Hvad er de almindelige sikkerhedsproblemer i GameFi?
Hjem
Artikler
Hvad er de almindelige sikkerhedsproblemer i GameFi?

Hvad er de almindelige sikkerhedsproblemer i GameFi?

Avanceret
Offentliggjort Mar 31, 2023Opdateret Dec 11, 2023
7m

Denne artikel er et bidrag fra fællesskabet. Forfatteren er Zhangchi Qin, en smart contract-revisor i den holistiske blockchain-sikkerhedsvirksomhed Salus Security. 

Synspunkterne i denne artikel tilh√łrer bidragsyderen/forfatteren og afspejler ikke n√łdvendigvis Binance Academys synspunkter.

TLDR:

  • GameFi-projekter st√•r over for forskellige sikkerhedsudfordringer, som kan klassificeres som problemer p√• k√¶den og off-chain.¬†

  • Sikkerhedsudfordringerne p√• k√¶den omfatter hovedsagelig forvaltning af ERC-20-tokens og NFT'er, sikkerheden af broer cross-chain og styring af decentraliserede autonome organisationer (DAO'er).¬†

  • Udfordringer off-chain er p√• den anden side typisk relateret til webgr√¶nseflader og servere.¬†

  • GameFi-projekter b√łr prioritere sikkerhedsforanstaltninger som f.eks. strenge revisioner, s√•rbarhedsscanning og penetrationstest samt implementere anbefalede fremgangsm√•der vedr√łrende drift og forretningskontrol.

Introduktion 

GameFi kombinerer blockchain-teknologi med spil for at skabe decentraliserede platforme med aktiver i spil og digitale valutaer. Det har typisk en P2E-model (spil for at tjene), som giver spillerne mulighed for at optjene kryptobel√łnninger. GameFi giver ogs√• spillerne √¶gte ejerskab og fuld kontrol over deres aktiver i spillet.

Selv om GameFi vinder stadig mere popularitet, st√•r det over for vedvarende og betydelige trusler fra hacks i hele dets livscyklus. Nogle projekter prioriterer m√•ske hastighed h√łjere end kvalitet og mangler derfor solide sikkerhedsforanstaltninger, hvilket bringer b√•de f√¶llesskabet og skaberne i fare for betydelige tab.

Hvorfor er det vigtigt med GameFi-sikkerhed? 

GameFi oplevede en betydelig v√¶kst i 2021 med sin P2E-model, der tilbyder spillerne nye finansielle muligheder i spillet. I 2022 fremh√¶vede "move-to-earn"-projekter yderligere GameFis v√¶kstpotentiale. GameFi var kryptos f√łrende sektor i 2022 og tegnede sig for ca. 9,5 % af branchens samlede finansiering og en √•rlig v√¶kst p√• over 118 %.

GameFi adskiller sig fra traditionelle spil, fordi der er mere på spil for brugerne, og ethvert hack kan betyde betydelige tab for dem. I ekstreme scenarier kan sikkerhedsbrud sætte en stopper for et projekt. 

F.eks. udnyttede angribere en bagd√łr i en RPC-node (Remote Procedure Call) til at opn√• en signatur p√• GameFi-projektet Axie Infinity i 2022, hvilket gjorde det muligt for angribere at foretage uautoriserede h√¶vninger p√• i alt n√¶sten 600 millioner USD i ETH. Enhver s√•rbarhed i GameFi-projekter kan resultere i massive tab for b√•de investorer og spillere, hvilket understreger den vigtige betydning af GameFi-sikkerhed.

Sikkerhedsudfordringer på kæden 

Sårbarheder i ERC-20-token 

ERC-20-tokens anvendes ofte i GameFi-projekter som en virtuel valuta til k√łb i spillet, bel√łnningsmekanismer for spillere og som et middel til udveksling.¬†

Forkert pr√¶gning og forvaltning af ERC-20-tokens kan medf√łre sikkerhedsrisici. En almindelig s√•rbarhed, kaldet reentrancy, kan opst√• under pr√¶gningsprocessen. Angreb kan udnytte logikhullet i en kontrakt til gentagne gange at udf√łre en bestemt funktion, hvilket resulterer i uendelig pr√¶gning af tokens.

Som universelle valutaer i spil er ERC-20-tokens' stabilitet og m√¶ngde afg√łrende for et spils spilbarhed og b√¶redygtighed. Derfor b√łr projekterne sikre kodernes logik og n√łje kontrollere total supply af ERC-20-tokens.¬†

P2E GameFi-projektet DeFi Kingdoms blev angrebet af ondsindet ERC-20-prægning i 2022. Nogle spillere udnyttede den logiske sårbarhed til at præge spillets låste integrerede tokens, hvilket fik tokenprisen til at styrtdykke bagefter.

NFT-sårbarheder 

NFT'er anvendes prim√¶rt som virtuelle aktiver i spil i GameFi-projekter, herunder udstyr, rekvisitter og souvenirs. De giver spillerne et klart ejerskab og kan opretholde en stabil v√¶rdi gennem inflationsstyring og knaphed. Ukorrekt brug af NFT'er kan imidlertid medf√łre sikkerhedshuller.

V√¶rdien af NFT'er afspejles i sj√¶ldenheden af udstyr eller rekvisitter, og spillerne s√łger typisk de mest sj√¶ldne NFT'er. Under NFT-pr√¶gningsprocessen kan blokrelaterede oplysninger som f.eks. tidsstempler bruges som en svag tilf√¶ldig kilde til at generere NFT'er med forskellige niveauer af sj√¶ldenhed. En miner kan til en vis grad manipulere bloktidsstemplet for at pr√¶ge sj√¶ldnere NFT'er p√• ondsindet vis.¬†

Selv en p√•lidelig kilde til tilf√¶ldighed s√•som Chainlink VRF (Verifiable Random Function) fjerner ikke alle risici. Ondsindede brugere kan tilbagekalde operationer, mens de pr√¶ger u√łnskede NFT-token-id'er, og gentage processen, indtil der er pr√¶get et sj√¶ldent NFT.

N√•r spillere handler og overf√łrer NFT'er, kan der opst√• potentielle s√•rbarheder i smart contracts. F.eks. bruges funktionen safeTransferFrom() til at overf√łre ERC-721-NFT'er. Hvis modtageren er en kontraktadresse, udl√łses funktionen onERC721Received() for en callback. S√• er der den potentielle risiko for reentrancy-angreb, hvorved angribere kan diktere logikken i funktionen ERC721Received().¬†

Denne risiko findes ogs√• blandt ERC-1155-NFT'er, hvor funktionen safeTransferFrom() udl√łser funktionen onERC1155Received() og giver angribere mulighed for at udf√łre et reentrancy-angreb.

Brosårbarheder 

Broer cross-chain bruges i GameFi til at give brugerne mulighed for at udveksle aktiver i spil p√• tv√¶rs af forskellige netv√¶rk. De er ogs√• afg√łrende for at forbedre GameFi's oplevelser og likviditet.

En stor risiko ved broer cross-chain i GameFi er uoverensstemmelser mellem aktiver i spillet. Kontrakterne p√• begge sider af broen b√łr garantere, at den samme m√¶ngde aktiver vil blive accepteret og br√¶ndt. Men p√• grund af smuthuller i kontrakterne til verifikation og regnskab kan angribere kompromittere dem for at skabe et stort antal aktiver ud af den bl√• luft.

DAO-styringssårbarheder 

Mange GameFi-projekter styres af DAO'er, hvilket kan indeb√¶re en risiko for centralisering, hvis st√łrstedelen af governance-tokens ejes af nogle f√• store akt√łrer. Smart contracts, der definerer DAO-styringsreglerne, √•bner op for endnu et sted for potentielle kompromitteringer, da angribere kan finde m√•der at f√• adgang til DAO-kassen p√•.

Sikkerhedsudfordringer off-chain 

De fleste GameFi-projekter er stadig afhængige af centraliserede servere off-chain til backend-operationer, webgrænseflader eller mobilapps. Disse servere indeholder vigtige oplysninger, herunder spildata og ejerkonti, og de er sårbare over for ondsindede angreb såsom indtrængning og malware med trojanske heste. 

N√•r det drejer sig om NFT'er, indeholder metadata vigtige beskrivende oplysninger og opbevares off-chain som JSON-filer. Mange GameFi-projekter opbevarer dog deres NFT-metadata p√• deres egne centraliserede servere i stedet for at bruge en decentraliseret infrastruktur s√•som IPFS. Dette √łger sandsynligheden for, at relaterede parter eller angribere √¶ndrer metadata, hvilket kan kr√¶nke spillernes rettigheder.

I forbindelse med broer cross-chain kan angribere f√• fat i validatorers signaturer eller private keys gennem indtr√¶ngning eller phishing-angreb. De kan kompromittere infrastrukturen og udf√łre en udnyttelse for at kontrollere aktiver i spillet.

Under datatransmissionen kan angribere kapre og injicere netv√¶rkspakken med skadelig kode. Ved at √¶ndre datapakken kan angriberne implementere falske optankninger og bruge enhedens k√łbsbel√łb til at f√• flere spilelementer.¬†

Front end-gr√¶nseflader giver angribere endnu en mulighed for at infiltrere systemet p√• en ondsindet m√•de. Hvis der opst√•r en informationsl√¶kage p√• en rangliste i et spil, kan angriberne sende de l√¶kkede adresserelaterede oplysninger til serveren for at f√• tilsvarende f√łlsomme oplysninger.

Måder til at forbedre sikkerheden

For at beskytte GameFi-projekter er det vigtigt at udvise forsigtighed i alle faser. At sikre fejlfrie smart contract-koder er grundlaget for et vellykket GameFi-projekt ‚Äď det indeb√¶rer at skrive kode af h√łj kvalitet, foretage regelm√¶ssige revisioner og bruge formel smart contract-verificering.¬†

Det er ogs√• vigtigt at opretholde sikkerheden for servere og andre infrastrukturkomponenter, og der b√łr gennemf√łres penetrationstest for at opdage eventuelle s√•rbarheder. Med DApp- og blockchain-baserede systemer er penetrationstest forbundet med Web3-funktioner. Derfor er det n√łdvendigt med s√¶rlige forholdsregler for digitale wallets og decentraliserede protokoller.

GameFi-projekter b√łr ogs√• overholde andre anbefalede fremgangsm√•der, herunder en sikker runtime-proces og et fuldst√¶ndigt n√łdberedskab. F√łrstn√¶vnte indeb√¶rer overv√•gning af udl√łste sikkerhedsh√¶ndelser, h√¶rdning af milj√łsikkerheden samt bel√łnning for indrapportering af fejl og sikkerhedsbrister.

Samtidig skal projekterne udvikle en komplet n√łdberedskabsproces, der omfatter aspekter s√•som bortskaffelse af stop-loss, sporing af angreb og analyse af problemer.

Sammenfatning

GameFis sikkerhedss√•rbarheder g√•r ud over dem, der er n√¶vnt i denne artikel, og mange h√¶ndelser har vist, at projekter har ignoreret eller nedtonet sikkerhedsrisici. GameFi er en vigtig del af fremtidens spil. Som s√•dan b√łr projekterne altid v√¶re opm√¶rksomme p√• sikkerhedssp√łrgsm√•l og s√¶tte f√¶llesskabernes interesser i f√łrste r√¶kke.

Yderligere læsning


Ansvarsfraskrivelse og risikoadvarsel: Dette indhold pr√¶senteres for dig "som det er" til generel information og uddannelsesm√¶ssige form√•l uden erkl√¶ring eller garanti af nogen art. Det skal ikke opfattes som √łkonomisk, juridisk eller anden professionel r√•dgivning, og det er heller ikke hensigten at anbefale k√łb af et bestemt produkt eller en bestemt tjeneste. Du b√łr selv s√łge r√•d fra relevante, professionelle r√•dgivere. Hvis denne artikel er et bidrag fra en tredjepart, b√łr du bem√¶rke, at dennes synspunkter udtrykkeligt tilh√łrer denne tredjepartsbidragsyder og ikke n√łdvendigvis afspejler Binance Academys synspunkter. L√¶s vores fulde ansvarsfraskrivelse her for yderligere oplysninger. Priserne p√• digitale aktiver kan v√¶re volatile. V√¶rdien af din investering kan g√• op eller ned, og du f√•r muligvis ikke det investerede bel√łb tilbage. Du er eneansvarlig for dine investeringsbeslutninger, og Binance Academy er ikke ansvarlig for eventuelle tab, du m√•tte lide. Dette materiale b√łr ikke anses for v√¶rende √łkonomisk, juridisk eller anden r√•dgivning. For yderligere oplysninger kan du l√¶se vores vilk√•r for anvendelse og risikoadvarsel.