Тази статия е предоставена от общността. Авторът е Жангчи Цин, одитор на смарт договори в холистичната компания за сигурност на блокчейн Salus Security.
Мненията в тази статия са на сътрудника/автора и не отразяват непременно тези на Binance Academy.
Резюме:
Проектите на GameFi са изправени пред различни предизвикателства пред сигурността, които могат да бъдат класифицирани като проблеми в блокчейна и извън него.
Предизвикателствата за сигурност в блокчейна включват главно управлението на ERC-20 токени и NFT-та, безопасността на междуверижните мостове и управлението на децентрализирана автономна организация (DAO).
Предизвикателствата извън блокчейна, от друга страна, обикновено са свързани с уеб интерфейси и сървъри.
Проектите на GameFi трябва да дават приоритет на мерките за сигурност, като строги одити, сканиране на уязвимости и тестове за проникване, както и да прилагат най-добрите оперативни практики и бизнес контроли.
Въведение
GameFi съчетава блокчейн технология с игри, за да създаде децентрализирани платформи, включващи активи в игрите и цифрови валути. Обикновено включва модел играй, за да спечелиш (P2E), който позволява на играчите да печелят крипто награди. GameFi също така дава на геймърите истинска собственост и пълен контрол върху техните активи в играта.
Докато GameFi набира популярност, той е изправен пред непрекъснати и значителни заплахи от хакове през целия си жизнен цикъл. Някои проекти може да ценят скоростта пред качеството и следователно да нямат стабилни предпазни мерки за сигурност, излагайки както общността, така и творците на риск от значителни загуби.
Защо сигурността на GameFi е важна?
GameFi отбеляза значителен растеж през 2021 г. със своя P2E модел, предлагащ на играчите нови финансови възможности в играта. През 2022 г. проектите „премести се, за да спечелиш“ допълнително подчертаха потенциала за растеж на GameFi. GameFi беше най-добрият крипто сектор през 2022 г., като представляваше приблизително 9,5% от общото финансиране на индустрията и годишен ръст от над 118%.
GameFi е различен от традиционните игри, защото за потребителите е заложено повече и всеки хак може да означава значителни загуби за тях. В екстремни сценарии пробиви в сигурността могат да сложат край на проект.
Например, нападателите са използвали задна вратичка в Remote Procedure Call (RPC) възел, за да получат подпис върху проекта GameFi Axie Infinity през 2022 г., позволявайки на нападателите да извършват неразрешени тегления на обща стойност близо $600 млн. в ETH. Всички уязвимости в проектите на GameFi могат да доведат до огромни загуби както за инвеститорите, така и за играчите, което подчертава критичното значение на сигурността на GameFi.
Предизвикателства за сигурността в блокчейна
Уязвимости на токените ERC-20
Токените ERC-20 често се използват в проекти на GameFi като виртуална валута за покупки по време на игра, механизми за възнаграждение за играчи и средство за обмен.
Неправилното създаване и управление на ERC-20 токени може да доведе до рискове за сигурността. Една често срещана уязвимост, наречена повторно влизане, може да възникне по време на процеса на създаване. Атаките могат да използват логическата вратичка в договора, за да изпълняват многократно конкретна функция, което води до безкрайно създаване на токени.
Като универсални валути в играта, стабилността и количеството на токените ERC-20 определя възможността за игра и устойчивостта на играта. Следователно проектите трябва да гарантират логиката на кодовете и стриктно да контролират общото предлагане на ERC-20 токени.
Проектът P2E GameFi DeFi Kingdoms беше атакуван от злонамерено създаване на ERC-20 през 2022 г. Някои играчи се възползваха от логическата уязвимост, за да създадат заключените собствени токени на играта, което доведе до рязък спад на цената на токена след това.
NFT уязвимости
NFT-тата се използват предимно като виртуални активи в играта в проекти на GameFi, включително оборудване, реквизит и сувенири. Те предлагат на играчите ясна собственост и могат да поддържат стабилна стойност чрез контрол на инфлацията и недостига. Неправилното използване на NFT-та обаче може да доведе до уязвимости в сигурността.
Стойността на NFT-тата се отразява в рядкостта на оборудването или реквизита, като играчите обикновено търсят най-редките NFT-та. По време на процеса на създаване на NFT информация, свързана с блокове, като клейма за време, може да се използва като слаб произволен източник за генериране на NFT с различни нива на рядкост. Копачът може да манипулира до известна степен клеймото за време на блока, за да създаде злонамерено по-редки NFT-та.
Дори надежден източник на произволност, като Chainlink VRF (проверима случайна функция), не премахва всички рискове. Злонамерените потребители могат да отменят операциите, докато създават нежелани идентификатори на NFT токени и да повтарят процеса, докато се създаде рядко NFT.
Когато играчите търгуват и прехвърлят NFT-та, може да възникнат потенциални уязвимости на смарт договори. Например функцията safeTransferFrom() се използва за прехвърляне на ERC-721 NFT. Когато получателят е договорен адрес, функцията onERC721Received() ще бъде задействана за обратно извикване. След това има потенциален риск от атаки за повторно влизане, при които нападателите могат да диктуват логиката във функцията на ERC721Received().
Този риск съществува и сред NFT-тата ERC-1155, при което функцията safeTransferFrom() задейства функцията onERC1155Received() и позволява на атакуващите да извършат атака за повторно влизане.
Уязвимости на моста
Мостовете между блокчейни се използват в GameFi, за да позволят на потребителите да обменят активи в играта в различни мрежи. Те също така са критични за подобряване на изживяванията и ликвидността на GameFi.
Един основен риск на мостовете между блокчейни в GameFi идва от несъответствия между активите в играта. Договорите от двете страни на моста трябва да гарантират, че същото количество активи ще бъде прието и изгорено. Въпреки това, поради вратички в договорите за проверка и отчитане, нападателите могат да ги компрометират, за да създадат голям брой активи от нищото.
Уязвимости в управлението на DAO
Много проекти на GameFi се управляват от DAO, което може да доведе до риск от централизация, ако по-голямата част от токените за управление са собственост на няколко големи участници. Смарт договорите, които определят правилата за управление на DAO, отварят друго място за потенциални компромиси, тъй като нападателите могат да намерят начини за достъп до хазната на DAO.
Предизвикателства пред сигурността извън блокчейна
Повечето проекти на GameFi все още зависят от централизирани сървъри извън блокчейна за бек-енд операции, уеб интерфейси или мобилни приложения. Тези сървъри съхраняват критична информация, включително данни за игри и акаунти на собственици, и са уязвими на злонамерени атаки като проникване и зловреден софтуер на троянски кон.
Когато става въпрос за NFT-та, метаданните съдържат важна описателна информация и се съхраняват извън блокчейна като JSON файлове. Много GameFi проекти обаче съхраняват своите NFT метаданни на свои собствени централизирани сървъри, вместо да използват децентрализирана инфраструктура като IPFS. Това увеличава вероятността от подправяне на метаданни от свързани страни или нападатели, което може да наруши правата на играчите.
В контекста на междуверижни мостове, нападателите могат да получат подписи на валидатори или частни ключове чрез проникване или фишинг атаки. Те могат да компрометират инфраструктурата и да изпълнят експлойт, за да контролират активите в играта.
По време на предаване на данни нападателите могат да отвлекат и инжектират мрежовия пакет със зловреден код. Чрез модифициране на пакета с данни, нападателите могат да внедрят фалшиви презареждания и да използват сумата за закупуване на единица, за да получат повече елементи от играта.
Фронтенд интерфейсите дават на нападателите друг път за злонамерено проникване в системата. Ако възникне изтичане на информация в класацията на една игра, нападателите могат да изпратят изтеклата информация, свързана с адреса, до сървъра, за да получат съответната чувствителна информация.
Начини за подобряване на сигурността
За да се предпазят проектите на GameFi, от решаващо значение е да бъдете внимателни на всеки етап. Осигуряването на безупречни кодове за смарт договори е основата на успешен проект на GameFi — това включва писане на висококачествен код, провеждане на редовни одити и използване на официална проверка на смарт договори.
Поддържането на сигурността на сървърите и другите инфраструктурни компоненти също е от решаващо значение; трябва да се проведе тест за проникване, за да се открият възможни уязвимости. Със системи, базирани на DApp-ове и блокчейн, тестът за проникване носи със себе си Web3 функции. Поради това са необходими специфични предпазни мерки за цифровите портфейли и децентрализираните протоколи.
Проектите на GameFi също трябва да се придържат към други най-добри практики, включително защитен процес на изпълнение и пълна реакция при спешни случаи. Първото включва наблюдение на задействани събития за сигурност, укрепване на сигурността на средата и пускане на програми за награди за отстраняване на бъгове.
В същото време проектите трябва да разработят цялостен процес за реагиране при извънредни ситуации, който включва аспекти като спиране на загубата, проследяване на атаки и анализ на проблема.
Заключителни мисли
Уязвимостите в сигурността на GameFi надхвърлят споменатите в тази статия и много инциденти показват, че проектите са пренебрегнали или омаловажили рисковете за сигурността. GameFi е значителна част от бъдещето на игрите. Като такива, проектите винаги трябва да обръщат внимание на проблемите на сигурността и да поставят интересите на своите общности на първо място.
Допълнителни статии
Отказ от отговорност и предупреждение за риск: Това съдържание ви се представя на база „както е“ само за обща информация и образователни цели, без твърдения или гаранция от какъвто и да е вид. Не трябва да се тълкува като финансов, правен или друг професионален съвет, нито има за цел да препоръча покупката на конкретен продукт или услуга. Трябва да потърсите личен съвет от подходящи професионални съветници. Когато статията е предоставена от сътрудник трета страна, имайте предвид, че тези изразени мнения принадлежат на сътрудника трета страна и не отразяват непременно тези на Binance Academy. Моля, прочетете нашия пълен отказ от отговорност тук за повече подробности. Цените на цифровите активи могат да бъдат нестабилни. Стойността на вашата инвестиция може да намалее или да се повиши и може да не си върнете инвестираната сума. Вие носите цялата отговорност за вашите инвестиционни решения и Binance Academy не носи отговорност за каквито и да било загуби, които може да понесете. Този материал не трябва да се тълкува като финансов, правен или друг професионален съвет. За повече информация вижте нашите Условия за ползване и Предупреждение за риск.