Cet article est une soumission de la communauté. L’auteur est Zhangchi Qin, auditeur de smart contracts à la société de sécurité blockchain holistique Salus Security.
Les opinions exprimées dans cet article sont celles du contributeur/auteur et ne reflètent pas nécessairement celles de Binance Academy.
Résumé :
Les projets GameFi sont confrontés à divers problèmes de sécurité qui peuvent être classés en deux catégories : les problèmes qui ont lieur sur la blockchain et hors de la blockchain.
Les défis en matière de sécurité sur la blockchain concernent principalement la gestion des tokens ERC-20 et des NFT, la sécurité des passerelles entre les blockchains et la gouvernance des organisations autonomes décentralisées (DAO).
Les problèmes hors blockchain, quant à eux, sont généralement liés aux interfaces web et aux serveurs.
Les projets GameFi doivent donner la priorité aux mesures de sécurité, telles que les audits rigoureux, les analyses de vulnérabilité et les tests de pénétration, et mettre en œuvre les meilleures pratiques opérationnelles et les contrôles au niveau commercial.
Introduction
La GameFi associe la technologie blockchain au jeu pour créer des plateformes décentralisées avec des actifs de jeu et des monnaies numériques. Il propose généralement un modèle play-to-earn (P2E) qui permet aux joueurs de gagner des récompenses en cryptomonnaie. La GameFi permet également aux joueurs d’être véritablement propriétaires et de contrôler entièrement leurs actifs dans le jeu.
Alors que la technologie GameFi gagne en popularité, elle est confrontée à des menaces permanentes et importantes de piratage tout au long de son cycle de vie. Certains projets peuvent privilégier la rapidité au détriment de la qualité et, par conséquent, ne pas s’appuyer sur des mesures de sécurité solides, ce qui expose la communauté et les créateurs à des pertes importantes.
Pourquoi la sécurité de la GameFi est-elle importante ?
La GameFi a connu une croissance considérable en 2021 grâce à son modèle P2E qui offre aux joueurs des possibilités financières inédites dans le jeu. En 2022, des projets« move-to-earn » ont mis en évidence le potentiel de croissance de la GameFi. La GameFi a été le premier secteur crypto en 2022, représentant environ 9,5 % du financement total de l’industrie et une croissance annuelle de plus de 118 %.
La GameFi est différente des jeux traditionnels car l’enjeu est plus important pour les utilisateurs et tout piratage peut entraîner des pertes importantes pour eux. Dans des scénarios extrêmes, des failles de sécurité peuvent mettre fin à un projet.
Par exemple, des attaquants ont exploité une porte dérobée dans un nœud RPC (Remote Procedure Call) pour obtenir une signature sur le projet GameFi Axie Infinity en 2022, ce qui leur a permis d’effectuer des retraits non autorisés pour un montant total de près de 600 millions de dollars en ETH. Toute faille dans les projets GameFi pourrait entraîner des pertes massives pour les investisseurs et les joueurs, ce qui souligne l’importance cruciale de la sécurité dans la GameFi.
Défis liés à la sécurité sur la blockchain
Vulnérabilités des tokens ERC-20
Les tokens ERC-20 sont fréquemment utilisés dans les projets GameFi comme monnaie virtuelle pour les achats dans le jeu, les mécanismes de récompense pour les joueurs et les moyens d’échange.
L’émission et la gestion incorrectes des tokens ERC-20 peuvent entraîner des risques pour la sécurité. Une vulnérabilité courante, appelée réentrance, peut survenir au cours du processus d’émission de la monnaie. Les attaques peuvent exploiter la faille logique d’un contrat pour exécuter de manière répétée une fonction spécifique, ce qui permet d’émettre des tokens à l’infini.
En tant que monnaie universelle de jeu, la stabilité et la quantité des tokens ERC-20 déterminent la jouabilité et la durabilité d’un jeu. Par conséquent, les projets doivent garantir la logique des codes et contrôler strictement l’offre totale de tokens ERC-20.
Le projet GameFi P2E DeFi Kingdoms a été attaqué par une émission malveillante de tokens ERC-20 en 2022. Certains joueurs ont profité de cette faille logique pour émettre les tokens natifs verrouillés du jeu, ce qui a fait chuter le prix des tokens.
Vulnérabilités des NFT
Les NFT sont principalement utilisés comme actifs virtuels dans les projets GameFi, par exemple pour l’équipement, les accessoires et les souvenirs. Ils offrent aux joueurs une propriété claire et peuvent maintenir une valeur stable grâce au contrôle de l’inflation et à la rareté. Cependant, une mauvaise utilisation des NFT peut entraîner des failles de sécurité.
La valeur des NFT se reflète dans la rareté des équipements ou des accessoires, les joueurs recherchant généralement les NFT les plus rares. Au cours du processus d’émission des NFT, les informations liées aux blocs, telles que les horodatages, peuvent être utilisées comme une source aléatoire faible pour générer des NFT avec différents niveaux de rareté.
Même une source d’aléa fiable, telle que Chainlink VRF (Verifiable Random Function), n’élimine pas tous les risques. Les utilisateurs malveillants peuvent révoquer des opérations tout en émettant des ID de tokens NFT indésirables et répéter le processus jusqu’à ce qu’un NFT rare soit émis.
Lorsque les joueurs tradent et transfèrent des NFT, des vulnérabilités potentielles du smart contract peuvent survenir. Par exemple, la fonction safeTransferFrom() est utilisée pour transférer des NFT ERC-721. Lorsque le destinataire est une adresse de contrat, la fonction onERC721Received() est déclenchée pour un rappel. Il y a ensuite le risque potentiel d’attaques par réentrance, par lesquelles les attaquants peuvent dicter la logique au sein de la fonction ERC721Received().
Ce risque existe également pour les NFT ERC-1155, la fonction safeTransferFrom() déclenchant la fonction onERC1155Received() et permettant aux attaquants de mener une attaque par réentrance.
Vulnérabilités des passerelles
Les passerelles inter-blockchains sont utilisés dans la GameFi pour permettre aux utilisateurs d’échanger des biens dans le jeu sur différents réseaux. Elles sont également essentielles pour améliorer les expériences et la liquidité de la GameFi.
L’un des principaux risques des passerelles inter-blockchains dans la GameFi provient des incohérences entre les actifs du jeu. Les contrats de part et d’autre de la passerelle doivent garantir que la même quantité d’actifs sera acceptée et burn. Toutefois, en raison de lacunes dans les contrats de vérification et de comptabilisation, les attaquants peuvent les compromettre pour créer un grand nombre d’actifs à partir de rien.
Les vulnérabilités de la gouvernance des DAO
De nombreux projets GameFi sont régis par une DAO, ce qui peut introduire un risque de centralisation si la majorité des tokens de gouvernance est détenue par quelques grands acteurs. Les smart contracts qui définissent les règles de gouvernance de la DAO ouvrent la voie à d’autres compromissions potentielles, car les attaquants peuvent trouver des moyens d’accéder à la trésorerie de la DAO.
Défis liés à la sécurité hors de la blockchain
La plupart des projets GameFi dépendent encore de serveurs centralisés hors blockchain pour les opérations de base, les interfaces web ou les applications mobiles. Ces serveurs abritent des informations critiques, notamment des données de jeu et des comptes de propriétaires, et ils sont vulnérables aux attaques telles que la pénétration et les chevaux de Troie.
En ce qui concerne les NFT, les métadonnées contiennent des informations descriptives importantes et sont stockées hors blockchain sous forme de fichiers JSON. Cependant, de nombreux projets GameFi stockent leurs métadonnées NFT sur leurs propres serveurs centralisés au lieu d’utiliser une infrastructure décentralisée comme IPFS. Cela augmente la probabilité d’altération des métadonnées par des parties liées ou des attaquants, ce qui pourrait porter atteinte aux droits des joueurs.
Dans le contexte des passerelles inter-blockchains, les attaquants peuvent obtenir les signatures ou les clés privées des validateurs par pénétration ou par phishing. Ils peuvent compromettre l’infrastructure et exécuter un exploit pour contrôler les actifs du jeu.
Pendant la transmission des données, les attaquants peuvent détourner et injecter des codes malveillants dans les paquets du réseau. En modifiant le paquet de données, les attaquants peuvent mettre en place de fausses recharges et utiliser le montant de l’achat unitaire pour obtenir plus d’articles de jeu.
Les interfaces frontales offrent aux attaquants un autre moyen d’infiltrer le système de manière malveillante. Si une fuite d’informations se produit dans le classement d’un jeu, les attaquants peuvent envoyer les informations relatives à l’adresse qui ont fuité au serveur afin d’obtenir les informations sensibles correspondantes.
Moyens d’améliorer la sécurité
Pour protéger les projets GameFi, il est essentiel de faire preuve de prudence à chaque étape. Garantir que le code des smart contracts est sans faille est la base d’un projet GameFi couronné de succès. Cela implique d’écrire un code de haute qualité, de mener des audits réguliers et d’utiliser une vérification formelle des smart contracts.
Il est également essentiel de maintenir la sécurité des serveurs et des autres composants de l’infrastructure ; des tests de pénétration doivent être effectués pour détecter les éventuelles vulnérabilités. Avec les systèmes basés sur les DApps et les blockchains, les tests de pénétration s’accompagnent de fonctionnalités Web3. C’est pourquoi des précautions spécifiques sont nécessaires pour les portefeuilles numériques et les protocoles décentralisés.
Les projets GameFi doivent également respecter d’autres bonnes pratiques, notamment un processus d’exécution sécurisé et une réponse complète en cas d’urgence. La première consiste à surveiller les événements de sécurité déclenchés, à renforcer la sécurité de l’environnement et à mettre en place des programmes de bug bounty.
Dans le même temps, les projets doivent mettre au point un processus complet d’intervention en cas d’urgence, incluant des aspects tels que la mise en place de stop-loss, le suivi des attaques et l’analyse des problèmes.
Conclusion
Les failles de sécurité de la GameFi vont au-delà de celles mentionnées dans cet article et de nombreux incidents ont montré que des projets ont ignoré ou minimisé les risques de sécurité. La GameFi est un élément important de l’avenir du jeu vidéo. À ce titre, les projets doivent toujours prêter attention aux questions de sécurité et faire passer les intérêts de leurs communautés en premier.
Plus d’informations
Avis de non-responsabilité et avertissement concernant les risques : ce contenu vous est présenté « tel quel » à des fins d’information générale et éducative uniquement, sans représentation ni garantie d’aucune sorte. Il ne doit pas être interprété comme un conseil financier, légal ou venant d’un professionnel, ni comme un moyen de recommander l’achat d’un produit ou d’un service spécifique. Vous devriez vous renseigner auprès des professionnels appropriés avant toute décision. Lorsque l’article à été rédigé par un contributeur tiers, veuillez remarquer que les opinions de l’article ne reflètent pas nécessairement celles de Binance Academy. Veuillez lire l’intégralité de notre avis de non-responsabilité ici pour en savoir plus. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut varier à la baisse ou à la hausse, et vous ne récupérerez peut-être pas le montant que vous avez investi. Vous êtes seul(e) responsable de vos décisions d’investissement et Binance Academy n’est pas responsable des pertes que vous pourriez subir. Ce contenu ne doit pas être interprété comme un conseil financier, légal, ou venant d’un professionnel. Pour en savoir plus, veuillez vous reporter à nos Conditions d’utilisation et à l’avertissement concernant les risques.