¬ŅCu√°les son los problemas de seguridad m√°s comunes de GameFi?
Inicio
Artículos
¬ŅCu√°les son los problemas de seguridad m√°s comunes de GameFi?

¬ŅCu√°les son los problemas de seguridad m√°s comunes de GameFi?

Avanzado
Publicación: Mar 31, 2023Actualización: Dec 11, 2023
7m

Este art√≠culo es una contribuci√≥n de la comunidad. El autor es Zhangchi Qin, un auditor de contratos inteligentes de la compa√Ī√≠a de seguridad hol√≠stica de blockchain, Salus Security.¬†

Las opiniones en este artículo pertenecen al colaborador/autor y no reflejan necesariamente las perspectivas de Binance Academy.

RESUMEN:

  • Los proyectos GameFi enfrentan diversos desaf√≠os respecto a la seguridad que se pueden clasificar como problemas en la cadena y problemas fuera de la cadena.¬†

  • Los desaf√≠os de seguridad en la cadena implican principalmente la gesti√≥n de los tokens ERC-20 y los NFT, la seguridad en los puentes cross-chain y la gobernanza de las Organizaciones Aut√≥nomas Descentralizadas (DAO).¬†

  • Por otra lado, los desaf√≠os fuera de la cadena est√°n generalmente relacionados con las interfaces web y los servidores.¬†

  • Los proyectos GameFi deben priorizar las medidas de seguridad, como auditor√≠as rigurosas, escaneo de vulnerabilidades y pruebas de penetraci√≥n, as√≠ como implementar las mejores pr√°cticas operativas y controles comerciales.

Introducción

GameFi combina la tecnología blockchain con juegos para crear plataformas descentralizadas que incluyen activos y monedas digitales dentro de los juegos. Por lo general, presenta un modelo de juego play-to-earn (P2E) que permite a los jugadores ganar recompensas cripto. GameFi también otorga a los gamers la verdadera propiedad y el control absoluto sobre sus activos en el juego.

Aunque GameFi ganó popularidad, enfrenta continuamente amenazas importantes de sufrir hackeos a lo largo de su ciclo de vida. Algunos proyectos pueden valorar la velocidad por sobre la calidad y, por lo tanto, carecen de medidas de seguridad robustas, lo que pone tanto a la comunidad como a los creadores en riesgo de sufrir pérdidas significativas.

¬ŅPor qu√© es importante la seguridad en GameFi?¬†

GameFi experiment√≥ un crecimiento considerable en 2021, impulsado por el modelo P2E que ofrece a los jugadores nuevas oportunidades financieras en los juegos. En 2022, los proyectos move-to-earn destacaron a√ļn m√°s el potencial de crecimiento de GameFi, siendo este el principal sector de las criptomonedas con una representaci√≥n del 9.5% de la financiaci√≥n total de la industria y un crecimiento interanual de m√°s de 118%.

GameFi es diferente a los juegos tradicionales porque los usuarios tienen mucho más en juego. Es por este motivo que cualquier hackeo podría significar pérdidas importantes para ellos. En situaciones extremas, la falla de seguridad podría poner fin a un proyecto. 

Por ejemplo, en 2022, hackers aprovecharon un acceso indirecto (backdoor) en un nodo de Llamadas a Procedimiento Remoto (RPC) para obtener una firma en el proyecto GameFi Axie Infinity, lo que permitió a los ciberdelincuentes realizar retiros no autorizados por un total de casi 600 millones de dólares en ETH. Cualquier vulnerabilidad de los proyectos GameFi podría generar pérdidas masivas, tanto para los inversores como para los jugadores, lo que subraya la importancia crucial de la seguridad en GameFi.

Desafíos de seguridad en la cadena 

Vulnerabilidades de los tokens ERC-20 

Los tokens ERC-20 se usan frecuentemente en proyectos GameFi como moneda virtual para compras en juegos, mecanismos de recompensas para jugadores y como un medio de intercambio. 

La acu√Īaci√≥n y gesti√≥n inadecuada de los token ERC-20 puede generar riesgos a la seguridad. Una vulnerabilidad com√ļn llamada reingreso puede ocurrir durante el proceso de acu√Īaci√≥n. Los atacantes pueden explotar las fisuras en la l√≥gica en un contrato para ejecutar de manera repetida una funci√≥n espec√≠fica, lo que resulta en la acu√Īaci√≥n infinita de tokens.

Al ser monedas del juego universales, la estabilidad y cantidad de los tokens ERC-20 determinan la jugabilidad y sostenibilidad del juego. Por lo tanto, los proyectos deben garantizar la lógica de sus códigos y el control estricto del suministro total de los tokens ERC-20. 

En 2022, el proyecto GameFi P2E DeFi Kingdoms sufri√≥ un ataque de acu√Īaci√≥n maliciosa de ERC-20. Algunos jugadores aprovecharon la vulnerabilidad en la l√≥gica para acu√Īar los tokens nativos bloqueados del juego, lo que hizo que el precio del token se desplomara poco despu√©s.

Vulnerabilidades de NFT 

En los proyectos GameFi, los NFT se usan principalmente como activos virtuales en el juego, que pueden ser, entre otros, equipos, accesorios y souvenirs. Brindan a los jugadores una propiedad clara y pueden mantener un valor estable a través del control de la inflación y la escasez. Sin embargo, el uso inadecuado de los NFT puede acarrear vulnerabilidades a la seguridad.

El valor de los NFT se refleja en la rareza de los equipos o accesorios; los jugadores normalmente buscan los NFT m√°s raros. Durante el proceso de acu√Īaci√≥n de NFT, se puede usar informaci√≥n relacionada con los bloques (por ejemplo, los registros de tiempo) como una fuente aleatoria d√©bil para generar NFT con diferentes niveles de rareza. En cierta medida, un minero puede manipular el registro de tiempo para acu√Īar maliciosamente NFT m√°s raros.¬†

Incluso una fuente confiable de aleatoriedad, como Chainlink VRF (del ingl√©s Verifiable Random Function, funciones aleatorias verificables), no elimina los riesgos. Los usuarios maliciosos pueden revocar operaciones cuando acu√Īan un ID de token NFT no deseado y repetir el proceso hasta que se acu√Īe un NFT raro.

Cuando los jugadores comercian o transfieren NFT, pueden darse posibles vulnerabilidades de los contratos inteligentes. Por ejemplo, la función safeTransferFrom() se usa para transferir NFT ERC-721. Cuando el receptor es una dirección de contrato, la función onERC721Received() se activará para un callback. De esta manera, existe un riesgo potencial de ataques de reingreso, en los que los atacantes pueden dictaminar la lógica dentro de la función onERC721Received(). 

El riesgo también existe entre los NFT ERC-1155, donde la función safeTransferFrom() activa la función onERC1155Received() y permite a los atacantes realizar un ataque de reingreso.

Vulnerabilidades de puentes 

Los puentes cross-chain se usan en GameFi para permitir a los usuarios intercambiar activos del juego entre diferentes redes. También son fundamentales para mejorar la experiencia y la liquidez de GameFi.

Un riesgo importante de los puentes cross-chain en GameFi proviene de las inconsistencias entre los activos del juego. Los contratos de ambos lados del puente deben garantizar que la misma cantidad de activos se acepten y quemen. Sin embargo, debido a las fisuras en los contratos en cuanto a verificación y contabilidad, los atacantes pueden comprometerlos para crear una gran cantidad de activos de la nada.

Vulnerabilidades de la gobernanza DAO 

Muchos proyectos GameFi están gobernados por DAO, lo que puede introducir el riesgo de centralización si la mayoría de los tokens de gobernanza son propiedad de un grupo reducido de actores. Los contratos inteligentes que definen las reglas de gobernanza de la DAO abren otro espacio para posibles vulnerabilidades, ya que los atacantes pueden encontrar maneras de acceder al tesoro de la DAO.

Desafíos de seguridad fuera la cadena 

La mayor√≠a de los proyectos GameFi a√ļn depende de servidores centralizados fuera de la cadena para sus operaciones de backend, interfaces web o aplicaciones m√≥viles. Estos servidores albergan informaci√≥n crucial, incluidos datos del juego y las cuentas de los due√Īos, y son vulnerables a los ataques maliciosos como los de penetraci√≥n y el malware troyano.¬†

En lo que refiere a los NFT, los metadatos contienen información descriptiva importante y se almacenan en archivos JSON fuera de la cadena. Sin embargo, muchos proyectos GameFi almacenan sus metadatos de NFT en sus propios servidores centralizados en lugar de usar una infraestructura descentralizada, como IPFS. Esto aumenta la probabilidad de manipulación de los metadatos por parte de partes relacionadas o atacantes, lo que puede infringir los derechos de los jugadores.

En el contexto de los puentes cross-chain, los atacantes pueden obtener firmas o claves privadas de validadores a través de ataques de penetración o phishing. Pueden comprometer la infraestructura y ejecutar un exploit para controlar los activos del juego.

Durante la transmisión de datos, los atacantes pueden secuestrar e inyectar el paquete de red con el código malicioso. Al modificar el paquete de datos, los atacantes pueden implementar recargas falsas y usar la cantidad de compra de unidades para obtener más artículos del juego. 

Las interfaces front-end dan a los atacantes otro espacio para la infiltración maliciosa del sistema. Si se produce una filtración de información en la tabla de clasificaciones de un juego, los atacantes pueden enviar la información filtrada a un servidor para obtener datos sensibles.

Cómo mejorar la seguridad

Para salvaguardar los proyectos GameFi, es fundamental tener precaución en cada etapa. Garantizar códigos de contratos inteligentes impecables es la base de un proyecto GameFi exitoso: esto implica escribir un código de alta calidad, llevar a cabo auditorías regulares y usar la verificación formal de los contratos inteligentes. 

También es crucial mantener la seguridad de los servidores y de otros componentes de la infraestructura: deben realizarse pruebas de penetración para detectar posibles vulnerabilidades. En los sistemas basados en DApps y blockchain, las pruebas de penetración también aportan funcionalidades Web3. De esta manera, se deben implementar precauciones específicas para billeteras digitales y protocolos descentralizados.

Los proyectos GameFi también deben apegarse a las prácticas recomendadas, que incluyen un proceso de tiempo de ejecución seguro y una respuesta de emergencia completa. Lo anterior comprende monitorear eventos de seguridad desencadenados, reforzar la seguridad del entorno y lanzar programas de recompensas por bugs.

Al mismo tiempo, los proyectos deben desarrollar un proceso de respuesta de emergencia completo que incluya aspectos como la eliminación segura de sistemas para evitar que atacantes accedan a ellos, el seguimiento de ataques y el análisis de problemas.

Conclusiones

Las vulnerabilidades de la seguridad de GameFi van más allá de lo mencionado en este artículo y muchos incidentes han demostrado que los proyectos ignoraron o minimizaron los riesgos de seguridad. GameFi es una parte significativa del futuro de los juegos. Como tal, los proyectos deben siempre prestar atención a los problemas de seguridad y anteponer los intereses de sus comunidades.

Lecturas adicionales


Aviso legal y Advertencia de riesgo: Este contenido se presenta "tal cual" √ļnicamente para fines de informaci√≥n general y educativos, sin declaraci√≥n ni garant√≠a de ning√ļn tipo. No debe interpretarse como un asesoramiento financiero, legal o de otra √≠ndole profesional ni pretende recomendar la compra de ning√ļn producto o servicio espec√≠ficos. Debes buscar consejo particular de asesores profesionales id√≥neos. Como este art√≠culo es producto de la contribuci√≥n de un tercero, ten en cuenta que las opiniones expresadas pertenecen al tercero colaborador y no reflejan necesariamente las de Binance Academy. Para obtener m√°s informaci√≥n, lee nuestro aviso legal completo aqu√≠. Los precios de los activos digitales pueden ser vol√°tiles. El valor de una inversi√≥n puede bajar o subir, y podr√≠a darse el caso de que no recuperes el monto invertido. Solo t√ļ eres responsable de tus decisiones de inversi√≥n. Binance Academy no se responsabiliza de ninguna p√©rdida en la que puedas incurrir. Este material no se debe interpretar como una asesor√≠a financiera, legal o de otra √≠ndole profesional. Si deseas obtener m√°s informaci√≥n, consulta nuestros T√©rminos de uso y la Advertencia de riesgo.