洗很大、洗很多錢，漏洞追查心得分享

即使亞洲的線上遊戲研發歷史已經超過第十個年頭了，但是一些老舊的手法還是會發生存在於一些遊戲內，然後被不肖人士拿來牟利，並且破壞整個遊戲經濟。

來看看兩個最近的案子吧。

第一個是這款遊戲


*注意刊登時間，一天內整個崩盤



此遊戲前陣子遊戲幣值每天都以倍數在淪陷跌停，這正是有複製漏洞在遊戲流竄的最佳寫照。遊戲該漏洞手法很舊式，因為程式碼是舊的，所以bug方式和十年前的石器一樣，現在還可以用這種漏洞複製遊戲幣，原廠大概不知道台灣的石器曾經發生過什麼事情。

另外一個是老3D可愛遊戲，一款漏洞百出的遊戲，就因為程式底層的體質不良，問題實在有夠多，最近還爆發了複製有價稀有合成寶石，但是賣的人早就低調的賣了數個月，收手後漏洞才爆發出來。但其實有在觀察交易網站的人，應該很早就會發現有異常。

這類洗物品的手法稍微專業了點，需要靠ME(月光引擎，台灣某外掛論壇改的修改軟體)來修改物品記憶體，這是針對系統的程式判斷疏失，利用修改器將貴重物品變成便宜的東西取代掉，然後合成出珍貴的介質。


後者這遊戲的案例，是Server沒有再做資料的檢查驗證，若客戶端可以任意改東西然後通過伺服器被作用存取，那漏洞擴散是遲早的，這類漏洞是因為程式底層問題造成的，沒有辦法馬上修正，要根絕掉必須得整個翻掉相關程式碼，這是浩大工程，因為程式就算改完了還必須經過測試，你不知道程式的樹狀枝節牽涉到哪些子系統，會不會因為修改而產生新的Bug，這沒有一兩個月以上解決不了，所以只能以偵測的方式抓，就像某2D熱門橫捲RPG，能被改的東西實在太多，也只能用偵測的方式來阻擋，並配上帳號凍結來稍微阻止問題再惡化下去。

*很難很難取得的物品，全伺服器大量賣，鬼上身了。



對於遊戲程式的寫法怎樣避免漏洞，這個並非阿涼我的專業項目，所以沒辦法給予什麼見解。不過簡單的經驗分享：有太多的漏洞，都是產生在Client端被修改，例如一些日韓系的線上遊戲可以改加速、改無國界攻擊、遠距離撿寶、全地圖打怪等，這都是因為很多的參數綁在客戶端，然後沒有再次做Server驗證，所以被修改器利用了。

遊戲設計相關的機制時，只能靠程式和研發小組人員的經驗來防治，除了重要的資料要檢查，綁在客戶端的資訊萬一被修改必須不會破壞公平性或擾亂金流秩序，


小常識：

Server再次驗證其實很吃伺服器效能，若驗證過多，玩家會發現遊戲玩起來很不順暢，因為時時刻刻伺服器都在傳資料，做什麼事情可能都會讀取很久，若伺服器玩家人數一多，那更是恐怖的負擔，也有因為過度驗證造成遊戲玩起來很痛苦的案例出現過，所以該怎樣取捨，什麼東西可以安心的放在客戶端，必須有良好的程式經驗與判斷。


遊戲測試必須多元多樣且深入

一些大陸的地下工作室，就我所知，會有一些制式的bug測試流程，遊戲在上市之後，一些以前老舊的複製洗錢手法會整個被翻出來演練一次，看看能不能找出牟利的漏洞，這些從以前老遊戲留下來的手法千百種，而且部分工作室經驗豐富，經手過的遊戲上百款，比遊戲公司測試部門還要詳細專業，手法更是精密，且千奇百怪。

所以遊戲在上市前，不僅僅只是找錯字、測機制bug而已，這些傳統地下手法相關人員要不斷的演練嚐試，而且平常就要把相關資料(方法)收集起來。

例如那種斷線交易法、網路延遲複製法、傳點雙開法、倉庫交易斷線法、三開斷線法、按回卷機制、合成加上各種延遲機制，寵物若有倉庫還可配上一些傳送物品或指令，交易後使用看看，諸如此類等等。

當然有些情報不見得都是對的，，得自行判斷過濾，畢竟這種論壇人多口雜，而且沒有什麼管制，什麼芭樂都會出現，另外記得要養帳號，有些文章要一點權限才可以閱讀，沒事就多灌水吧。另外這些網站資訊時效性較差，常常都不是第一手資訊，或者是爆發了才會被貼出來，所以留意交易網站的刊登會比較即時，另外若你比較勤勞，可往大陸的地下論壇跑，東西比較深，不過請自己注意網站的安全性。

不要說不喜歡外掛就不看這些東西，請把這兩個基本網站加入你的最愛，要常上來爬文。另外就是自己要深入自家遊戲的幫會或社群圈內，和大家培養交情打關係，因為「好東西」通常會先和「好朋友」分享，社群是最容易流竄bug的地方。

*偶爾會發現一些很精采的東西，不一定正確，要靠經驗過濾。



留意交易網站的幣值和物品販售情況

數字寶物交易網站是個很棒的情報站，光是觀察幣值變化和刊登物品情況就可以知道遊戲有沒有出事情，以下舉一些例子分享給大家。

出事情的徵兆：

1、遊戲幣值每天以50%以上的速度在下跌，甚至數小時刷新一次紀錄

2、新伺服器的幣值快速接近老伺服器，且同時下跌

3、同一人全伺服器賣幣，遊戲剛開沒多久

4、全伺服器販賣難取得的特殊物品，價格又低於市價不少

5、商城購物的幣值，對比官方的點數比值異常的低，或差了兩倍以上

6、聲稱可全伺服器訂做很難精煉或成功率很低的高級裝備

7、穩定緩慢下跌的幣值，突然哪一天整個跨了

8、某一種東西突然大量有人在賣

9、點卡折扣過低，並聲稱無實體卡

10、哪天莫名奇妙爆出一大堆人賣幣或稀有物品的

另外有些賣家很聰明，他也知道會引起注意，所以會申請很多帳號分散賣東西，或者是標題都取不一樣防被發現，所以光看標題不準，偶爾要打開內文看看文字描述，就可判斷是不是同一個賣家在全伺服器販售物品。


追蹤來源

若有懷疑要怎樣追呢？除了從論壇和刊登去找線索之外，可以實際和對方交易，網站若規定不能留電話，你在遊戲內可以跟對方要，通常為了規避交易抽成，你若表示你要購買大量，電話很容易要到。裝闊也可和對方套交情，想辦法多問一點資訊，或是用誘導性的對話；另外就是實際和對方交易，記下與你交易的帳號，回頭追查所有相關的交易Log紀錄和遊戲歷程，可查到物品或金錢的來源。

這很花時間，而且log的紀錄是否詳細會影響追查的結果，另外代理遊戲原廠的支援度也會關係到是否可找到漏洞，但是沒有其他捷徑，沒有擴散或沒被公佈的資訊只能花時間抽絲剝繭。所以代理的遊戲其實要強烈的要求原廠給予這方面的資源，最好產品上市以前就請對方做好相關的查詢資訊工具。

*這種同一人在很多伺服器賣稀有物品，一定要特別當心，尤其價格又特別便宜的時候。


*官方代幣12元一個，交易網站卻整整便宜三到四倍，這就是有鬼的証明～



注意每天的遊戲金流或資料變化

每一款遊戲應該都有，也應該要有遊戲的總金流查詢資訊。

像是每天所有儲值的點數總和，是否符合遊戲內玩家身上兌換到的代幣總數量，如果有多出來，就是哪邊有漏洞，要想辦法追查出來。

另外有些限定數量的物品，可以靠SQL的簡易指令：sum、count從資料庫欄位統計數量來，金錢也是，可找出是否有玩家身上有異常的資料數據。

另外若發生大規模盜帳號，那個不是玩家用啥外掛，這如果不是資料庫出事情，就是資料被不肖人士(包含內部員工、離職員工)整批盜賣，否則就是重要的登入頁面被植入木馬，但通常後者會被玩家發現，而前者不會，

當然最後就是，公司要怎樣鼓勵員工去注意這些事情呢？這是得好好思考的問題，很多員工時間到就想下班了，上班累，回家可能也不想碰遊戲，更別說要看地下資訊，像阿涼這種有濃厚變態興趣與特殊癖好的人實在不多(羞)…


Fin

海峽兩岸的線上遊戲總產值加起來高達一千億台幣，而線上遊戲又有各自獨立的經濟，可說是個相當特殊的體系，這恐怖的商機底下充滿各種滅門手段，很多工作室只為了賺錢，惡性競爭與法律不彰之下，遊戲與資料庫上市就得先承受多方的「考驗」，不僅僅是玩家而已，駭客也時時刻刻試著入侵攻擊DB，想要竄改有價的資料牟利。

甚至像大陸，線上遊戲這行興起快，公司多又雜，不僅是外患，內賊多到難防，也有離職員工在前公司電腦放馬的案例，然後盜賣玩家資料，防不勝防。

花了一個晚上整理這篇文章，也是最近看到一些遊戲又亂象起，分享一些經驗，希望遊戲公司員工對自家遊戲多顆防備的心，謝謝大家收看，咱下個主題見囉 :)。

作者:梅阿涼
出處:瑞克梅添涼

話說之前玩LUNA認識到大陸人
改BIN全地圖打怪就是他放出來的
還是從私服裡找漏洞而產生

所有遊戲CB開始，都會有人專門去找BUG或可以利用的漏洞
這個現象無法改變，只能靠官方不斷阻擋了