注意
本文转载自 Chongxi 于个人博客上的文章 https://blog.chongxi.us/posts/2026/01/06/153/,已获得其授权。转载时请遵循 CC BY-NC-SA 协议。
时间紧任务重。
0. 为什么有此次更改?
首先,舞萌本身安全架构就没考虑过国服的环境,谁能想到有人能给人家机台的硬盘拆出来。
其次,舞萌国服外挂泛滥不是一天两天了,而这次主要导火索就是 ttnk 公布玩家数据库和炸号脚本,在此之前曾有多次大规模的全服扫号和黑屋。ttnk 事件后,国服进行了五天的停服维护,追加了国服特供的安全补丁,而今天下发的 1.53 则是对原有基础上的升级。
1. 第一次补丁追加
1.1 更换二维码服务的 URL
http://wq.sys-allnet.cn/qrcode/req/ 原地址更换为了 https://wq.wahlap.net/qrcode/req/。
由 HTTP 升级到了 HTTPS,阻止了二维码劫持。
注意
这次只更改了二维码服务的 URL,并没有针对游戏服务器等进行变动,更改游戏服务器需要下发机台程序,不是说改就能改的,造谣所谓游戏服务器 URL 更替的非蠢即蠢。
1.2 token 强校验 LEVEL ALPHA
在 User ID Login 前强制要求使用二维码获取 UID,同时必须使用 开罗尔物质 进行签名,且 UID Login 和 Logout 必须使用相同签名。
这意味着通过 user ID 直接登入的方式直接失效,恶意外挂无法直接登入您的账号,目前只影响上传。
2. 1.53 追加补丁
2.1 token 强校验 LEVEL BETA
本次 1.53 推送后,强制要求几乎所有操作都要二维码 token 校验,包括 preview(获取玩家基本信息),针对建立全服数据库的恶意脚本进行专项打击。
2.2 修复 0010
解决了恶意外挂发放滚木收藏品导致机台崩溃的问题,目前已知的所有方法均被修复。
2.3 更换方法
针对目前已知的脚本中泄露的 开罗尔网络 服务器通信实现方法进行修改,1.53 下发后他们全 部 木 大。
3. 账号修复指南
如果您的账号被恶意脚本炸了,塞了异常数据,推荐通过官方问卷解决,速度很快,爆赞。
4. 结
这两次更新后,会直接干掉 100.4999% 的恶意外挂,同时杀掉 90% 的脚本小子,以及咸鱼的科技 hdd 倒卖哥,对于普通玩家来说好事好事都是好事,脚本小子好似喵。
更新应用时间未知,大概 2weeks 吧,这段时间日本人应该一直在忙着加校验,机台乐曲数据更新应用何时未知,不过也可以原谅下了,至少这次防护比国际服都严了。
5. 辟谣
关于下图内容的所谓SEGA 官方采用熊谷凌的方案为假,这是某群聊在玩梗反串,本次更新修补的所有实现均和熊谷凌提出的方案无任何关系,望各位明辨。相信聊天记录不如信我是秦始皇,毕竟咱不会骗你。
