Quels sont les problÚmes de sécurité les plus courants dans la GameFi ?
Accueil
Articles
Quels sont les problÚmes de sécurité les plus courants dans la GameFi ?

Quels sont les problÚmes de sécurité les plus courants dans la GameFi ?

Avancé
Publié le Mar 31, 2023Mis à jour le Dec 11, 2023
7m

Cet article est une soumission de la communautĂ©. L’auteur est Zhangchi Qin, auditeur de smart contracts Ă  la sociĂ©tĂ© de sĂ©curitĂ© blockchain holistique Salus Security. 

Les opinions exprimées dans cet article sont celles du contributeur/auteur et ne reflÚtent pas nécessairement celles de Binance Academy.

Résumé :

  • Les projets GameFi sont confrontĂ©s Ă  divers problĂšmes de sĂ©curitĂ© qui peuvent ĂȘtre classĂ©s en deux catĂ©gories : les problĂšmes qui ont lieur sur la blockchain et hors de la blockchain.

  • Les dĂ©fis en matiĂšre de sĂ©curitĂ© sur la blockchain concernent principalement la gestion des tokens ERC-20 et des NFT, la sĂ©curitĂ© des passerelles entre les blockchains et la gouvernance des organisations autonomes dĂ©centralisĂ©es (DAO). 

  • Les problĂšmes hors blockchain, quant Ă  eux, sont gĂ©nĂ©ralement liĂ©s aux interfaces web et aux serveurs. 

  • Les projets GameFi doivent donner la prioritĂ© aux mesures de sĂ©curitĂ©, telles que les audits rigoureux, les analyses de vulnĂ©rabilitĂ© et les tests de pĂ©nĂ©tration, et mettre en Ɠuvre les meilleures pratiques opĂ©rationnelles et les contrĂŽles au niveau commercial.

Introduction 

La GameFi associe la technologie blockchain au jeu pour crĂ©er des plateformes dĂ©centralisĂ©es avec des actifs de jeu et des monnaies numĂ©riques. Il propose gĂ©nĂ©ralement un modĂšle play-to-earn (P2E) qui permet aux joueurs de gagner des rĂ©compenses en cryptomonnaie. La GameFi permet Ă©galement aux joueurs d’ĂȘtre vĂ©ritablement propriĂ©taires et de contrĂŽler entiĂšrement leurs actifs dans le jeu.

Alors que la technologie GameFi gagne en popularitĂ©, elle est confrontĂ©e Ă  des menaces permanentes et importantes de piratage tout au long de son cycle de vie. Certains projets peuvent privilĂ©gier la rapiditĂ© au dĂ©triment de la qualitĂ© et, par consĂ©quent, ne pas s’appuyer sur des mesures de sĂ©curitĂ© solides, ce qui expose la communautĂ© et les crĂ©ateurs Ă  des pertes importantes.

Pourquoi la sécurité de la GameFi est-elle importante ? 

La GameFi a connu une croissance considĂ©rable en 2021 grĂące Ă  son modĂšle P2E qui offre aux joueurs des possibilitĂ©s financiĂšres inĂ©dites dans le jeu. En 2022, des projets« move-to-earn » ont mis en Ă©vidence le potentiel de croissance de la GameFi. La GameFi a Ă©tĂ© le premier secteur crypto en 2022, reprĂ©sentant environ 9,5 % du financement total de l’industrie et une croissance annuelle de plus de 118 %.

La GameFi est diffĂ©rente des jeux traditionnels car l’enjeu est plus important pour les utilisateurs et tout piratage peut entraĂźner des pertes importantes pour eux. Dans des scĂ©narios extrĂȘmes, des failles de sĂ©curitĂ© peuvent mettre fin Ă  un projet. 

Par exemple, des attaquants ont exploitĂ© une porte dĂ©robĂ©e dans un nƓud RPC (Remote Procedure Call) pour obtenir une signature sur le projet GameFi Axie Infinity en 2022, ce qui leur a permis d’effectuer des retraits non autorisĂ©s pour un montant total de prĂšs de 600 millions de dollars en ETH. Toute faille dans les projets GameFi pourrait entraĂźner des pertes massives pour les investisseurs et les joueurs, ce qui souligne l’importance cruciale de la sĂ©curitĂ© dans la GameFi.

Défis liés à la sécurité sur la blockchain

Vulnérabilités des tokens ERC-20 

Les tokens ERC-20 sont frĂ©quemment utilisĂ©s dans les projets GameFi comme monnaie virtuelle pour les achats dans le jeu, les mĂ©canismes de rĂ©compense pour les joueurs et les moyens d’échange. 

L’émission et la gestion incorrectes des tokens ERC-20 peuvent entraĂźner des risques pour la sĂ©curitĂ©. Une vulnĂ©rabilitĂ© courante, appelĂ©e rĂ©entrance, peut survenir au cours du processus d’émission de la monnaie. Les attaques peuvent exploiter la faille logique d’un contrat pour exĂ©cuter de maniĂšre rĂ©pĂ©tĂ©e une fonction spĂ©cifique, ce qui permet d’émettre des tokens Ă  l’infini.

En tant que monnaie universelle de jeu, la stabilitĂ© et la quantitĂ© des tokens ERC-20 dĂ©terminent la jouabilitĂ© et la durabilitĂ© d’un jeu. Par consĂ©quent, les projets doivent garantir la logique des codes et contrĂŽler strictement l’offre totale de tokens ERC-20. 

Le projet GameFi P2E DeFi Kingdoms a été attaqué par une émission malveillante de tokens ERC-20 en 2022. Certains joueurs ont profité de cette faille logique pour émettre les tokens natifs verrouillés du jeu, ce qui a fait chuter le prix des tokens.

Vulnérabilités des NFT 

Les NFT sont principalement utilisĂ©s comme actifs virtuels dans les projets GameFi, par exemple pour l’équipement, les accessoires et les souvenirs. Ils offrent aux joueurs une propriĂ©tĂ© claire et peuvent maintenir une valeur stable grĂące au contrĂŽle de l’inflation et Ă  la raretĂ©. Cependant, une mauvaise utilisation des NFT peut entraĂźner des failles de sĂ©curitĂ©.

La valeur des NFT se reflĂšte dans la raretĂ© des Ă©quipements ou des accessoires, les joueurs recherchant gĂ©nĂ©ralement les NFT les plus rares. Au cours du processus d’émission des NFT, les informations liĂ©es aux blocs, telles que les horodatages, peuvent ĂȘtre utilisĂ©es comme une source alĂ©atoire faible pour gĂ©nĂ©rer des NFT avec diffĂ©rents niveaux de raretĂ©. 

MĂȘme une source d’alĂ©a fiable, telle que Chainlink VRF (Verifiable Random Function), n’élimine pas tous les risques. Les utilisateurs malveillants peuvent rĂ©voquer des opĂ©rations tout en Ă©mettant des ID de tokens NFT indĂ©sirables et rĂ©pĂ©ter le processus jusqu’à ce qu’un NFT rare soit Ă©mis.

Lorsque les joueurs tradent et transfĂšrent des NFT, des vulnĂ©rabilitĂ©s potentielles du smart contract peuvent survenir. Par exemple, la fonction safeTransferFrom() est utilisĂ©e pour transfĂ©rer des NFT ERC-721. Lorsque le destinataire est une adresse de contrat, la fonction onERC721Received() est dĂ©clenchĂ©e pour un rappel. Il y a ensuite le risque potentiel d’attaques par rĂ©entrance, par lesquelles les attaquants peuvent dicter la logique au sein de la fonction ERC721Received(). 

Ce risque existe également pour les NFT ERC-1155, la fonction safeTransferFrom() déclenchant la fonction onERC1155Received() et permettant aux attaquants de mener une attaque par réentrance.

Vulnérabilités des passerelles

Les passerelles inter-blockchains sont utilisĂ©s dans la GameFi pour permettre aux utilisateurs d’échanger des biens dans le jeu sur diffĂ©rents rĂ©seaux. Elles sont Ă©galement essentielles pour amĂ©liorer les expĂ©riences et la liquiditĂ© de la GameFi.

L’un des principaux risques des passerelles inter-blockchains dans la GameFi provient des incohĂ©rences entre les actifs du jeu. Les contrats de part et d’autre de la passerelle doivent garantir que la mĂȘme quantitĂ© d’actifs sera acceptĂ©e et burn. Toutefois, en raison de lacunes dans les contrats de vĂ©rification et de comptabilisation, les attaquants peuvent les compromettre pour crĂ©er un grand nombre d’actifs Ă  partir de rien.

Les vulnérabilités de la gouvernance des DAO 

De nombreux projets GameFi sont rĂ©gis par une DAO, ce qui peut introduire un risque de centralisation si la majoritĂ© des tokens de gouvernance est dĂ©tenue par quelques grands acteurs. Les smart contracts qui dĂ©finissent les rĂšgles de gouvernance de la DAO ouvrent la voie Ă  d’autres compromissions potentielles, car les attaquants peuvent trouver des moyens d’accĂ©der Ă  la trĂ©sorerie de la DAO.

Défis liés à la sécurité hors de la blockchain

La plupart des projets GameFi dépendent encore de serveurs centralisés hors blockchain pour les opérations de base, les interfaces web ou les applications mobiles. Ces serveurs abritent des informations critiques, notamment des données de jeu et des comptes de propriétaires, et ils sont vulnérables aux attaques telles que la pénétration et les chevaux de Troie. 

En ce qui concerne les NFT, les mĂ©tadonnĂ©es contiennent des informations descriptives importantes et sont stockĂ©es hors blockchain sous forme de fichiers JSON. Cependant, de nombreux projets GameFi stockent leurs mĂ©tadonnĂ©es NFT sur leurs propres serveurs centralisĂ©s au lieu d’utiliser une infrastructure dĂ©centralisĂ©e comme IPFS. Cela augmente la probabilitĂ© d’altĂ©ration des mĂ©tadonnĂ©es par des parties liĂ©es ou des attaquants, ce qui pourrait porter atteinte aux droits des joueurs.

Dans le contexte des passerelles inter-blockchains, les attaquants peuvent obtenir les signatures ou les clĂ©s privĂ©es des validateurs par pĂ©nĂ©tration ou par phishing. Ils peuvent compromettre l’infrastructure et exĂ©cuter un exploit pour contrĂŽler les actifs du jeu.

Pendant la transmission des donnĂ©es, les attaquants peuvent dĂ©tourner et injecter des codes malveillants dans les paquets du rĂ©seau. En modifiant le paquet de donnĂ©es, les attaquants peuvent mettre en place de fausses recharges et utiliser le montant de l’achat unitaire pour obtenir plus d’articles de jeu. 

Les interfaces frontales offrent aux attaquants un autre moyen d’infiltrer le systĂšme de maniĂšre malveillante. Si une fuite d’informations se produit dans le classement d’un jeu, les attaquants peuvent envoyer les informations relatives Ă  l’adresse qui ont fuitĂ© au serveur afin d’obtenir les informations sensibles correspondantes.

Moyens d’amĂ©liorer la sĂ©curitĂ©

Pour protĂ©ger les projets GameFi, il est essentiel de faire preuve de prudence Ă  chaque Ă©tape. Garantir que le code des smart contracts est sans faille est la base d’un projet GameFi couronnĂ© de succĂšs. Cela implique d’écrire un code de haute qualitĂ©, de mener des audits rĂ©guliers et d’utiliser une vĂ©rification formelle des smart contracts. 

Il est Ă©galement essentiel de maintenir la sĂ©curitĂ© des serveurs et des autres composants de l’infrastructure ; des tests de pĂ©nĂ©tration doivent ĂȘtre effectuĂ©s pour dĂ©tecter les Ă©ventuelles vulnĂ©rabilitĂ©s. Avec les systĂšmes basĂ©s sur les DApps et les blockchains, les tests de pĂ©nĂ©tration s’accompagnent de fonctionnalitĂ©s Web3. C’est pourquoi des prĂ©cautions spĂ©cifiques sont nĂ©cessaires pour les portefeuilles numĂ©riques et les protocoles dĂ©centralisĂ©s.

Les projets GameFi doivent Ă©galement respecter d’autres bonnes pratiques, notamment un processus d’exĂ©cution sĂ©curisĂ© et une rĂ©ponse complĂšte en cas d’urgence. La premiĂšre consiste Ă  surveiller les Ă©vĂ©nements de sĂ©curitĂ© dĂ©clenchĂ©s, Ă  renforcer la sĂ©curitĂ© de l’environnement et Ă  mettre en place des programmes de bug bounty.

Dans le mĂȘme temps, les projets doivent mettre au point un processus complet d’intervention en cas d’urgence, incluant des aspects tels que la mise en place de stop-loss, le suivi des attaques et l’analyse des problĂšmes.

Conclusion

Les failles de sĂ©curitĂ© de la GameFi vont au-delĂ  de celles mentionnĂ©es dans cet article et de nombreux incidents ont montrĂ© que des projets ont ignorĂ© ou minimisĂ© les risques de sĂ©curitĂ©. La GameFi est un Ă©lĂ©ment important de l’avenir du jeu vidĂ©o. À ce titre, les projets doivent toujours prĂȘter attention aux questions de sĂ©curitĂ© et faire passer les intĂ©rĂȘts de leurs communautĂ©s en premier.

Plus d’informations


Avis de non-responsabilitĂ© et avertissement concernant les risques : ce contenu vous est prĂ©sentĂ© « tel quel » Ă  des fins d’information gĂ©nĂ©rale et Ă©ducative uniquement, sans reprĂ©sentation ni garantie d’aucune sorte. Il ne doit pas ĂȘtre interprĂ©tĂ© comme un conseil financier, lĂ©gal ou venant d’un professionnel, ni comme un moyen de recommander l’achat d’un produit ou d’un service spĂ©cifique. Vous devriez vous renseigner auprĂšs des professionnels appropriĂ©s avant toute dĂ©cision. Lorsque l’article Ă  Ă©tĂ© rĂ©digĂ© par un contributeur tiers, veuillez remarquer que les opinions de l’article ne reflĂštent pas nĂ©cessairement celles de Binance Academy. Veuillez lire l’intĂ©gralitĂ© de notre avis de non-responsabilitĂ© ici pour en savoir plus. Les prix des actifs numĂ©riques peuvent ĂȘtre volatils. La valeur de votre investissement peut varier Ă  la baisse ou Ă  la hausse, et vous ne rĂ©cupĂ©rerez peut-ĂȘtre pas le montant que vous avez investi. Vous ĂȘtes seul(e) responsable de vos dĂ©cisions d’investissement et Binance Academy n’est pas responsable des pertes que vous pourriez subir. Ce contenu ne doit pas ĂȘtre interprĂ©tĂ© comme un conseil financier, lĂ©gal, ou venant d’un professionnel. Pour en savoir plus, veuillez vous reporter Ă  nos Conditions d’utilisation et Ă  l’avertissement concernant les risques.