Was sind häufige Sicherheitsrisiken im GameFi-Bereich?
Startseite
Artikel
Was sind häufige Sicherheitsrisiken im GameFi-Bereich?

Was sind häufige Sicherheitsrisiken im GameFi-Bereich?

Fortgeschritten
Veröffentlicht Mar 31, 2023Aktualisiert Dec 11, 2023
7m

Dieser Artikel ist ein Beitrag der Community. Der Autor ist Zhangchi Qin, ein Smart-Contract-Auditor bei Salus Security, einem Unternehmen für ganzheitliche Blockchain-Sicherheitslösungen. 

Die Ansichten in diesem Artikel sind die des Verfassers und entsprechen möglicherweise nicht denen der Binance Academy.

Wichtigste Punkte:

  • GameFi-Projekte weisen verschiedene sicherheitsrelevante Schwachstellen auf, die sich in On-Chain- und Off-Chain-Risiken unterteilen lassen. 

  • On-Chain-Sicherheitsrisiken beziehen sich hauptsächlich auf die Verwaltung von ERC-20-Tokens und NFTs, die Sicherheit von Cross-Chain-Brücken und die Governance dezentraler autonomer Organisationen (DAO). 

  • Off-Chain-Sicherheitsrisiken betreffen in der Regel Webschnittstellen und Server. 

  • Bei GameFi-Projekten sollten Sicherheitsmaßnahmen wie rigorose Audits, Schwachstellen-Scans und Penetrationstests an erster Stelle stehen, ebenso wie die Umsetzung von Best-Practice-Praktiken und -Kontrollmechanismen.

Einführung 

GameFi-Spiele kombinieren Blockchain-Technologie mit Gaming. Sie werden in der Regel auf dezentralen Plattformen angeboten und funktionieren auf der Basis von In-Game-Assets und -Kryptowährungen. Typisch für GameFi ist das Play-to-Earn-Modell (P2E), das es den Spielern ermöglicht, Krypto-Belohnungen zu verdienen. In GameFi-Spielen besitzen die Nutzer echte Eigentumsrechte an ihren In-Game-Assets und die vollständige Kontrolle über sie.

GameFi-Spiele gewinnen zunehmend an Beliebtheit, sind aber auch permanent einer starken Bedrohung durch Hacks ausgesetzt. Bei manchen Projekten hat Geschwindigkeit Priorität vor Qualität, sodass es an strengen Sicherheitsvorkehrungen mangelt, was sowohl für die Community als auch für die Entwickler das Risiko erheblicher Verluste birgt.

Warum die Gewährleistung der Sicherheit von GameFi-Spielen wichtig ist 

GameFi verzeichnete im Jahr 2021 ein starkes Wachstum, insbesondere aufgrund des P2E-Modells, das Spielern In-Game-Verdienstmöglichkeiten bietet. 2022 haben Move-to-Earn-Projekte das Wachstumspotenzial des Bereichs weiter verdeutlicht. GameFi war 2022 mit einem Anteil von rund 9,5% an der Gesamtfinanzierung und einem Wachstum von über 118% im Vergleich zum Vorjahr der wichtigste Sektor der Kryptobranche.

GameFi unterscheidet sich von traditionellem Gaming, insbesondere weil für die Nutzer mehr auf dem Spiel steht und jeder Hack für sie einen erheblichen finanziellen Verlust bedeuten kann. In extremen Fällen können Sicherheitsmängel das Ende eines Projekts besiegeln. 

Im Jahr 2022 nutzten Angreifer beispielsweise eine Schwachstelle in einem Remote-Procedure-Call-Knoten (RPC) des GameFi-Spiels Axie Infinity aus, um eine Signatur zu erhalten, mit der sie ETH-Coins im Wert von fast 600 Mio. zu stehlen konnten. Jede Sicherheitslücke in GameFi-Projekten kann zu massiven Verlusten sowohl für Anleger als auch für Spieler führen. Aus diesem Grund ist die Gewährleistung der Sicherheit von GameFi-Projekten entscheidend.

On-Chain-Sicherheitsrisiken 

Schwachstellen von ERC-20-Tokens 

ERC-20-Tokens werden in GameFi-Games häufig als virtuelle Währung für In-Game-Käufe, als Belohnungen für Spieler und als Tauschmittel verwendet. 

Mängel bei der Erstellung und Verwaltung von ERC-20-Tokens stellen ein Sicherheitsrisiko dar. Eine Gefahr sind sogenannte Reentrancy-Angriffe, die während des Minting-Prozesses erfolgen können. Dabei nutzen die Angreifer einen Logikfehler in einem Kontrakt aus, um eine bestimmte Funktion wiederholt auszuführen und so die unendliche Ausgabe von Tokens zu veranlassen.

Die Preisstabilität und das Angebot von ERC-20-Tokens entscheiden über die Spielbarkeit und Nachhaltigkeit eines Spiels. Daher sollten die Projekte sicherstellen, dass die Logik der Codes korrekt ist, und die Gesamtmenge der ERC-20-Tokens streng kontrollieren. 

Das P2E-GameFi-Projekt DeFi Kingdoms war im Jahr 2022 von einer illegalen Ausgabe von ERC-20-Token betroffen. Einige Spieler nutzten einen Logikfehler aus, um die gesperrten nativen Tokens des Spiels zu prägen, wodurch der Tokenpreis anschließend einbrach.

Schwachstellen von NFTs 

NFTs werden in erster Linie als virtuelle In-Game-Assets in GameFi-Projekten verwendet, z.B. für Ausrüstung, Gegenstände und Andenken. Sie gewähren den Spielern Eigentumsrechte, und ihr Wert ist aufgrund eines knappen Angebots und Maßnahmen zur Inflationssteuerung in der Regel stabil. Ein unangemessener Umgang mit NFTs stellt jedoch ein Sicherheitsrisiko dar.

Der Wert eines NFTs spiegelt die Seltenheit von Gegenständen wie Ausrüstung oder Waffen wider. Spieler versuchen in der Regel, die seltensten NFTs zu erlangen. Nun ist es im Rahmen des NFT-Minting-Prozesses möglich, dass blockbezogene Informationen wie Zeitstempel für die zufällige Generierung von NFTs mit unterschiedlichem Seltenheitswert missbraucht werden. So kann ein Miner den Blockzeitstempel bis zu einem gewissen Grad manipulieren, um seltenere NFTs illegal zu prägen. 

Selbst eine vertrauenswürdige Zufallsfunktion wie die Chainlink VRF (Verifiable Random Function) beseitigt nicht alle Risiken. Böswillige Akteure können gewisse Vorgänge solange rückgängig machen und wiederholen, bis sie einen ausreichend seltenen NFT erzeugt haben.

Eine weitere Gefahr ist, dass Angreifer potenzielle Schwachstellen in den Smart Contracts ausnutzen, wenn Spieler NFTs austauschen und übertragen. Beispielsweise wird die Funktion safeTransferFrom() zur Übertragung von ERC-721-NFTs verwendet. Ist der Empfänger eine Kontraktadresse, wird die Funktion onERC721Received() für einen Rückruf ausgelöst. Dann besteht die Gefahr eines Reentrancy-Angriffs, bei dem der Hacker die Logik innerhalb der Funktion onERC721Received() steuern kann. 

Dieses Risiko besteht auch bei ERC-1155-NFTs, wobei die Funktion safeTransferFrom() die Funktion onERC1155Received() auslöst, was es Angreifern ermöglicht, eine Reentrancy-Attacke auszuführen.

Schwachstellen von Blockchain-Brücken 

Cross-Chain-Brücken werden von GameFi-Projekten verwendet, um Nutzern den Austausch von In-Game-Assets über verschiedene Netzwerke hinweg zu ermöglichen. Außerdem verbessern sie das Spielerlebnis und den Spielfluss.

Ein großes Risiko von Cross-Chain-Brücken besteht in der Uneinheitlichkeit der In-Game-Assets. Die Kontrakte beiderseits der Brücke sollten eigentlich gewährleisten, dass die gleiche Menge an Assets angenommen und vernichtet wird. Wenn der Code jedoch Schwachstellen in Bezug auf die Verifizierung und Abrechnung aufweist, können Angreifer die Kontrakte kompromittieren und eine große Anzahl von Assets aus dem Nichts erschaffen.

Schwachstellen in der DAO-Governance 

Viele GameFi-Projekte werden von DAOs gesteuert, was das Risiko einer Zentralisierung birgt, wenn die Mehrheit der Governance-Tokens im Besitz einiger weniger Akteure ist. Darüber hinaus bieten die Smart Contracts, die die Regeln für die DAO-Governance festlegen, Angriffsmöglichkeiten. So können Angreifer Wege finden, um auf die DAO-Kasse zuzugreifen.

Off-Chain-Sicherheitsrisiken 

Die meisten GameFi-Projekte sind nach wie vor von zentralisierten Off-Chain-Servern abhängig, um Back-End-Operationen, Webschnittstellen oder mobile Anwendungen auszuführen. Auf diesen Servern, die anfällig für Angriffsmethoden wie Penetration und Trojaner sind, befinden sich wichtige Informationen wie Spiel- und Nutzerkontendaten. 

Die Metadaten von NFTs enthalten wichtige deskriptive Informationen und werden in der Regel außerhalb der Blockchain als JSON-Dateien gespeichert. Viele GameFi-Projekte speichern ihre NFT-Metadaten jedoch auf ihren eigenen zentralen Servern, anstatt eine dezentrale Infrastruktur wie IPFS zu nutzen. Dies erhöht die Wahrscheinlichkeit der Manipulation von Metadaten durch verbundene Parteien oder Angreifer, was die Interessen und Rechte der Spieler beeinträchtigen könnte.

Bei Cross-Chain-Transfers über Blockchain-Brücken können Hacker versuchen, durch Penetrations- oder Phishing-Angriffe in den Besitz von Signaturen oder privaten Schlüsseln der Validatoren zu gelangen. Sie können die Infrastruktur kompromittieren und einen Exploit ausführen, um Zugriff auf In-Game-Assets zu erhalten.

Während Datenübertragungen können Angreifer versuchen, Netzwerkpakete abzufangen und sie mit schädlichem Code zu versehen, um so Mittelaufstockungen vorzutäuschen und sich illegal In-Game-Assets zu verschaffen. 

Front-End-Schnittstellen bieten weitere Möglichkeiten, das System zu unterwandern. Im Falle eines Datenlecks im Bereich der Spieler-Ranglisten können Angreifer abgefangene Adressdaten an den Server senden, um an vertrauliche Informationen zu gelangen.

Maßnahmen zur Verbesserung der Sicherheit

Um die Sicherheit von GameFi-Projeken zu gewährleisten, muss in jeder Phase mit größter Sorgfalt agiert werden. Die Grundlage für ein erfolgreiches GameFi-Projekt ist die Bereitstellung eines einwandfreien Smart-Contract-Codes. Dies erfordert fehlerfreien Code, regelmäßige Audits und formale Smart-Contract-Prüfungen. 

Der Schutz von Servern und anderen Infrastrukturkomponenten ist ebenfalls von entscheidender Bedeutung. Zur Identifizierung möglicher Schwachstellen sollten Penetrationstests durchgeführt werden. Bei dApp- und Blockchain-basierten Systemen müssen die Penetrationstests Web3-Funktionen berücksichtigen. So sind für digitale Wallets und dezentrale Protokolle besondere Sicherheitsvorkehrungen erforderlich.

GameFi-Projekte sollten auch andere Best-Practice-Maßnahmen umsetzen, darunter einen sicheren Runtime-Prozess und eine lückenlose Notfallstrategie. Ersteres beinhaltet die Überwachung der ausgelösten sicherheitsbezogenen Ereignisse, die Verbesserung der Umgebungssicherheit und die Implementierung von Bug-Bounty-Programmen.

Gleichzeitig müssen Projekte einen vollständigen Notfallreaktionsprozess entwickeln, der Aspekte wie die Beseitigung von Sicherheitslücken, die Bekämpfung von Angriffen und die Analyse von Problemen umfasst.

Fazit

Viele Vorfälle zeigen, dass sicherheitsbezogene Risiken im GameFi-Bereich häufig ignoriert oder verharmlost werden. Dabei gehen die Sicherheitsmängel über die in diesem Artikel beschriebenen hinaus. Gerade da GameFi in Zukunft ein wichtiger Teilbereich des Gamings sein wird, sollten Sicherheitsfragen ernst genommen werden und die Interessen der Community an erste Stelle gesetzt werden.

Weiterführende Lektüre


Disclaimer und Risikohinweis: Dieser Inhalt wird dir zu allgemeinen Informations- und Bildungszwecken präsentiert, ohne jegliche Zusicherung oder Garantie. Er ist weder als finanzielle, rechtliche oder sonstige professionelle Beratung noch als Empfehlung für den Kauf bestimmter Produkte oder Dienstleistungen zu verstehen. Du solltest dich von einem qualifizierten professionellen Berater beraten lassen. Wenn der Artikel von einer Drittpartei verfasst wurde, beachte bitte, dass die zum Ausdruck gebrachen Ansichten diejenigen der Drittpartei sind und nicht unbedingt die der Binance Academy widerspiegeln. Bitte lies hier unseren vollständigen Disclaimer für weiterführende Informationen. Die Preise von Kryptowährungen sind volatil. Der Wert deiner Anlage kann steigen oder fallen, und es kann sein, dass du den investierten Betrag nicht zurückerhältst. Die Verantwortung für deine Anlageentscheidungen liegt allein bei dir. Die Binance Academy haftet nicht für etwaige Verluste, die du erleidest. Die hier bereitgestellten Informationen stellen keine finanzielle, rechtliche oder sonstige Beratung dar. Weitere Informationen findest du in unseren Nutzungsbedingungen und unserem Risikohinweis.