Este artículo es una contribución de la comunidad. El autor es Zhangchi Qin, un auditor de contratos inteligentes de la compañía de seguridad holística de blockchain, Salus Security.
Las opiniones en este artículo pertenecen al colaborador/autor y no reflejan necesariamente las perspectivas de Binance Academy.
RESUMEN:
Los proyectos GameFi enfrentan diversos desafíos respecto a la seguridad que se pueden clasificar como problemas en la cadena y problemas fuera de la cadena.
Los desafíos de seguridad en la cadena implican principalmente la gestión de los tokens ERC-20 y los NFT, la seguridad en los puentes cross-chain y la gobernanza de las Organizaciones Autónomas Descentralizadas (DAO).
Por otra lado, los desafíos fuera de la cadena están generalmente relacionados con las interfaces web y los servidores.
Los proyectos GameFi deben priorizar las medidas de seguridad, como auditorías rigurosas, escaneo de vulnerabilidades y pruebas de penetración, así como implementar las mejores prácticas operativas y controles comerciales.
Introducción
GameFi combina la tecnología blockchain con juegos para crear plataformas descentralizadas que incluyen activos y monedas digitales dentro de los juegos. Por lo general, presenta un modelo de juego play-to-earn (P2E) que permite a los jugadores ganar recompensas cripto. GameFi también otorga a los gamers la verdadera propiedad y el control absoluto sobre sus activos en el juego.
Aunque GameFi ganó popularidad, enfrenta continuamente amenazas importantes de sufrir hackeos a lo largo de su ciclo de vida. Algunos proyectos pueden valorar la velocidad por sobre la calidad y, por lo tanto, carecen de medidas de seguridad robustas, lo que pone tanto a la comunidad como a los creadores en riesgo de sufrir pérdidas significativas.
¿Por qué es importante la seguridad en GameFi?
GameFi experimentó un crecimiento considerable en 2021, impulsado por el modelo P2E que ofrece a los jugadores nuevas oportunidades financieras en los juegos. En 2022, los proyectos move-to-earn destacaron aún más el potencial de crecimiento de GameFi, siendo este el principal sector de las criptomonedas con una representación del 9.5% de la financiación total de la industria y un crecimiento interanual de más de 118%.
GameFi es diferente a los juegos tradicionales porque los usuarios tienen mucho más en juego. Es por este motivo que cualquier hackeo podría significar pérdidas importantes para ellos. En situaciones extremas, la falla de seguridad podría poner fin a un proyecto.
Por ejemplo, en 2022, hackers aprovecharon un acceso indirecto (backdoor) en un nodo de Llamadas a Procedimiento Remoto (RPC) para obtener una firma en el proyecto GameFi Axie Infinity, lo que permitió a los ciberdelincuentes realizar retiros no autorizados por un total de casi 600 millones de dólares en ETH. Cualquier vulnerabilidad de los proyectos GameFi podría generar pérdidas masivas, tanto para los inversores como para los jugadores, lo que subraya la importancia crucial de la seguridad en GameFi.
Desafíos de seguridad en la cadena
Vulnerabilidades de los tokens ERC-20
Los tokens ERC-20 se usan frecuentemente en proyectos GameFi como moneda virtual para compras en juegos, mecanismos de recompensas para jugadores y como un medio de intercambio.
La acuñación y gestión inadecuada de los token ERC-20 puede generar riesgos a la seguridad. Una vulnerabilidad común llamada reingreso puede ocurrir durante el proceso de acuñación. Los atacantes pueden explotar las fisuras en la lógica en un contrato para ejecutar de manera repetida una función específica, lo que resulta en la acuñación infinita de tokens.
Al ser monedas del juego universales, la estabilidad y cantidad de los tokens ERC-20 determinan la jugabilidad y sostenibilidad del juego. Por lo tanto, los proyectos deben garantizar la lógica de sus códigos y el control estricto del suministro total de los tokens ERC-20.
En 2022, el proyecto GameFi P2E DeFi Kingdoms sufrió un ataque de acuñación maliciosa de ERC-20. Algunos jugadores aprovecharon la vulnerabilidad en la lógica para acuñar los tokens nativos bloqueados del juego, lo que hizo que el precio del token se desplomara poco después.
Vulnerabilidades de NFT
En los proyectos GameFi, los NFT se usan principalmente como activos virtuales en el juego, que pueden ser, entre otros, equipos, accesorios y souvenirs. Brindan a los jugadores una propiedad clara y pueden mantener un valor estable a través del control de la inflación y la escasez. Sin embargo, el uso inadecuado de los NFT puede acarrear vulnerabilidades a la seguridad.
El valor de los NFT se refleja en la rareza de los equipos o accesorios; los jugadores normalmente buscan los NFT más raros. Durante el proceso de acuñación de NFT, se puede usar información relacionada con los bloques (por ejemplo, los registros de tiempo) como una fuente aleatoria débil para generar NFT con diferentes niveles de rareza. En cierta medida, un minero puede manipular el registro de tiempo para acuñar maliciosamente NFT más raros.
Incluso una fuente confiable de aleatoriedad, como Chainlink VRF (del inglés Verifiable Random Function, funciones aleatorias verificables), no elimina los riesgos. Los usuarios maliciosos pueden revocar operaciones cuando acuñan un ID de token NFT no deseado y repetir el proceso hasta que se acuñe un NFT raro.
Cuando los jugadores comercian o transfieren NFT, pueden darse posibles vulnerabilidades de los contratos inteligentes. Por ejemplo, la función safeTransferFrom() se usa para transferir NFT ERC-721. Cuando el receptor es una dirección de contrato, la función onERC721Received() se activará para un callback. De esta manera, existe un riesgo potencial de ataques de reingreso, en los que los atacantes pueden dictaminar la lógica dentro de la función onERC721Received().
El riesgo también existe entre los NFT ERC-1155, donde la función safeTransferFrom() activa la función onERC1155Received() y permite a los atacantes realizar un ataque de reingreso.
Vulnerabilidades de puentes
Los puentes cross-chain se usan en GameFi para permitir a los usuarios intercambiar activos del juego entre diferentes redes. También son fundamentales para mejorar la experiencia y la liquidez de GameFi.
Un riesgo importante de los puentes cross-chain en GameFi proviene de las inconsistencias entre los activos del juego. Los contratos de ambos lados del puente deben garantizar que la misma cantidad de activos se acepten y quemen. Sin embargo, debido a las fisuras en los contratos en cuanto a verificación y contabilidad, los atacantes pueden comprometerlos para crear una gran cantidad de activos de la nada.
Vulnerabilidades de la gobernanza DAO
Muchos proyectos GameFi están gobernados por DAO, lo que puede introducir el riesgo de centralización si la mayoría de los tokens de gobernanza son propiedad de un grupo reducido de actores. Los contratos inteligentes que definen las reglas de gobernanza de la DAO abren otro espacio para posibles vulnerabilidades, ya que los atacantes pueden encontrar maneras de acceder al tesoro de la DAO.
Desafíos de seguridad fuera la cadena
La mayoría de los proyectos GameFi aún depende de servidores centralizados fuera de la cadena para sus operaciones de backend, interfaces web o aplicaciones móviles. Estos servidores albergan información crucial, incluidos datos del juego y las cuentas de los dueños, y son vulnerables a los ataques maliciosos como los de penetración y el malware troyano.
En lo que refiere a los NFT, los metadatos contienen información descriptiva importante y se almacenan en archivos JSON fuera de la cadena. Sin embargo, muchos proyectos GameFi almacenan sus metadatos de NFT en sus propios servidores centralizados en lugar de usar una infraestructura descentralizada, como IPFS. Esto aumenta la probabilidad de manipulación de los metadatos por parte de partes relacionadas o atacantes, lo que puede infringir los derechos de los jugadores.
En el contexto de los puentes cross-chain, los atacantes pueden obtener firmas o claves privadas de validadores a través de ataques de penetración o phishing. Pueden comprometer la infraestructura y ejecutar un exploit para controlar los activos del juego.
Durante la transmisión de datos, los atacantes pueden secuestrar e inyectar el paquete de red con el código malicioso. Al modificar el paquete de datos, los atacantes pueden implementar recargas falsas y usar la cantidad de compra de unidades para obtener más artículos del juego.
Las interfaces front-end dan a los atacantes otro espacio para la infiltración maliciosa del sistema. Si se produce una filtración de información en la tabla de clasificaciones de un juego, los atacantes pueden enviar la información filtrada a un servidor para obtener datos sensibles.
Cómo mejorar la seguridad
Para salvaguardar los proyectos GameFi, es fundamental tener precaución en cada etapa. Garantizar códigos de contratos inteligentes impecables es la base de un proyecto GameFi exitoso: esto implica escribir un código de alta calidad, llevar a cabo auditorías regulares y usar la verificación formal de los contratos inteligentes.
También es crucial mantener la seguridad de los servidores y de otros componentes de la infraestructura: deben realizarse pruebas de penetración para detectar posibles vulnerabilidades. En los sistemas basados en DApps y blockchain, las pruebas de penetración también aportan funcionalidades Web3. De esta manera, se deben implementar precauciones específicas para billeteras digitales y protocolos descentralizados.
Los proyectos GameFi también deben apegarse a las prácticas recomendadas, que incluyen un proceso de tiempo de ejecución seguro y una respuesta de emergencia completa. Lo anterior comprende monitorear eventos de seguridad desencadenados, reforzar la seguridad del entorno y lanzar programas de recompensas por bugs.
Al mismo tiempo, los proyectos deben desarrollar un proceso de respuesta de emergencia completo que incluya aspectos como la eliminación segura de sistemas para evitar que atacantes accedan a ellos, el seguimiento de ataques y el análisis de problemas.
Conclusiones
Las vulnerabilidades de la seguridad de GameFi van más allá de lo mencionado en este artículo y muchos incidentes han demostrado que los proyectos ignoraron o minimizaron los riesgos de seguridad. GameFi es una parte significativa del futuro de los juegos. Como tal, los proyectos deben siempre prestar atención a los problemas de seguridad y anteponer los intereses de sus comunidades.
Lecturas adicionales
Aviso legal y Advertencia de riesgo: Este contenido se presenta "tal cual" únicamente para fines de información general y educativos, sin declaración ni garantía de ningún tipo. No debe interpretarse como un asesoramiento financiero, legal o de otra índole profesional ni pretende recomendar la compra de ningún producto o servicio específicos. Debes buscar consejo particular de asesores profesionales idóneos. Como este artículo es producto de la contribución de un tercero, ten en cuenta que las opiniones expresadas pertenecen al tercero colaborador y no reflejan necesariamente las de Binance Academy. Para obtener más información, lee nuestro aviso legal completo aquí. Los precios de los activos digitales pueden ser volátiles. El valor de una inversión puede bajar o subir, y podría darse el caso de que no recuperes el monto invertido. Solo tú eres responsable de tus decisiones de inversión. Binance Academy no se responsabiliza de ninguna pérdida en la que puedas incurrir. Este material no se debe interpretar como una asesoría financiera, legal o de otra índole profesional. Si deseas obtener más información, consulta nuestros Términos de uso y la Advertencia de riesgo.