Millised on GameFi levinumad turvaprobleemid?
Avaleht
Artiklid
Millised on GameFi levinumad turvaprobleemid?

Millised on GameFi levinumad turvaprobleemid?

EdasijÔudnud
Avaldatud Mar 31, 2023VĂ€rskendatud Dec 11, 2023
7m

See artikkel on panus kogukonda. Autoriks on Zhangchi Qin, nutilepingute audiitor, holistilise plokiahela turvafirmas Salus Security. 

Selle artikli kaasautori/autori vaated ei pruugi kajastada Binance'i Akadeemia vaateid.

TLDR:

  • GameFi projektid seisavad silmitsi erinevate turvaprobleemidega, mida vĂ”ib liigitada ahelasisesteks ja ahelavĂ€listeks probleemideks. 

  • Ahelasisesed turvaprobleemid hĂ”lmavad peamiselt ERC-20 tokenite ja NFT-de haldamist, ahelaĂŒleste sildade turvalisust ja detsentraliseeritud autonoomse organisatsiooni (DAO) juhtimist. 

  • Teisest kĂŒljest on ahelavĂ€lised vĂ€ljakutsed tavaliselt seotud veebiliideste ja serveritega. 

  • GameFi projektides tuleks seada prioriteediks turvameetmed, nĂ€iteks ranged auditid, haavatavuse skaneerimine ja sissetungitestid, ning rakendada parimaid toimimistavasid ja Ă€rialast kontrolli.

Sissejuhatus 

GameFi ĂŒhendab plokiahela tehnoloogia mĂ€ngimisega, et luua detsentraliseeritud platvorme, mis sisaldavad mĂ€ngusiseseid varasid ja digitaalseid valuutasid. Tavaliselt sisaldab see teenimismĂ€ngu (P2E) mudelit, mis vĂ”imaldab mĂ€ngijatel krĂŒptopreemiaid teenida. GameFi annab mĂ€ngijatele ka tĂ”elise omandiĂ”iguse ja tĂ€ieliku kontrolli oma mĂ€ngusiseste varade ĂŒle.

Kuigi GameFi kogub ĂŒha enam populaarsust, seisab see kogu oma elutsĂŒkli jooksul silmitsi pidevate ja mĂ€rkimisvÀÀrsete hĂ€kkimisohtudega. MĂ”ne projekti puhul vĂ”ib kiirus olla tĂ€htsam kui kvaliteet ja seetĂ”ttu puuduvad tugevad turvameetmed, mis seab nii kogukonna kui ka loojad mĂ€rkimisvÀÀrsete kahjude ohtu.

Miks on GameFi turvalisus oluline? 

GameFi koges 2021. aastal mĂ€rkimisvÀÀrset kasvu oma P2E-mudeliga, mis pakub mĂ€ngijatele uudseid mĂ€ngusiseseid finantsvĂ”imalusi. 2022. aastal tĂ”id GameFi kasvupotentsiaali veelgi enam esile „move-to-earn“ tĂŒĂŒpi projektid. GameFi oli 2022. aastal krĂŒptosektoris esikohal, moodustades ligikaudu 9,5% kogu sektori rahastamisest ja kasvades aasta-aastalt ĂŒle 118%.

GameFi erineb traditsioonilistest mĂ€ngudest, sest kasutajate jaoks on kaalul rohkem kui muidu ja igasugune hĂ€kkimine vĂ”ib tĂ€hendada nende jaoks mĂ€rkimisvÀÀrset kahju. Ă„Ă€rmuslikes stsenaariumides vĂ”ivad turvarikkumised projektile lĂ”pu teha. 

NĂ€iteks kasutasid rĂŒndajad 2022. aastal GameFi projekti Axie Infinity allkirja saamiseks RPC-sĂ”lme (Remote Procedure Call) tagaust, mis vĂ”imaldas rĂŒndajatel teostada loata vĂ€ljavĂ”tteid kogusummas ligi 600 miljonit dollarit ETH-des. Mis tahes haavatavused GameFi projektides vĂ”ivad pĂ”hjustada suuri kahjusid nii investoritele kui ka mĂ€ngijatele, mis rĂ”hutab GameFi turvalisuse kriitilist tĂ€htsust.

Turvalisuse vÀljakutsed ahelas 

ERC-20 tokenite haavatavused 

ERC-20 tokeneid kasutatakse GameFi projektides sageli mÀngusiseste ostude virtuaalrahana, mÀngijate tasustamismehhanismina ja börsina. 

ERC-20 tokenite ebaĂ”ige vermimine ja haldamine vĂ”ib tekitada turvariske. Üks tavaline haavatavus, mida nimetatakse taassisenemiseks, vĂ”ib tekkida vermimise kĂ€igus. RĂŒndajad vĂ”ivad kasutada lepingus olevat loogilist lĂŒnka, et tĂ€ita korduvalt konkreetset funktsiooni, mille tulemuseks on tokenite lĂ”putu vermimine.

Universaalse mÀnguvahetusena mÀÀrab ERC-20 tokenite stabiilsus ja kogus mÀngu mÀngitavuse ja jÀtkusuutlikkuse. Seega peaksid projektid tagama koodide loogilisuse ja kontrollima rangelt ERC-20 tokenite kogupakkumist. 

P2E GameFi projekti DeFi Kingdoms rĂŒndas 2022. aastal pahatahtlik ERC-20 vermimine. MĂ”ned mĂ€ngijad kasutasid loogika haavatavust, et vermida mĂ€ngu lukustatud natiivseid tokeneid, mis pĂ”hjustas pĂ€rast seda tokenite hinna jĂ€rsu languse.

NFT haavatavused 

NFT-sid kasutatakse GameFi projektides peamiselt mÀngusisese virtuaalvarana, kaasaarvatud seadmed, rekvisiidid ja suveniirid. Nad pakuvad mÀngijatele selget omandiÔigust ja suudavad sÀilitada stabiilse vÀÀrtuse inflatsioonikontrolli ja nappuse kaudu. NFT-de ebaÔige kasutamine vÔib siiski tekitada turvaauke.

NFT-de vÀÀrtus kajastub varustuse vÔi rekvisiitide harulduses, kusjuures mÀngijad otsivad tavaliselt kÔige haruldasemat NFT-d. NFT vermimise kÀigus vÔidakse plokkidega seotud teavet, nagu ajatemplid, kasutada nÔrga juhusliku allikana erineva haruldustasemega NFT-de loomiseks. Kaevandaja vÔib ploki ajatempliga mingil mÀÀral manipuleerida, et pahatahtlikult vermida haruldasemaid NFT-sid. 

Isegi usaldusvÀÀrne juhuslikkuse allikas, nagu Chainlink VRF (Verifiable Random Function), ei eemalda kĂ”iki riske. Pahatahtlikud kasutajad vĂ”ivad soovimatuid NFT-tokeneid vermides toiminguid tĂŒhistada ja korrata protsessi, kuni haruldane NFT on vermitud.

Kui mĂ€ngijad kauplevad ja kannavad ĂŒle NFT-sid, vĂ”ivad tekkida vĂ”imalikud nutilepingu haavatavused. NĂ€iteks funktsiooni safeTransferFrom() kasutatakse ERC-721 NFT-de ĂŒlekandmiseks. Kui vastuvĂ”tja on lepinguline aadress, kĂ€ivitatakse funktsioon onERC721Received() tagasikutsumiseks. Siis on potentsiaalne oht taassisenemise rĂŒnnakuteks, mille puhul rĂŒndajad saavad dikteerida funktsiooni ERC721Received() loogikat. 

See oht on olemas ka ERC-1155 NFT-de puhul, mille puhul funktsioon safeTransferFrom() kĂ€ivitab funktsiooni onERC1155Received() ja vĂ”imaldab rĂŒndajatel sooritada taassisenemisrĂŒnnakut.

Silla haavatavused 

GameFis kasutatakse ahelatevahelisi sildu, mis vÔimaldavad kasutajatel vahetada mÀngusiseseid varasid erinevate vÔrkude vahel. Samuti on need kriitilise tÀhtsusega GameFi kogemuste ja likviidsuse suurendamiseks.

Üks peamisi ahelatevaheliste sildade risk GameFis tuleneb mĂ€ngusiseste varade ebakĂ”ladest. MĂ”lemal pool silda sĂ”lmitavad lepingud peaksid tagama, et vĂ”etakse vastu ja pĂ”letatakse sama palju varasid. Kuna aga lepingutes on lĂŒngad kontrollimiseks ja raamatupidamiseks, saavad rĂŒndajad neid ohustada, et luua Ă”hust suur hulk varasid.

DAO juhtimise haavatavused 

Paljusid GameFi projekte juhivad DAO-d, mis vĂ”ib kaasa tuua tsentraliseerimisohu, kui enamik juhtimistokeneid kuulub mĂ”nele suurele osalejale. Nutilepingud, mis mÀÀratlevad DAO juhtimise reeglid, avavad veel ĂŒhe koha potentsiaalsete kompromisside jaoks, kuna rĂŒndajad vĂ”ivad leida viise, kuidas pÀÀseda ligi DAO kassale.

AhelavÀlised turvalisuse vÀljakutsed 

Enamik GameFi projekte sĂ”ltub endiselt ahelavĂ€listest tsentraliseeritud serveritest back-end operatsioonide, veebiliideste vĂ”i mobiilirakenduste jaoks. Need serverid sisaldavad kriitilist teavet, sealhulgas mĂ€ngude andmeid ja omanike kontosid, ning need on haavatavad pahatahtlike rĂŒnnakute, nĂ€iteks sissetungi ja Trooja hobuse pahavara suhtes. 

NFT-de puhul sisaldavad metaandmed olulist kirjeldavat teavet ja salvestatakse JSON-failidena ahelavĂ€liselt. Kuid paljud GameFi projektid salvestavad oma NFT-metaandmeid oma tsentraliseeritud serveritesse, selle asemel, et kasutada detsentraliseeritud infrastruktuuri nagu IPFS. See suurendab tĂ”enĂ€osust, et seotud osapooled vĂ”i rĂŒndajad manipuleerivad metaandmeid, mis vĂ”ib rikkuda mĂ€ngijate Ă”igusi.

AhelaĂŒleste sildade kontekstis vĂ”ivad rĂŒndajad hankida lĂ€bitungimise vĂ”i andmepĂŒĂŒgirĂŒnnakute kaudu valideerijate allkirju vĂ”i privaatseid vĂ”tmeid. Nad vĂ”ivad kahjustada infrastruktuuri ja kasutada mĂ€ngusiseseid varasid.

Andmeedastuse ajal vĂ”ivad rĂŒndajad vĂ”rgupaketi kaaperdada ja sinna sisestada pahatahtlikku koodi. Andmepaketti muutes vĂ”ivad rĂŒndajad rakendada valesid tĂ€iendusi ja kasutada ĂŒhiku ostusummat, et saada rohkem mĂ€nguelemente. 

Front-end liidesed annavad rĂŒndajatele veel ĂŒhe vĂ”imaluse pahatahtlikult sĂŒsteemi imbuda. Kui ĂŒhe mĂ€ngu edetabelis toimub infoleke, vĂ”ivad rĂŒndajad saata lekkinud aadressiga seotud teavet serverile, et saada vastavat tundlikku teavet.

Kuidas parandada turvalisust

GameFi projektide kaitsmiseks on oluline olla igas etapis ettevaatlik. Laitmatute nutilepingu koodide tagamine on eduka GameFi projekti alus – see hĂ”lmab kvaliteetse koodi kirjutamist, regulaarsete auditite lĂ€biviimist ja ametlikku nutilepingu kontrolli. 

Serverite ja muude infrastruktuurikomponentide turvalisuse sĂ€ilitamine on samuti kriitilise tĂ€htsusega; vĂ”imalike haavatavuste avastamiseks tuleks lĂ€bi viia sissetungitestimine. DAppide- ja plokiahelapĂ”histe sĂŒsteemide puhul toob sissetungitestimine kaasa Web3 omadused. SeetĂ”ttu on digitaalsete rahakottide ja detsentraliseeritud protokollide puhul vaja erilisi ettevaatusabinĂ”usid.

GameFi projektides tuleks jĂ€rgida ka muid hĂ€id tavasid, sealhulgas turvalist kĂ€ivitamisprotsessi ja tĂ€ielikku reageerimist hĂ€daolukordadele. Esimene hĂ”lmab kĂ€ivitatud turbesĂŒndmuste jĂ€lgimist, keskkonna turvalisuse tugevdamist ja veaprogrammide vĂ€ljaandmist.

Samal ajal peavad projektid töötama vĂ€lja tĂ€ieliku hĂ€daolukordadele reageerimisprotsessi, mis hĂ”lmab selliseid aspekte nagu kaotuste kĂ”rvaldamine, rĂŒnnakute jĂ€lgimine ja probleemide analĂŒĂŒs.

LÔppmÀrkused

GameFi turvaaugud lĂ€hevad kaugemale kĂ€esolevas artiklis mainituist ja paljud juhtumid on nĂ€idanud, et projektides on ignoreeritud vĂ”i alahinnatud turvariske. GameFi on oluline osa mĂ€ngude tulevikust. Seega peaksid projektid alati pöörama tĂ€helepanu julgeolekukĂŒsimustele ja seadma kogukondade huvid esikohale.

Lisalugemist


LahtiĂŒtlus ja riskihoiatus: seda sisu esitatakse sellisel kujul, nagu see on, ainult ĂŒldiseks teabeks ning hariduslikel eesmĂ€rkidel, ilma igasuguse esinduse vĂ”i garantiita. Seda ei tohiks tĂ”lgendada kui finants-, juriidilist vĂ”i muud professionaalset nĂ”ustamist ega kui soovitust konkreetse toote vĂ”i teenuse ostmiseks. Peaksid kĂŒsima nĂ”u asjakohastelt professionaalsetelt nĂ”ustajatelt. Kui artiklit on koostanud kolmandast osapoolest kaastööline, pane tĂ€hele, et vĂ€ljendatud seisukohad kuuluvad kolmandast osapoolest kaastöölisele ja ei pruugi kajastada Binance'i Akadeemia omasid. Lisateabe saamiseks lugege meie tĂ€ielikku lahtiĂŒtlust siit. Digitaalsete varade hinnad vĂ”ivad olla kĂ”ikuvad. Sinu investeeringu vÀÀrtus vĂ”ib langeda vĂ”i tĂ”usta ning sa ei pruugi investeeritud summat tagasi saada. Sina vastutad ainuisikuliselt oma investeerimisotsuste eest ja Binance'i Akadeemia ei vastuta vĂ”imalike kahjude eest. Seda materjali ei tohiks tĂ”lgendada finants-, juriidilise vĂ”i muu professionaalse nĂ”ustamisena. Lisateabe saamiseks loe meie kasutustingimusi ja riskihoiatust.