存的數據,或者截獲api函數等等,這里chainlion把所能想到的方法都作一個介紹,希望大家能做出很好的來使游戲廠商更好的完善自己的技術.
輸入驗證，例如（在sql中）：statement：=“select * from users where name ='”+ username +“';”是一個sql注入漏洞的示例
文件包含功能，例如（在php中）：include（$ page。'。php'）;是遠程文件包含漏洞的示
對于可能與惡意代碼鏈接的庫，返回對內部可變數據結構（記錄，數組）的引用。惡意代碼可能會嘗試修改結構或保留引用以觀察將來的更改。
低風險漏洞
以下是審計代碼時應該找到的低風險漏洞列表，但不會產生高風險情況。
客戶端代碼漏洞不影響服務器端（例如，跨站點腳本）
用戶名枚舉
目錄遍歷（在web應用程序中）