See artikkel on panus kogukonda. Autoriks on Zhangchi Qin, nutilepingute audiitor, holistilise plokiahela turvafirmas Salus Security.
Selle artikli kaasautori/autori vaated ei pruugi kajastada Binance'i Akadeemia vaateid.
TLDR:
GameFi projektid seisavad silmitsi erinevate turvaprobleemidega, mida võib liigitada ahelasisesteks ja ahelavälisteks probleemideks.
Ahelasisesed turvaprobleemid hõlmavad peamiselt ERC-20 tokenite ja NFT-de haldamist, ahelaüleste sildade turvalisust ja detsentraliseeritud autonoomse organisatsiooni (DAO) juhtimist.
Teisest küljest on ahelavälised väljakutsed tavaliselt seotud veebiliideste ja serveritega.
GameFi projektides tuleks seada prioriteediks turvameetmed, näiteks ranged auditid, haavatavuse skaneerimine ja sissetungitestid, ning rakendada parimaid toimimistavasid ja ärialast kontrolli.
Sissejuhatus
GameFi ühendab plokiahela tehnoloogia mängimisega, et luua detsentraliseeritud platvorme, mis sisaldavad mängusiseseid varasid ja digitaalseid valuutasid. Tavaliselt sisaldab see teenimismängu (P2E) mudelit, mis võimaldab mängijatel krüptopreemiaid teenida. GameFi annab mängijatele ka tõelise omandiõiguse ja täieliku kontrolli oma mängusiseste varade üle.
Kuigi GameFi kogub üha enam populaarsust, seisab see kogu oma elutsükli jooksul silmitsi pidevate ja märkimisväärsete häkkimisohtudega. Mõne projekti puhul võib kiirus olla tähtsam kui kvaliteet ja seetõttu puuduvad tugevad turvameetmed, mis seab nii kogukonna kui ka loojad märkimisväärsete kahjude ohtu.
Miks on GameFi turvalisus oluline?
GameFi koges 2021. aastal märkimisväärset kasvu oma P2E-mudeliga, mis pakub mängijatele uudseid mängusiseseid finantsvõimalusi. 2022. aastal tõid GameFi kasvupotentsiaali veelgi enam esile „move-to-earn“ tüüpi projektid. GameFi oli 2022. aastal krüptosektoris esikohal, moodustades ligikaudu 9,5% kogu sektori rahastamisest ja kasvades aasta-aastalt üle 118%.
GameFi erineb traditsioonilistest mängudest, sest kasutajate jaoks on kaalul rohkem kui muidu ja igasugune häkkimine võib tähendada nende jaoks märkimisväärset kahju. Äärmuslikes stsenaariumides võivad turvarikkumised projektile lõpu teha.
Näiteks kasutasid ründajad 2022. aastal GameFi projekti Axie Infinity allkirja saamiseks RPC-sõlme (Remote Procedure Call) tagaust, mis võimaldas ründajatel teostada loata väljavõtteid kogusummas ligi 600 miljonit dollarit ETH-des. Mis tahes haavatavused GameFi projektides võivad põhjustada suuri kahjusid nii investoritele kui ka mängijatele, mis rõhutab GameFi turvalisuse kriitilist tähtsust.
Turvalisuse väljakutsed ahelas
ERC-20 tokenite haavatavused
ERC-20 tokeneid kasutatakse GameFi projektides sageli mängusiseste ostude virtuaalrahana, mängijate tasustamismehhanismina ja börsina.
ERC-20 tokenite ebaõige vermimine ja haldamine võib tekitada turvariske. Üks tavaline haavatavus, mida nimetatakse taassisenemiseks, võib tekkida vermimise käigus. Ründajad võivad kasutada lepingus olevat loogilist lünka, et täita korduvalt konkreetset funktsiooni, mille tulemuseks on tokenite lõputu vermimine.
Universaalse mänguvahetusena määrab ERC-20 tokenite stabiilsus ja kogus mängu mängitavuse ja jätkusuutlikkuse. Seega peaksid projektid tagama koodide loogilisuse ja kontrollima rangelt ERC-20 tokenite kogupakkumist.
P2E GameFi projekti DeFi Kingdoms ründas 2022. aastal pahatahtlik ERC-20 vermimine. Mõned mängijad kasutasid loogika haavatavust, et vermida mängu lukustatud natiivseid tokeneid, mis põhjustas pärast seda tokenite hinna järsu languse.
NFT haavatavused
NFT-sid kasutatakse GameFi projektides peamiselt mängusisese virtuaalvarana, kaasaarvatud seadmed, rekvisiidid ja suveniirid. Nad pakuvad mängijatele selget omandiõigust ja suudavad säilitada stabiilse väärtuse inflatsioonikontrolli ja nappuse kaudu. NFT-de ebaõige kasutamine võib siiski tekitada turvaauke.
NFT-de väärtus kajastub varustuse või rekvisiitide harulduses, kusjuures mängijad otsivad tavaliselt kõige haruldasemat NFT-d. NFT vermimise käigus võidakse plokkidega seotud teavet, nagu ajatemplid, kasutada nõrga juhusliku allikana erineva haruldustasemega NFT-de loomiseks. Kaevandaja võib ploki ajatempliga mingil määral manipuleerida, et pahatahtlikult vermida haruldasemaid NFT-sid.
Isegi usaldusväärne juhuslikkuse allikas, nagu Chainlink VRF (Verifiable Random Function), ei eemalda kõiki riske. Pahatahtlikud kasutajad võivad soovimatuid NFT-tokeneid vermides toiminguid tühistada ja korrata protsessi, kuni haruldane NFT on vermitud.
Kui mängijad kauplevad ja kannavad üle NFT-sid, võivad tekkida võimalikud nutilepingu haavatavused. Näiteks funktsiooni safeTransferFrom() kasutatakse ERC-721 NFT-de ülekandmiseks. Kui vastuvõtja on lepinguline aadress, käivitatakse funktsioon onERC721Received() tagasikutsumiseks. Siis on potentsiaalne oht taassisenemise rünnakuteks, mille puhul ründajad saavad dikteerida funktsiooni ERC721Received() loogikat.
See oht on olemas ka ERC-1155 NFT-de puhul, mille puhul funktsioon safeTransferFrom() käivitab funktsiooni onERC1155Received() ja võimaldab ründajatel sooritada taassisenemisrünnakut.
Silla haavatavused
GameFis kasutatakse ahelatevahelisi sildu, mis võimaldavad kasutajatel vahetada mängusiseseid varasid erinevate võrkude vahel. Samuti on need kriitilise tähtsusega GameFi kogemuste ja likviidsuse suurendamiseks.
Üks peamisi ahelatevaheliste sildade risk GameFis tuleneb mängusiseste varade ebakõladest. Mõlemal pool silda sõlmitavad lepingud peaksid tagama, et võetakse vastu ja põletatakse sama palju varasid. Kuna aga lepingutes on lüngad kontrollimiseks ja raamatupidamiseks, saavad ründajad neid ohustada, et luua õhust suur hulk varasid.
DAO juhtimise haavatavused
Paljusid GameFi projekte juhivad DAO-d, mis võib kaasa tuua tsentraliseerimisohu, kui enamik juhtimistokeneid kuulub mõnele suurele osalejale. Nutilepingud, mis määratlevad DAO juhtimise reeglid, avavad veel ühe koha potentsiaalsete kompromisside jaoks, kuna ründajad võivad leida viise, kuidas pääseda ligi DAO kassale.
Ahelavälised turvalisuse väljakutsed
Enamik GameFi projekte sõltub endiselt ahelavälistest tsentraliseeritud serveritest back-end operatsioonide, veebiliideste või mobiilirakenduste jaoks. Need serverid sisaldavad kriitilist teavet, sealhulgas mängude andmeid ja omanike kontosid, ning need on haavatavad pahatahtlike rünnakute, näiteks sissetungi ja Trooja hobuse pahavara suhtes.
NFT-de puhul sisaldavad metaandmed olulist kirjeldavat teavet ja salvestatakse JSON-failidena ahelaväliselt. Kuid paljud GameFi projektid salvestavad oma NFT-metaandmeid oma tsentraliseeritud serveritesse, selle asemel, et kasutada detsentraliseeritud infrastruktuuri nagu IPFS. See suurendab tõenäosust, et seotud osapooled või ründajad manipuleerivad metaandmeid, mis võib rikkuda mängijate õigusi.
Ahelaüleste sildade kontekstis võivad ründajad hankida läbitungimise või andmepüügirünnakute kaudu valideerijate allkirju või privaatseid võtmeid. Nad võivad kahjustada infrastruktuuri ja kasutada mängusiseseid varasid.
Andmeedastuse ajal võivad ründajad võrgupaketi kaaperdada ja sinna sisestada pahatahtlikku koodi. Andmepaketti muutes võivad ründajad rakendada valesid täiendusi ja kasutada ühiku ostusummat, et saada rohkem mänguelemente.
Front-end liidesed annavad ründajatele veel ühe võimaluse pahatahtlikult süsteemi imbuda. Kui ühe mängu edetabelis toimub infoleke, võivad ründajad saata lekkinud aadressiga seotud teavet serverile, et saada vastavat tundlikku teavet.
Kuidas parandada turvalisust
GameFi projektide kaitsmiseks on oluline olla igas etapis ettevaatlik. Laitmatute nutilepingu koodide tagamine on eduka GameFi projekti alus – see hõlmab kvaliteetse koodi kirjutamist, regulaarsete auditite läbiviimist ja ametlikku nutilepingu kontrolli.
Serverite ja muude infrastruktuurikomponentide turvalisuse säilitamine on samuti kriitilise tähtsusega; võimalike haavatavuste avastamiseks tuleks läbi viia sissetungitestimine. DAppide- ja plokiahelapõhiste süsteemide puhul toob sissetungitestimine kaasa Web3 omadused. Seetõttu on digitaalsete rahakottide ja detsentraliseeritud protokollide puhul vaja erilisi ettevaatusabinõusid.
GameFi projektides tuleks järgida ka muid häid tavasid, sealhulgas turvalist käivitamisprotsessi ja täielikku reageerimist hädaolukordadele. Esimene hõlmab käivitatud turbesündmuste jälgimist, keskkonna turvalisuse tugevdamist ja veaprogrammide väljaandmist.
Samal ajal peavad projektid töötama välja täieliku hädaolukordadele reageerimisprotsessi, mis hõlmab selliseid aspekte nagu kaotuste kõrvaldamine, rünnakute jälgimine ja probleemide analüüs.
Lõppmärkused
GameFi turvaaugud lähevad kaugemale käesolevas artiklis mainituist ja paljud juhtumid on näidanud, et projektides on ignoreeritud või alahinnatud turvariske. GameFi on oluline osa mängude tulevikust. Seega peaksid projektid alati pöörama tähelepanu julgeolekuküsimustele ja seadma kogukondade huvid esikohale.
Lisalugemist
Lahtiütlus ja riskihoiatus: seda sisu esitatakse sellisel kujul, nagu see on, ainult üldiseks teabeks ning hariduslikel eesmärkidel, ilma igasuguse esinduse või garantiita. Seda ei tohiks tõlgendada kui finants-, juriidilist või muud professionaalset nõustamist ega kui soovitust konkreetse toote või teenuse ostmiseks. Peaksid küsima nõu asjakohastelt professionaalsetelt nõustajatelt. Kui artiklit on koostanud kolmandast osapoolest kaastööline, pane tähele, et väljendatud seisukohad kuuluvad kolmandast osapoolest kaastöölisele ja ei pruugi kajastada Binance'i Akadeemia omasid. Lisateabe saamiseks lugege meie täielikku lahtiütlust siit. Digitaalsete varade hinnad võivad olla kõikuvad. Sinu investeeringu väärtus võib langeda või tõusta ning sa ei pruugi investeeritud summat tagasi saada. Sina vastutad ainuisikuliselt oma investeerimisotsuste eest ja Binance'i Akadeemia ei vastuta võimalike kahjude eest. Seda materjali ei tohiks tõlgendada finants-, juriidilise või muu professionaalse nõustamisena. Lisateabe saamiseks loe meie kasutustingimusi ja riskihoiatust.