هذه المقالة من إسهامات المجتمع، وهي من تأليف زانغ تشي تشين، مدقق العقود الذكية في شركة Salus Security، وهي شركة تقدم خدمات الأمن الشاملة لسلاسل بلوكشين.
الآراء والأفكار المطروحة في هذه المقالة تُمثل المساهم/المؤلف ولا تعكس بالضرورة آراء أكاديمية Binance.
مقالة طويلة:
تواجه مشروعات تمويل الألعاب (GameFi) تحديات أمنية مختلفة يمكن تصنيفها إلى مشكلات على السلاسل ومشكلات خارج السلاسل.
تتضمن التحديات الأمنية على السلاسل بصفة رئيسية إدارة رموز ERC-20 المميزة والرموز غير القابلة للتبادل (رموز NFT) وسلامة جسور الربط بين السلاسل وحوكمة المنظمات المستقلة اللامركزية (DAO).
على الجانب الآخر، تتعلق التحديات خارج السلاسل عادةً بواجهات الويب والخوادم.
يجب أن تضع مشروعات تمويل الألعاب (GameFi) في أولويتها تدابير الأمان مثل التدقيقات الدقيقة وفحص الثغرات الأمنية واختبار الاختراقات، بالإضافة إلى تنفيذ أفضل الممارسات التشغيلية وضوابط الأعمال.
المقدمة
يجمع تمويل الألعاب (GameFi) بين تكنولوجيا سلاسل بلوكشين والألعاب لإنشاء منصات لامركزية تعرض أصول داخل الألعاب وعملات رقمية، حيث يقدم نموذج اللعب بغرض الكسب (P2E) الذي يتيح للاعبين كسب مكافآت العملات الرقمية، ويمنح اللاعبين أيضًا الملكية الحقيقية والتحكم الكامل بأصولهم داخل اللعبة.
مع اكتساب تمويل الألعاب (GameFi) مزيد من الشهرة والانتشار، بات المجال يواجه بعض التهديدات الكبيرة والمستمرة المتمثلة في الاختراقات طوال دورة حياته، وقد تقدّر بعض المشروعات السرعة على حساب الجودة، مما يتسبب في غياب احتياطات الأمان القوية، ويُعرّض المجتمع والمبدعين لخطر تحمل خسائر كبيرة.
ما أهمية توفير الأمان لتمويل الألعاب (GameFi)؟
شهد تمويل الألعاب (GameFi) نموًا كبيرًا في عام 2021 وانتشر نموذج اللعب بغرض الكسب (P2E) الذي يقدمه والذي يمنح للاعبين فرص مالية جديدة داخل اللعبة، وفي عام 2022، أبرزت مشروعات التحرك بغرض الكسب أيضًا إمكانات نمو تمويل الألعاب (GameFi)، واحتل المجال المرتبة الأولى بين قطاعات العملات الرقمية في عام 2022، حيث ساهم بنسبة 9.5% تقريبًا من إجمالي أموال المجال وتخطت نسبة نموه السنوي 118%.
يختلف تمويل الألعاب (GameFi) عن الألعاب التقليدية لأنه يتضمن مجازفة أكبر للمستخدمين وقد يتسبب أي اختراق في تحملهم لخسائر كبيرة، وفي أسوأ السيناريوهات، من الممكن أن تتسبب اختراقات الأمان في إنهاء مشروع ما.
على سبيل المثال، استغل المهاجمون ثغرة خلفية في إحدى عُقد استدعاء الإجراء عن بعد (RPC) للحصول على توقيع على مشروع تمويل الألعاب (GameFi) الخاص بـ Axie Infinity في عام 2022، مما سمح للمهاجمين تنفيذ عمليات سحب غير مصرح بها بلغ إجمالي قيمتها تقريبًا ما يعادل 600$ مليون بعملة ETH. يمكن أن تتسبب أية ثغرات أمنية في مشروعات تمويل الألعاب (GameFi) في تحمل المستثمرين واللاعبين لخسائر فادحة، مما يُبرز الأهمية الجادة لتوفير الأمان لتمويل الألعاب (GameFi).
التحديات الأمنية على السلاسل
الثغرات الأمنية المتعلقة برمز ERC-20 المميز
تُستخدَم رموز ERC-20 المميزة بصورة متكررة في مشروعات تمويل الألعاب (GameFi) كعملة افتراضية من أجل المشتريات داخل اللعبة وآليات المكافآت للاعبين وكوسيلة للتبادل،
ولكن سك رموز ERC-20 المميزة وإدارتها على نحوٍ غير سليم قد يتسبب في وقوع مخاطر أمنية، وقد تقع إحدى الثغرات الأمنية الشائعة التي يُطلق عليها إعادة الدخول أثناء عملية السك. يمكن أن تستغل الهجمات الثغرة المنطقية في عقد ما لتنفيذ وظيفة محددة بصورة متكررة، مما يتسبب في سك عدد لا حد له من الرموز المميزة،
وبصفتها عملات منتشرة وشائعة الاستخدام داخل الألعاب، فإن استقرار رموز ERC-20 المميزة وكميتها يحددان إمكانية لعب اللعبة واستدامتها. من ثم، يجب أن تضمن المشروعات منطق الأكواد وتضع رقابة مشددة على إجمال مخزون رموز ERC-20 المميزة.
تعرّض مشروع اللعب بغرض الكسب (P2E) الخاص بـ DeFi Kingdoms إلى الهجوم بسبب سك رموز ERC-20 المميزة على نحوٍ خبيث في عام 2022، حيث استغل بعض اللاعبون الثغرة المنطقية لسك رموز أصلية محجوزة باللعبة، مما أدى إلى انخفاض سعر الرموز المميزة لاحقًا.
الثغرات الأمنية المتعلقة بالرموز غير القابلة للتبادل (NFTs)
تُستخدم الرموز غير القابلة للتبادل (NFTs) بصورة رئيسية كأصول افتراضية داخل اللعبة في مشروعات تمويل الألعاب (GameFi)، بما في ذلك المعدات والأغراض الداعمة والهدايا التذكارية، وتمنح اللاعبين الملكية الفعلية ويمكن أن تحافظ على قيمة مستقرة عن طريق السيطرة على التضخم والندرة، ولكن، يمكن أن يؤدي الاستخدام غير السليم للرموز غير القابلة للتبادل (رموز NFT) إلى وقوع ثغرات أمنية.
تنعكس قيمة الرموز غير القابلة للتبادل (رموز NFT) في ندرة المعدات أو الأغراض الداعمة، حيث يسعى اللاعبون عادةً وراء الرموز غير القابلة للتبادل (NFTs) الأكثر ندرة، وأثناء عملية سك الرموز غير القابلة للتبادل (رموز NFT)، قد تُستخدم معلومات متعلقة بالكتلة مثل الطوابع الزمنية كمصدر عشوائي ضعيف لتوليد الرموز غير القابلة للتبادل (رموز NFT) بمستويات مختلفة من الندرة، وقد يتلاعب المُعدّن بالطابع الزمني الخاص بالكتلة، بدرجة ما، من أجل سك رموز غير قابلة للتبادل (رموز NFT) أكثر ندرة على نحوٍ خبيث.
حتى المصادر العشوائية الموثوق فيها، مثل الوظيفة العشوائية القابلة للتحقق (VRF) الخاصة بـ Chainlink، لا تزيل كل الأخطار، وقد يلغي المستخدمون ذوو النوايا الخبيئة العمليات أثناء سك مُعرفات رمز غير قابل للتبادل (NFT) غير مرغوب فيها ويكررون العملية حتى يتم سك الرمز غير القابل للتبادل (NFT) النادر.
عند تداول اللاعبين للرموز غير القابلة للتبادل (رموز NFT) وتحويلها، قد تقع بعض الثغرات الأمنية المحتملة في العقد الذكي، فعلى سبيل المثال، تُستخدم وظيفة safeTransferFrom() لتحويل رموز ERC-721 غير القابلة للتبادل، وعندما يكون المستلم هو عنوان عقد ما، سيتم تفعيل وظيفة onERC721Received() من أجل رد النداء، ومن ثم، يظهر الخطر المحتمل المتمثل في هجمات إعادة الدخول، التي من خلالها يمكن للمهاجمين توجيه المنطق داخل وظيفة onERC721Received().
علاوة على ذلك، يكون هذا الخطر قائمًا بين رموز ERC-1155 غير القابلة للتبادل، حيث تُفعّل وظيفة safeTransferFrom() وظيفة onERC1155Received() وتسمح للمهاجمين تنفيذ هجمة إعادة دخول.
الثغرات الأمنية المتعلقة بالجسور
تُستخدَم جسور الربط بين السلاسل في تمويل الألعاب (GameFi) ليتمكن المستخدمون من تبادل الأصول داخل اللعبة عبر مختلف الشبكات، وهي أيضًا هامة لتحسين تجارب تمويل الألعاب (GameFi) وتحسين السيولة.
تُعد حالات التضارب بين الأصول داخل الألعاب من أبرز المخاطر المرتبطة بجسور الربط بين السلاسل في تمويل الألعاب (GameFi)، ويجب أن تضمن العقود أنه سيتم قبول نفس كمية الأصول وحرقها وذلك من كلا اتجاهي الجسر. مع ذلك، بسبب ثغرات العقود الخاصة بالتحقق وتدوين الحساب، يمكن للمهاجمين اختراقها لإنشاء عدد كبير من الأصول من فراغ.
الثغرات الأمنية المتعلقة بحوكمة المنظمات المستقلة اللامركزية (DAOs)
تحكم المنظمات المستقلة اللامركزية (DAOs) الكثير من مشروعات تمويل الألعاب (GameFi)، مما قد يتسبب في وقوع خطر المركزية، إذا كانت أغلب الرموز المميزة للحوكمة مملوكة لقلة من الجهات الفاعلة الكبيرة، وتفتح العقود الذكية التي تحدد قواعد حوكمة المنظمات المستقلة اللامركزية (DAOs) المجال لاختراقات أخرى محتملة، إذ يمكن للمهاجمين العثور على طرق للوصول إلى خزائن المنظمات المستقلة اللامركزية.
التحديات الأمنية خارج السلاسل
لا زالت تعتمد أغلب مشروعات تمويل الألعاب (GameFi) على الخوادم المركزية خارج السلاسل من أجل عمليات الواجهة الخلفية أو واجهات الويب أو تطبيقات الهاتف الجوال، وهذه الخوادم تخزّن معلومات هامة، بما في ذلك بيانات اللعبة وحسابات المالك، وتكون معرضة للهجمات الخبيثة مثل الاختراق وبرنامج حصان طروادة الخبيث.
في ما يتعلق بالرموز غير القابلة للتبادل (رموز NFT)، تتضمن البيانات الوصفية معلومات وصفية هامة وتُخزَّن خارج السلسلة على اعتبارها ملفات JSON، ومع ذلك، تخزن الكثير من مشروعات تمويل الألعاب (GameFi) بياناتها الوصفية الخاصة بالرموز غير القابلة للتبادل (NFTs) على خوادمها المركزية بدلًا من استخدام البنية التحتية اللامركزية مثل نظام الملفات بين الكواكب (IPFS)، مما يزيد من احتمالية التلاعب بالبيانات الوصفية من الأطراف ذوي العلاقة أو المهاجمين ويؤدي إلى انتهاك حقوق اللاعبين.
في سياق جسور الربط بين السلاسل، قد يحصل المهاجمون على توقيعات المدققين أو المفاتيح الخاصة من خلال الاختراق أو هجمات التصيد، وقد يتمكن المهاجمون من اختراق البنية التحتية وتنفيذ عمليات استغلال من أجل التحكم في الأصول داخل اللعبة،
وأثناء نقل البيانات، قد يستولي المهاجمون على حزمة الشبكة ويقومون بإدخال كود خبيث إليها، وبتعديل حزمة البيانات، قد ينفذ المهاجمون عمليات تعبئة مزيفة ويستخدمون مبلغ شراء الوحدة للحصول على مزيد من عناصر اللعبة.
قد يتمكن المهاجمون أيضًا من اختراق النظام بشكل خبيث عن طريق الواجهات الأمامية، وإذا تسربت معلومة ما على لوحة الصدارة الخاصة باللعبة، يمكن للمهاجمين إرسال المعلومات المتعلقة بالعنوان المسرب إلى الخادم للحصول على المعلومات الحساسة ذات الصلة.
طرق تحسين الأمان
لتعزيز مستوى الأمان في مشروعات تمويل الألعاب (GameFi)، يجب توخي الحذر في كل مرحلة، ويعد ضمان خلو أكواد العقود الذكية من الأخطاء أساس أي مشروع تمويل ألعاب (GameFi) ناجح — وينطوي هذا على كتابة كود عالي الجودة وتنفيذ تدقيقات دورية وتطبيق إجراء تحقق رسمي للعقد الذكي.
من الهام أيضًا الحفاظ على أمان الخوادم وغيرها من عناصر البنية التحتية، ويجب تنفيذ اختبار الاختراق للكشف عن الثغرات الأمنية المحتملة. بالنسبة للأنظمة القائمة على التطبيقات اللامركزية وسلاسل البلوكشين، تبرز اختبارات الاختراق مزايا الويب 3، ولذلك من الضروري أخذ الاحتياطات اللازمة من أجل المحافظ الرقمية والبروتوكولات اللامركزية.
يجب أن تلتزم مشروعات تمويل الألعاب (GameFi) أيضًا بأفضل الممارسات التي تشمل وقت التشغيل الآمن والاستجابة الكاملة لحالات الطوارئ، وتنطوي الأولى على مراقبة أحداث الأمان المنفذة وتشديد الأمن البيئي وإطلاق برامج مكافآت إيجاد الأخطاء.
في نفس الوقت، يجب أن تضع المشروعات خطة للاستجابة الكاملة لحالات الطوارئ وأن تنفذها، على أن تشمل جوانب مثل تنسيق إيقاف الخسارة وتتبع الهجمات وتحليل المشكلات.
أفكار ختامية
لا تقتصر الثغرات الأمنية الخاصة بتمويل الألعاب (GameFi) على الأمثلة المذكورة في هذه المقالة، وقد أظهرت وقائع كثيرة تجاهل المشروعات للمخاطر الأمنية أو الاستهانة بها، ويُعد تمويل الألعاب (GameFi) جزءًا هامًا من مستقبل الألعاب، ولذلك يجب أن تضع المشروعات في اعتبارها مشكلات الأمان وأن تضع مصالح مجتمعاتها في أولويتها.
مقالات ذات صلة
إخلاء المسؤولية وتحذير المخاطر: يُعرض هذا المحتوى لك "كما هو" بهدف تقديم معلومات عامة وللأغراض التعليمية فقط، دون أي إقرارات أو ضمانات من أي نوع، ولا ينبغي تفسيره على أنه نصيحة مالية أو قانونية أو مشورة مهنية، ولا يُقصد به التوصية بشراء أي منتج أو خدمة بعينها. ويجب عليك طلب مشورة خاصة من الاستشاريين المهنيين المناسبين. في حال كانت المقالة مقدمة من مساهم خارجي، يُرجى العلم أن عدد المشاهدات خاص بهذا المساهم الخارجي ولا يعكس بالضرورة عدد المشاهدات على أكاديمية Binance. يُرجى قراءة إخلاء المسؤولية بالكامل هنا للمزيد من التفاصيل. قد تتعرض الأصول الرقمية لتقلبات الأسعار، وقد تزداد قيمة استثمارك أو تنخفض، بل وقد لا تسترد المبلغ الذي استثمرته. وتتحمل وحدك مسؤولية قراراتك الاستثمارية ولا تتحمل أكاديمية Binance مسؤولية أي خسائر قد تتكبدها. لا يجب تفسير هذه المقالة على أنها نصيحة مالية أو قانونية أو مشورة مهنية. للمزيد من المعلومات، يُرجى الاطلاع على شروط الاستخدام وتحذير المخاطر.