Was sind häufige Sicherheitsrisiken im GameFi-Bereich?
Startseite
Artikel
Was sind häufige Sicherheitsrisiken im GameFi-Bereich?

Was sind häufige Sicherheitsrisiken im GameFi-Bereich?

Fortgeschritten
Veröffentlicht Mar 31, 2023Aktualisiert Aug 3, 2023
7m

Dieser Artikel ist ein Beitrag der Community. Der Autor ist Zhangchi Qin, ein Smart-Contract-Auditor bei Salus Security, einem Unternehmen f√ľr ganzheitliche Blockchain-Sicherheitsl√∂sungen.¬†

Die Ansichten in diesem Artikel sind die des Verfassers und entsprechen möglicherweise nicht denen der Binance Academy.

Wichtigste Punkte:

  • GameFi-Projekte weisen verschiedene sicherheitsrelevante Schwachstellen auf, die sich in On-Chain- und Off-Chain-Risiken unterteilen lassen.¬†

  • On-Chain-Sicherheitsrisiken beziehen sich haupts√§chlich auf die Verwaltung von ERC-20-Tokens und NFTs, die Sicherheit von Cross-Chain-Br√ľcken und die Governance dezentraler autonomer Organisationen (DAO).¬†

  • Off-Chain-Sicherheitsrisiken betreffen in der Regel Webschnittstellen und Server.¬†

  • Bei GameFi-Projekten sollten Sicherheitsma√ünahmen wie rigorose Audits, Schwachstellen-Scans und Penetrationstests an erster Stelle stehen, ebenso wie die Umsetzung von Best-Practice-Praktiken und -Kontrollmechanismen.

Einf√ľhrung¬†

GameFi-Spiele kombinieren Blockchain-Technologie mit Gaming. Sie werden in der Regel auf dezentralen Plattformen angeboten und funktionieren auf der Basis von In-Game-Assets und -Kryptow√§hrungen. Typisch f√ľr GameFi ist das Play-to-Earn-Modell (P2E), das es den Spielern erm√∂glicht, Krypto-Belohnungen zu verdienen. In GameFi-Spielen besitzen die Nutzer echte Eigentumsrechte an ihren In-Game-Assets und die vollst√§ndige Kontrolle √ľber sie.

GameFi-Spiele gewinnen zunehmend an Beliebtheit, sind aber auch permanent einer starken Bedrohung durch Hacks ausgesetzt. Bei manchen Projekten hat Geschwindigkeit Priorit√§t vor Qualit√§t, sodass es an strengen Sicherheitsvorkehrungen mangelt, was sowohl f√ľr die Community als auch f√ľr die Entwickler das Risiko erheblicher Verluste birgt.

Warum die Gewährleistung der Sicherheit von GameFi-Spielen wichtig ist 

GameFi verzeichnete im Jahr 2021 ein starkes Wachstum, insbesondere aufgrund des P2E-Modells, das Spielern In-Game-Verdienstm√∂glichkeiten bietet. 2022 haben Move-to-Earn-Projekte das Wachstumspotenzial des Bereichs weiter verdeutlicht. GameFi war 2022 mit einem Anteil von rund 9,5% an der Gesamtfinanzierung und einem Wachstum von √ľber 118% im Vergleich zum Vorjahr der wichtigste Sektor der Kryptobranche.

GameFi unterscheidet sich von traditionellem Gaming, insbesondere weil f√ľr die Nutzer mehr auf dem Spiel steht und jeder Hack f√ľr sie einen erheblichen finanziellen Verlust bedeuten kann. In extremen F√§llen k√∂nnen Sicherheitsm√§ngel das Ende eines Projekts besiegeln.¬†

Im Jahr 2022 nutzten Angreifer beispielsweise eine Schwachstelle in einem Remote-Procedure-Call-Knoten (RPC) des GameFi-Spiels Axie Infinity aus, um eine Signatur zu erhalten, mit der sie ETH-Coins im Wert von fast 600 Mio. zu stehlen konnten. Jede Sicherheitsl√ľcke in GameFi-Projekten kann zu massiven Verlusten sowohl f√ľr Anleger als auch f√ľr Spieler f√ľhren. Aus diesem Grund ist die Gew√§hrleistung der Sicherheit von GameFi-Projekten entscheidend.

On-Chain-Sicherheitsrisiken 

Schwachstellen von ERC-20-Tokens 

ERC-20-Tokens werden in GameFi-Games h√§ufig als virtuelle W√§hrung f√ľr In-Game-K√§ufe, als Belohnungen f√ľr Spieler und als Tauschmittel verwendet.¬†

M√§ngel bei der Erstellung und Verwaltung von ERC-20-Tokens stellen ein Sicherheitsrisiko dar. Eine Gefahr sind sogenannte Reentrancy-Angriffe, die w√§hrend des Minting-Prozesses erfolgen k√∂nnen. Dabei nutzen die Angreifer einen Logikfehler in einem Kontrakt aus, um eine bestimmte Funktion wiederholt auszuf√ľhren und so die unendliche Ausgabe von Tokens zu veranlassen.

Die Preisstabilit√§t und das Angebot von ERC-20-Tokens entscheiden √ľber die Spielbarkeit und Nachhaltigkeit eines Spiels. Daher sollten die Projekte sicherstellen, dass die Logik der Codes korrekt ist, und die Gesamtmenge der ERC-20-Tokens streng kontrollieren.¬†

Das P2E-GameFi-Projekt DeFi Kingdoms war im Jahr 2022 von einer illegalen Ausgabe von ERC-20-Token betroffen. Einige Spieler nutzten einen Logikfehler aus, um die gesperrten nativen Tokens des Spiels zu prägen, wodurch der Tokenpreis anschließend einbrach.

Schwachstellen von NFTs 

NFTs werden in erster Linie als virtuelle In-Game-Assets in GameFi-Projekten verwendet, z.B. f√ľr Ausr√ľstung, Gegenst√§nde und Andenken. Sie gew√§hren den Spielern Eigentumsrechte, und ihr Wert ist aufgrund eines knappen Angebots und Ma√ünahmen zur Inflationssteuerung in der Regel stabil. Ein unangemessener Umgang mit NFTs stellt jedoch ein Sicherheitsrisiko dar.

Der Wert eines NFTs spiegelt die Seltenheit von Gegenst√§nden wie Ausr√ľstung oder Waffen wider. Spieler versuchen in der Regel, die seltensten NFTs zu erlangen. Nun ist es im Rahmen des NFT-Minting-Prozesses m√∂glich, dass blockbezogene Informationen wie Zeitstempel f√ľr die zuf√§llige Generierung von NFTs mit unterschiedlichem Seltenheitswert missbraucht werden. So kann ein Miner den Blockzeitstempel bis zu einem gewissen Grad manipulieren, um seltenere NFTs illegal zu pr√§gen.¬†

Selbst eine vertrauensw√ľrdige Zufallsfunktion wie die Chainlink VRF (Verifiable Random Function) beseitigt nicht alle Risiken. B√∂swillige Akteure k√∂nnen gewisse Vorg√§nge solange r√ľckg√§ngig machen und wiederholen, bis sie einen ausreichend seltenen NFT erzeugt haben.

Eine weitere Gefahr ist, dass Angreifer potenzielle Schwachstellen in den Smart Contracts ausnutzen, wenn Spieler NFTs austauschen und √ľbertragen. Beispielsweise wird die Funktion safeTransferFrom() zur √úbertragung von ERC-721-NFTs verwendet. Ist der Empf√§nger eine Kontraktadresse, wird die Funktion onERC721Received() f√ľr einen R√ľckruf ausgel√∂st. Dann besteht die Gefahr eines Reentrancy-Angriffs, bei dem der Hacker die Logik innerhalb der Funktion onERC721Received() steuern kann.¬†

Dieses Risiko besteht auch bei ERC-1155-NFTs, wobei die Funktion safeTransferFrom() die Funktion onERC1155Received() ausl√∂st, was es Angreifern erm√∂glicht, eine Reentrancy-Attacke auszuf√ľhren.

Schwachstellen von Blockchain-Br√ľcken¬†

Cross-Chain-Br√ľcken werden von GameFi-Projekten verwendet, um Nutzern den Austausch von In-Game-Assets √ľber verschiedene Netzwerke hinweg zu erm√∂glichen. Au√üerdem verbessern sie das Spielerlebnis und den Spielfluss.

Ein gro√ües Risiko von Cross-Chain-Br√ľcken besteht in der Uneinheitlichkeit der In-Game-Assets. Die Kontrakte beiderseits der Br√ľcke sollten eigentlich gew√§hrleisten, dass die gleiche Menge an Assets angenommen und vernichtet wird. Wenn der Code jedoch Schwachstellen in Bezug auf die Verifizierung und Abrechnung aufweist, k√∂nnen Angreifer die Kontrakte kompromittieren und eine gro√üe Anzahl von Assets aus dem Nichts erschaffen.

Schwachstellen in der DAO-Governance 

Viele GameFi-Projekte werden von DAOs gesteuert, was das Risiko einer Zentralisierung birgt, wenn die Mehrheit der Governance-Tokens im Besitz einiger weniger Akteure ist. Dar√ľber hinaus bieten die Smart Contracts, die die Regeln f√ľr die DAO-Governance festlegen, Angriffsm√∂glichkeiten. So k√∂nnen Angreifer Wege finden, um auf die DAO-Kasse zuzugreifen.

Off-Chain-Sicherheitsrisiken 

Die meisten GameFi-Projekte sind nach wie vor von zentralisierten Off-Chain-Servern abh√§ngig, um Back-End-Operationen, Webschnittstellen oder mobile Anwendungen auszuf√ľhren. Auf diesen Servern, die anf√§llig f√ľr Angriffsmethoden wie Penetration und Trojaner sind, befinden sich wichtige Informationen wie Spiel- und Nutzerkontendaten.¬†

Die Metadaten von NFTs enthalten wichtige deskriptive Informationen und werden in der Regel außerhalb der Blockchain als JSON-Dateien gespeichert. Viele GameFi-Projekte speichern ihre NFT-Metadaten jedoch auf ihren eigenen zentralen Servern, anstatt eine dezentrale Infrastruktur wie IPFS zu nutzen. Dies erhöht die Wahrscheinlichkeit der Manipulation von Metadaten durch verbundene Parteien oder Angreifer, was die Interessen und Rechte der Spieler beeinträchtigen könnte.

Bei Cross-Chain-Transfers √ľber Blockchain-Br√ľcken k√∂nnen Hacker versuchen, durch Penetrations- oder Phishing-Angriffe in den Besitz von Signaturen oder privaten Schl√ľsseln der Validatoren zu gelangen. Sie k√∂nnen die Infrastruktur kompromittieren und einen Exploit ausf√ľhren, um Zugriff auf In-Game-Assets zu erhalten.

W√§hrend Daten√ľbertragungen k√∂nnen Angreifer versuchen, Netzwerkpakete abzufangen und sie mit sch√§dlichem Code zu versehen, um so Mittelaufstockungen vorzut√§uschen und sich illegal In-Game-Assets zu verschaffen.¬†

Front-End-Schnittstellen bieten weitere Möglichkeiten, das System zu unterwandern. Im Falle eines Datenlecks im Bereich der Spieler-Ranglisten können Angreifer abgefangene Adressdaten an den Server senden, um an vertrauliche Informationen zu gelangen.

Maßnahmen zur Verbesserung der Sicherheit

Um die Sicherheit von GameFi-Projeken zu gew√§hrleisten, muss in jeder Phase mit gr√∂√üter Sorgfalt agiert werden. Die Grundlage f√ľr ein erfolgreiches GameFi-Projekt ist die Bereitstellung eines einwandfreien Smart-Contract-Codes. Dies erfordert fehlerfreien Code, regelm√§√üige Audits und formale Smart-Contract-Pr√ľfungen.¬†

Der Schutz von Servern und anderen Infrastrukturkomponenten ist ebenfalls von entscheidender Bedeutung. Zur Identifizierung m√∂glicher Schwachstellen sollten Penetrationstests durchgef√ľhrt werden. Bei dApp- und Blockchain-basierten Systemen m√ľssen die Penetrationstests Web3-Funktionen ber√ľcksichtigen. So sind f√ľr digitale Wallets und dezentrale Protokolle besondere Sicherheitsvorkehrungen erforderlich.

GameFi-Projekte sollten auch andere Best-Practice-Ma√ünahmen umsetzen, darunter einen sicheren Runtime-Prozess und eine l√ľckenlose Notfallstrategie. Ersteres beinhaltet die √úberwachung der ausgel√∂sten sicherheitsbezogenen Ereignisse, die Verbesserung der Umgebungssicherheit und die Implementierung von Bug-Bounty-Programmen.

Gleichzeitig m√ľssen Projekte einen vollst√§ndigen Notfallreaktionsprozess entwickeln, der Aspekte wie die Beseitigung von Sicherheitsl√ľcken, die Bek√§mpfung von Angriffen und die Analyse von Problemen umfasst.

Fazit

Viele Vorf√§lle zeigen, dass sicherheitsbezogene Risiken im GameFi-Bereich h√§ufig ignoriert oder verharmlost werden. Dabei gehen die Sicherheitsm√§ngel √ľber die in diesem Artikel beschriebenen hinaus. Gerade da GameFi in Zukunft ein wichtiger Teilbereich des Gamings sein wird, sollten Sicherheitsfragen ernst genommen werden und die Interessen der Community an erste Stelle gesetzt werden.

Weiterf√ľhrende Lekt√ľre


Disclaimer und Risikohinweis: Dieser Inhalt wird dir zu allgemeinen Informations- und Bildungszwecken pr√§sentiert, ohne jegliche Zusicherung oder Garantie. Er ist weder als finanzielle, rechtliche oder sonstige professionelle Beratung noch als Empfehlung f√ľr den Kauf bestimmter Produkte oder Dienstleistungen zu verstehen. Du solltest dich von einem qualifizierten professionellen Berater beraten lassen. Wenn der Artikel von einer Drittpartei verfasst wurde, beachte bitte, dass die zum Ausdruck gebrachen Ansichten diejenigen der Drittpartei sind und nicht unbedingt die der Binance Academy widerspiegeln. Bitte lies hier unseren vollst√§ndigen Disclaimer f√ľr weiterf√ľhrende Informationen. Die Preise von Kryptow√§hrungen sind volatil. Der Wert deiner Anlage kann steigen oder fallen, und es kann sein, dass du den investierten Betrag nicht zur√ľckerh√§ltst. Die Verantwortung f√ľr deine Anlageentscheidungen liegt allein bei dir. Die Binance Academy haftet nicht f√ľr etwaige Verluste, die du erleidest. Die hier bereitgestellten Informationen stellen keine finanzielle, rechtliche oder sonstige Beratung dar. Weitere Informationen findest du in unseren Nutzungsbedingungen und unserem Risikohinweis.