# 像 Web3“牛皮癬”病毒式傳播，從安全視角看近期刷屏的 xPet 專案 :::success 🎓 **新手必讀** | 安全購買加密貨幣的第一步 [**幣安(Binance)**](https://www.binance.com/zh-TW/join?ref=B2345) 是全球交易量第一的加密貨幣交易所，支援繁體中文介面及多種法幣出入金方式。 🎁 **專屬福利**：透過本頁連結註冊，永久享有 [**20%手續費減免**](https://www.binance.com/zh-TW/join?ref=B2345) ::: > 📝 **摘要**：xPet 近期在 Web3 爆紅，結合 GameFi 與 Twitter 任務，已累積 2785 ETH 資金。Beosin 安全團隊發現其升級合約未開源、權限過於集中及儲存槽衝突等風險，建議採用多簽、延遲機制及嚴格初始化，以防資金被盜。 🏷️ **關鍵詞**：`xPet` | `Web3` | `GameFi` | `合約安全` | `Arbitrum` | `鏈上遊戲` | `加密資金安全` | `牛皮癬病毒式傳播` [TOC]  ## 像 Web3「牛皮癬」病毒式傳播——從安全視角看近期刷屏的 xPet 專案 **相關標籤**：#xPet #Web3 #GameFi #合約安全 #Arbitrum --- ### 一文解析 xPet 專案的安全風險 **封面**  近期，鏈上遊戲 **xPet** 在 Twitter 上迅速走紅，甚至被形容為 Web3「牛皮癬」般的病毒式傳播，使用者與關注者數量呈爆炸式成長。作為結合 **GameFi** 與社交功能的早期專案，xPet 在上線僅兩週即吸引大量目光，合約中已累積 **2785 ETH（約 658 萬美元）** 的資金。 > 💡 **交易小貼士**：本文提到的加密貨幣均可在 [幣安交易所](https://www.binance.com/zh-TW/join?ref=B2345) 直接搜尋交易，新用戶可享 [20%費率優惠](https://www.binance.com/zh-TW/join?ref=B2345)。 然而，隨著熱度飆升，安全問題同樣不容忽視。為協助使用者了解潛在風險，**Beosin 安全團隊** 針對 xPet 的機制設計與合約程式碼進行了深度分析，以下將逐一揭露其中的安全隱憂。 --- ## xPet 機制分析  xPet 是一款基於 **Arbitrum** 的寵物養成遊戲，玩法結合了 **Tipcoin** 與先前在 Base 鏈爆紅的 **Fren Pet**，透過餵養寵物升級、完成推特任務以獲取獎勵。與類似專案不同的是，xPet 以 **瀏覽器外掛** 形式上線，使用者必須綁定 Twitter 帳號登入，所有遊戲任務與獎勵亦與 Twitter 完全掛鉤。 - **官網**：<https://www.xpet.tech/> - **主要玩法**： 1. 餵養寵物、升級工廠 2. 完成推特任務領取寶箱 3. 當寵物等級達到 **7 級** 時，可產出 **$Berry**，再於工廠換成 **$BPET** 以獲利 ### 遊戲經濟模型 使用者需先存入 ETH 作為抵押，藉此借出 **$XPET**（$XPET 與 $BPET 可 1:1 兌換）或在 **XPET‑ETH** 交易池直接購買 $XPET。升級寵物時，玩家可選擇支付 **$XPET** 或 **$BPET**。以下圖示說明了整體經濟流向：  *來源：Beosin* --- ## xPet 合約分析 ### 合約概覽 | 合約類型 | 合約地址 | 說明 | |---|---|---| | 主代理合約（ERC1967） | `0x1B0D12879960A768D02bd223ef735D4231a15348` | 負責 ETH 與 $XPET 的借貸邏輯 | | 主邏輯合約（未公開） | `0xcD4420B70e2669De8dE9d62dd7fEa4D19b320768` | 可升級合約的實際實作 | | $XPET 代幣合約 | `0x00cbcf7b3d37844e44b888bc747bdd75fcf4e555` | ERC20 + AccessControl | | $BPET 代幣合約 | `0x6daf586b7370b14163171544fca24abcc0862ac5` | ERC20 + AccessControl | > **注意**：Beosin 透過 VaaS 工具掃描後，發現以下潛在風險。  ### 1. 主合約（可升級合約） - **未開源邏輯合約**：專案方未公開升級後的邏輯程式碼，外部無法驗證是否存在後門或邏輯錯誤。 - **升級權限集中**：若升級權限未妥善限制，攻擊者可能取得合約控制權，導致資金被盜。 #### 可升級合約安全建議（Beosin） 1. **初始化檢查**：部署時務必確認所有依賴合約已正確初始化，避免留下未設定的變數。 2. **儲存槽衝突**：升級時需檢視不同版本之間的儲存布局，防止變數覆寫導致資金錯置。 3. **升級權限限制**：使用多簽或時間延遲機制，將升級權限分散，降低單點失敗風險。  ### 2. $XPET 代幣合約 - **中心化管理**：合約將部署者設為唯一管理角色，若該帳號被盜，所有代幣將面臨風險。 - **代幣流動集中**：所有代幣最初鑄造至合約自身，提領與兌換（`withdraw`、`convert`）是唯一的代幣轉移途徑，形成單點瓶頸。 - **缺少事件**：`withdraw` 與 `convert` 未觸發事件，外部監控與審計困難。  #### 建議 - 為關鍵函式加入 `emit Transfer` 或自訂事件，提升透明度。 - 引入多簽治理或 DAO 方式分散管理權限。 ### 3. $BPET 代幣合約 - **中心化風險**：同樣將部署者設為管理員與鑄造者，存在單點失陷的危險。 - **無上限鑄造**：`convert` 函式未限制可鑄造代幣數量，若管理者濫發，將嚴重稀釋持有人價值。 - **角色不可撤銷**：合約缺乏撤銷或轉移角色的機制，無法在必要時移除惡意鑄造者。   #### 建議 - 設定鑄造上限或引入通脹模型。 - 實作 `renounceRole` 與 `revokeRole`，確保權限可被安全回收。 ### 4. 其它風險（社群與平台層面） - **推特任務濫用**：xPet 要求使用者在 Twitter 發布含「xPet」關鍵字的評論以獲取獎勵，已導致大量無關回覆，造成社群噪音。 - **違反 Twitter 開發者協議**：該協議明令禁止利用平台產生垃圾資訊。若 Twitter 採取封禁措施，xPet 的推特任務將無法執行，遊戲核心玩法將受到嚴重衝擊。  > **Twitter 開發者協議**：禁止使用平台產生垃圾資訊。 --- ## 總結與實用建議 | 風險類別 | 主要問題 | 防範措施 | |---|---|---| | 合約升級 | 未公開邏輯、升級權限集中 | 多簽升級、時間鎖、開源邏輯 | | 代幣中心化 | 管理者單點失陷 | DAO 或多簽治理 | | 鑄造無上限 | 代幣稀釋風險 | 設定上限、通脹模型 | | 事件缺失 | 監控困難 | 為關鍵函式加入事件 | | 社群濫用 | 推特垃圾訊息 | 重新設計任務機制、避免依賴單一平台 | **使用者操作建議** 1. **審慎存入資金**：在合約未公開完整邏輯前，避免大額抵押。 2. **監控合約事件**：自行建立監聽腳本，追蹤 `Transfer`、`Approval` 及自訂事件。 3. **分散投資**：不要將全部資金集中於單一代幣（$XPET / $BPET），可考慮同時持有其他 GameFi 項目作為對沖。 4. **關注平台政策**：留意 Twitter 開發者協議更新，若出現封禁警告，應提前評估退出策略。 --- *本文由 Beosin 安全團隊提供的合約分析結果與專業建議彙整而成，僅供參考，投資風險自負。* <https://developer.twitter.com/en/developer-terms/policy> #### **總結** xPet 專案的**核心邏輯合約未開源，兩種代幣的合約中心化風險明顯，對於鑄造新代幣未進行特別的許可權限制**，使用者需要注意相關風險。部分合約程式碼可以進一步提升安全性。在此之前，市場已出現過多次 GameFi、SocialFi 的熱潮，**使用者應當做好資金管理和專案調研，在充分了解專案的風險後理性參與**。 **免責宣告：**作為區塊鏈資訊平臺，本站所釋出文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。文章內的資訊僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。 --- ### 📚 相關閱讀 - [賬戶抽象錢包體驗：2025年數字資產管理的神經重構革命](https://hackmd.io/@zixunzhantw/zhang-hu-chou-xiang-qian-bao-ti-yan-2025nian-shu-zi-zi-chan-guan-li-de-shen-jing) - [web3.0社交媒體發展如何?2023年Web3.0的五大發展趨勢](https://hackmd.io/@zixunzhantw/web3-0she-jiao-mei-ti-fa-zhan-ru-he-2023nian-web3-0de-wu-da-fa-zhan-qu-shi) - [去中心化儲存：重塑數字時代的記憶宮殿](https://hackmd.io/qu-zhong-xin-hua-chu-cun-zhong-su-shu-zi-shi-dai-de-ji-yi-gong-dian) --- ## 📱 幣安APP下載 無法存取應用商店？直接下載官方安裝包： | 版本 | 適用地區 | 下載連結 | |:---:|:---:|:---| | 亞洲版 | 🌏 亞太地區 | [立即下載](https://basebiance.com/binanceappcn) | | 國際版 | 🌍 海外/VPN | [立即下載](https://download.binance.com/pack/BNApp_F0000889.apk?utm_medium=web_share_copy) | > ⚠️ **安全提示**：請只從官方管道下載，謹防釣魚APP盜取資產！ --- <div align="center"> [](https://www.binance.com/zh-TW/join?ref=B2345) </div> --- ## 📌 推薦工具與平台 | 平台 | 類型 | 主要優勢 | 連結 | |:---|:---:|:---|:---| | [**幣安 Binance**](https://www.binance.com/zh-TW/join?ref=B2345) | CEX | 交易量最大、流動性最佳 | [永久20%手續費減免](https://www.binance.com/zh-TW/join?ref=B2345) | | [**歐易 OKX**](https://basebiance.com/okex) | CEX | Web3錢包強大 | [註冊領盲盒](https://basebiance.com/okex) | > ⚠️ **風險提示**：加密貨幣價格波動較大，請根據自身情況謹慎投資。投資有風險，入市需謹慎。 --- --- ### 👨‍💻 關於作者 **ETH資訊** 專注於區塊鏈深度內容與投資分析。 👉 [關注我們的 Twitter](https://twitter.com/tanfyoo) 獲取最新空投與行情資訊。 --- <center>📅 2026-02-27 10:50 | 💡 本文僅供參考，不構成投資建議</center>