Milyen gyakori biztonsági problémákkal találkozhatunk a GameFi-ben?
KezdŇĎlap
Cikkek
Milyen gyakori biztonsági problémákkal találkozhatunk a GameFi-ben?

Milyen gyakori biztonsági problémákkal találkozhatunk a GameFi-ben?

Haladó
Közzétéve Mar 31, 2023Frissítve Dec 11, 2023
7m

Ez a cikk egy k√∂z√∂ss√©gi beadv√°ny. A szerzŇĎ Zhangchi Qin, a Salus Security holisztikus blokkl√°ncbiztons√°gi v√°llalat okosszerzŇĎd√©s-auditora.¬†

A jelen cikkben kifejtett n√©zetek a bek√ľldŇĎ/szerzŇĎ n√©zetei, √©s nem felt√©tlen√ľl t√ľkr√∂zik a Binance Academy √°ll√°spontj√°t.

TLDR:

  • A GameFi-projektek k√ľl√∂nb√∂zŇĎ biztons√°gi kih√≠v√°sokkal szembes√ľlnek, amelyek on-chain √©s off-chain probl√©m√°k k√∂z√© sorolhat√≥k.¬†

  • Az on-chain biztons√°gi kih√≠v√°sok elsŇĎsorban az ERC-20 tokenek √©s az NFT-k kezel√©s√©t, a keresztl√°nc hidak biztons√°g√°t √©s a decentraliz√°lt auton√≥m szervezetek (DAO) ir√°ny√≠t√°s√°t √©rintik.¬†

  • Az off-chain kih√≠v√°sok viszont jellemzŇĎen a webes fel√ľletekkel √©s szerverekkel kapcsolatosak.¬†

  • A GameFi-projekteknek priorit√°sk√©nt kell kezelni√ľk a biztons√°gi int√©zked√©seket, p√©ld√°ul a szigor√ļ auditokat, a sebezhetŇĎs√©gi vizsg√°latokat √©s a behatol√°si pr√≥b√°kat, valamint a bev√°lt mŇĪk√∂d√©si gyakorlatokat √©s az √ľzleti ellenŇĎrz√©seket.

Bevezetés 

A GameFi a blokkl√°nc-technol√≥gi√°t a j√°t√©kokkal kombin√°lva decentraliz√°lt platformokat hoz l√©tre j√°t√©kon bel√ľli eszk√∂z√∂kkel √©s digit√°lis valut√°kkal. JellemzŇĎen egy play-to-earn (P2E) modellt alkalmaz, amely lehetŇĎv√© teszi a j√°t√©kosok sz√°m√°ra, hogy kriptojutalmakat szerezzenek. A GameFi a j√°t√©kosoknak val√≥di tulajdonjogot √©s teljes ellenŇĎrz√©st biztos√≠t a j√°t√©kon bel√ľli eszk√∂zeik felett.

B√°r a GameFi egyre n√©pszerŇĪbb, mŇĪk√∂d√©se sor√°n folyamatos √©s jelentŇĎs fenyeget√©sekkel kell szemben√©znie a hackerek miatt. Egyes projektekn√©l a gyorsas√°g fontosabb lehet a minŇĎs√©gn√©l, ez√©rt hi√°nyoznak a szil√°rd biztons√°gi √≥vint√©zked√©sek, ami jelentŇĎs vesztes√©gek kock√°zat√°nak teszi ki mind a k√∂z√∂ss√©get, mind az alkot√≥kat.

Miért fontos a GameFi biztonsága? 

A GameFi 2021-ben jelentŇĎs n√∂veked√©st tapasztalt, mivel P2E modellje √ļjszerŇĪ p√©nz√ľgyi lehetŇĎs√©geket k√≠n√°l a felhaszn√°l√≥knak a j√°t√©kon bel√ľl. 2022-ben a move-to-earn projektek tov√°bb emelt√©k a GameFi n√∂veked√©si potenci√°lj√°t. 2022-ben a GameFi volt a kriptoipar elsŇĎ sz√°m√ļ √°gazata, amely az ipar√°g teljes finansz√≠roz√°s√°nak mintegy 9,5%-√°t tette ki, √©s √©ves szinten t√∂bb mint 118%-os n√∂veked√©st √©rt el.

A GameFi elt√©r a hagyom√°nyos j√°t√©kokt√≥l, mivel a felhaszn√°l√≥k sz√°m√°ra t√∂bb forog kock√°n, √©s b√°rmilyen hackel√©s jelentŇĎs vesztes√©get okozhat sz√°mukra. Sz√©lsŇĎs√©ges esetekben egy biztons√°gi incidens a projekt v√©g√©t jelentheti.¬†

A t√°mad√≥k p√©ld√°ul egy Remote Procedure Call (RPC) csom√≥pontban l√©vŇĎ biztons√°gi r√©st kihaszn√°lva 2022-ben al√°√≠r√°shoz jutottak a GameFi Axie Infinity projektj√©n, √≠gy a t√°mad√≥k √∂sszesen k√∂zel 600 milli√≥ doll√°rnyi ETH jogosulatlan leh√≠v√°s√°t tudt√°k v√©grehajtani. A GameFi-projektek sebezhetŇĎs√©gei hatalmas vesztes√©geket okozhatnak mind a befektetŇĎk, mind a j√°t√©kosok sz√°m√°ra, ami kiemeli a GameFi biztons√°g√°nak kritikus fontoss√°g√°t.

On-chain biztonsági kihívások 

Az ERC-20 tokenek sebezhetŇĎs√©gei¬†

Az ERC-20 tokeneket gyakran haszn√°lj√°k a GameFi-projektekben virtu√°lis valutak√©nt a j√°t√©kon bel√ľli v√°s√°rl√°sokhoz, a j√°t√©kosok jutalmaz√°si mechanizmusak√©nt √©s csereeszk√∂zk√©nt.¬†

Az ERC-20 tokenek nem megfelelŇĎ mintel√©se √©s kezel√©se biztons√°gi kock√°zatot jelenthet. Az egyik gyakori sebezhetŇĎs√©g, az √ļgynevezett √ļjrabel√©p√©s (reentrancy), a mintel√©si folyamat sor√°n mer√ľlhet fel. A t√°mad√≥k kihaszn√°lhatj√°k a szerzŇĎd√©sben l√©vŇĎ logikai kiskaput egy adott funkci√≥ ism√©telt v√©grehajt√°s√°ra, ami a tokenek v√©gtelen sz√°m√ļ l√©trehoz√°s√°t eredm√©nyezi.

Univerz√°lis j√°t√©kon bel√ľli fizetŇĎeszk√∂zk√©nt az ERC-20 tokenek stabilit√°sa √©s mennyis√©ge hat√°rozza meg egy j√°t√©k j√°tszhat√≥s√°g√°t √©s fenntarthat√≥s√°g√°t. Ez√©rt a projekteknek biztos√≠taniuk kell a k√≥dol√°s logik√°j√°t, √©s szigor√ļan ellenŇĎrizni√ľk kell az ERC-20 tokenek teljes k√≠n√°lat√°t.¬†

A P2E GameFi DeFi Kingdoms projektet 2022-ben rosszindulat√ļ ERC-20 mintel√©s √©rte. N√©h√°ny j√°t√©kos a logikai sebezhetŇĎs√©get kihaszn√°lva mintelte a j√°t√©k z√°rolt nat√≠v tokenjeit, ami ut√°na a token √°rfolyam√°nak zuhan√°s√°t okozta.

Az NFT-k sebezhetŇĎs√©gei¬†

Az NFT-ket elsŇĎsorban j√°t√©kon bel√ľli virtu√°lis eszk√∂z√∂kk√©nt haszn√°lj√°k a GameFi-projektekben, bele√©rtve a felszerel√©seket, kell√©keket √©s aj√°nd√©kt√°rgyakat. Egy√©rtelmŇĪ tulajdonjogot biztos√≠tanak a j√°t√©kosok sz√°m√°ra, √©s az infl√°ci√≥ szab√°lyoz√°sa √©s a ritkas√°g r√©v√©n stabil √©rt√©ket tudnak fenntartani. Az NFT-k nem megfelelŇĎ haszn√°lata azonban biztons√°gi r√©seket okozhat.

Az NFT-k √©rt√©ke a felszerel√©sek vagy kell√©kek ritkas√°g√°ban t√ľkr√∂zŇĎdik, a j√°t√©kosok jellemzŇĎen a legritk√°bb NFT-ket keresik. Az NFT-k mintel√©si folyamata sor√°n a blokkokkal kapcsolatos inform√°ci√≥kat, p√©ld√°ul az idŇĎb√©lyegeket gyenge v√©letlenszerŇĪ forr√°sk√©nt lehet haszn√°lni a k√ľl√∂nb√∂zŇĎ ritkas√°gi szintŇĪ NFT-k gener√°l√°s√°hoz. Egy rosszindulat√ļ b√°ny√°sz bizonyos m√©rt√©kig manipul√°lhatja a blokk idŇĎb√©lyeg√©t annak √©rdek√©ben, hogy ritk√°bb NFT-ket hozzon l√©tre.¬†

M√©g egy megb√≠zhat√≥ v√©letlenszerŇĪs√©g-forr√°s, p√©ld√°ul a Chainlink VRF (Verifiable Random Function) sem sz√ľntet meg minden kock√°zatot. A rosszindulat√ļ felhaszn√°l√≥k visszavonhatj√°k a mŇĪveleteket ha nem k√≠v√°nt NFT-tokenazonos√≠t√≥kat mintelnek, √©s addig ism√©tlik a folyamatot, am√≠g ritka NFT-t nem hoznak l√©tre.

Amikor a j√°t√©kosok NFT-kkel kereskednek √©s √°tutalj√°k ŇĎket, potenci√°lis okosszerzŇĎd√©ses sebezhetŇĎs√©gek l√©phetnek fel. P√©ld√°ul a safeTransferFrom() f√ľggv√©nyt az ERC-721 NFT-k √°tutal√°s√°ra haszn√°lj√°k. Ha a c√≠mzett egy szerzŇĎd√©s c√≠m, akkor az onERC721Received() f√ľggv√©ny egy visszah√≠v√°st ind√≠t. Azt√°n ott van az √ļjrabel√©p√©si t√°mad√°sok potenci√°lis kock√°zata, amelynek sor√°n a t√°mad√≥k megszabhatj√°k az ERC721Received() f√ľggv√©nyen bel√ľli logik√°t.¬†

Ez a kock√°zat az ERC-1155 NFT-k eset√©ben is fenn√°ll, mivel a safeTransferFrom() f√ľggv√©ny kiv√°ltja az onERC1155Received() f√ľggv√©nyt, √©s lehetŇĎv√© teszi a t√°mad√≥k sz√°m√°ra az √ļjrabel√©p√©si t√°mad√°s v√©grehajt√°s√°t.

A hidak sebezhetŇĎs√©gei¬†

A GameFi-ben keresztl√°nc hidakat haszn√°lnak, amelyek lehetŇĎv√© teszik a felhaszn√°l√≥k sz√°m√°ra, hogy j√°t√©kon bel√ľli eszk√∂z√∂ket cser√©ljenek k√ľl√∂nb√∂zŇĎ h√°l√≥zatokon. A GameFi √©lm√©nyeinek √©s likvidit√°s√°nak fokoz√°sa szempontj√°b√≥l is kulcsfontoss√°g√ļak.

A GameFi-ben a keresztl√°nc hidak egyik fŇĎ kock√°zata a j√°t√©kon bel√ľli eszk√∂z√∂k k√∂z√∂tti k√∂vetkezetlens√©gekbŇĎl ad√≥dik. A szerzŇĎd√©seknek a h√≠d mindk√©t oldal√°n garant√°lniuk kell, hogy ugyanannyi eszk√∂zt fogadnak √©s √©getnek el. A hiteles√≠t√©si √©s elsz√°mol√°si szerzŇĎd√©sekben l√©vŇĎ kiskapuk miatt azonban a t√°mad√≥k kompromitt√°lhatj√°k azokat, hogy nagysz√°m√ļ eszk√∂zt hozzanak l√©tre a semmibŇĎl.

A DAO-k ir√°ny√≠t√°si sebezhetŇĎs√©gei¬†

Sz√°mos GameFi-projektet DAO-k ir√°ny√≠tanak, ami a centraliz√°ci√≥ kock√°zat√°t vonhatja maga ut√°n, ha az ir√°ny√≠t√°si tokenek t√∂bbs√©ge n√©h√°ny nagy szereplŇĎ tulajdon√°ba ker√ľl. A DAO ir√°ny√≠t√°si szab√°lyait meghat√°roz√≥ okosszerzŇĎd√©sek egy √ļjabb teret nyitnak meg a potenci√°lis vesz√©lyek elŇĎtt, mivel a t√°mad√≥k megtal√°lhatj√°k a DAO kincst√°r√°hoz val√≥ hozz√°f√©r√©s m√≥dj√°t.

Off-chain biztonsági kihívások 

A legt√∂bb GameFi-projekt m√°ig off-chain centraliz√°lt szerverektŇĎl f√ľgg a back-end mŇĪveletek, webes fel√ľletek vagy mobilalkalmaz√°sok tekintet√©ben. Ezek a szerverek kritikus inform√°ci√≥kat t√°rolnak, bele√©rtve a j√°t√©kadatokat √©s a tulajdonosok fi√≥kjait, √©s sebezhetŇĎek az olyan rosszindulat√ļ t√°mad√°sokkal szemben, mint a behatol√°s √©s a tr√≥jai k√°rtevŇĎk.¬†

Az NFT-k eset√©ben a metaadatok fontos le√≠r√≥ inform√°ci√≥kat tartalmaznak, √©s off-chain, JSON f√°jlk√©nt t√°rol√≥dnak. Sok GameFi-projekt azonban az NFT metaadatait saj√°t centraliz√°lt szerver√©n t√°rolja ahelyett, hogy az IPFS-hez hasonl√≥ decentraliz√°lt infrastrukt√ļr√°t alkalmazna. Ez n√∂veli a metaadatok kapcsolt felek vagy t√°mad√≥k √°ltali manipul√°l√°s√°nak val√≥sz√≠nŇĪs√©g√©t, ami s√©rtheti a j√°t√©kosok jogait.

A keresztl√°nc hidak eset√©ben a t√°mad√≥k behatol√°ssal vagy adathal√°sz-t√°mad√°ssal szerezhetik meg a valid√°torok al√°√≠r√°sait vagy priv√°tkulcsait. Kompromitt√°lhatj√°k az infrastrukt√ļr√°t, √©s exploitot (biztons√°gi r√©seket kihaszn√°l√≥ rosszindulat√ļ k√≥d) hajthatnak v√©gre, hogy √°tvegy√©k az ir√°ny√≠t√°st a j√°t√©kon bel√ľli eszk√∂z√∂k felett.

Az adat√°tvitel sor√°n a t√°mad√≥k elt√©r√≠thetik √©s rosszindulat√ļ k√≥dot juttathatnak a h√°l√≥zati csomagba. Az adatcsomag m√≥dos√≠t√°s√°val a t√°mad√≥k hamis felt√∂lt√©seket hajthatnak v√©gre, √©s az egys√©gnyi v√°s√°rl√°si √∂sszeget t√∂bb j√°t√©kelem megszerz√©s√©re haszn√°lhatj√°k fel.¬†

A front-end fel√ľletek egy √ļjabb lehetŇĎs√©get biztos√≠tanak a t√°mad√≥knak a rendszerbe val√≥ rosszindulat√ļ behatol√°sra. Ha egy j√°t√©k ranglist√°j√°n inform√°ci√≥sziv√°rg√°s t√∂rt√©nik, a t√°mad√≥k elk√ľldhetik a kisziv√°rgott c√≠mhez kapcsol√≥d√≥ inform√°ci√≥kat a kiszolg√°l√≥nak, hogy megszerezz√©k az adott √©rz√©keny inform√°ci√≥kat.

A biztonság javításának módjai

A GameFi-projektek v√©delme √©rdek√©ben elengedhetetlen, hogy minden szakaszban k√∂r√ľltekintŇĎen j√°rjunk el. A hib√°tlan okosszerzŇĎd√©s k√≥dok biztos√≠t√°sa a sikeres GameFi-projekt alapja ‚Äď ez mag√°ban foglalja a kiv√°l√≥ minŇĎs√©gŇĪ k√≥dol√°st, a rendszeres auditok elv√©gz√©s√©t √©s az okosszerzŇĎd√©sek form√°lis ellenŇĎrz√©s√©t.¬†

A szerverek √©s m√°s infrastruktur√°lis elemek biztons√°g√°nak fenntart√°sa szint√©n kritikus fontoss√°g√ļ; a lehets√©ges sebezhetŇĎs√©gek felder√≠t√©se √©rdek√©ben behatol√°si pr√≥b√°kat kell v√©gezni. A DApp- √©s blokkl√°ncalap√ļ rendszerekn√©l a behatol√°si pr√≥b√°k Web3 funkci√≥kat is magukkal hoznak. Ez√©rt a digit√°lis t√°rc√°k √©s a decentraliz√°lt protokollok eset√©ben k√ľl√∂nleges √≥vint√©zked√©sekre van sz√ľks√©g.

A GameFi-projekteknek m√°s bev√°lt gyakorlatokat is be kell tartaniuk, bele√©rtve a biztons√°gos √ľzemidŇĎ folyamat√°t √©s a teljes k√∂rŇĪ hibaelh√°r√≠t√°st. Az elŇĎbbi mag√°ban foglalja a kiv√°ltott biztons√°gi incidensek nyomon k√∂vet√©s√©t, a k√∂rnyezet biztons√°g√°nak erŇĎs√≠t√©s√©t √©s a bug bounty programok elind√≠t√°s√°t.

Ugyanakkor a projekteknek ki kell dolgozniuk egy teljes hibaelh√°r√≠t√°si folyamatot, amely mag√°ban foglalja az olyan szempontokat, mint a vesztes√©gek megsz√ľntet√©se, a t√°mad√°sok nyomon k√∂vet√©se √©s a probl√©m√°k elemz√©se.

Záró gondolatok

A GameFi biztons√°gi sebezhetŇĎs√©gei t√ļlmutatnak a cikkben eml√≠tetteken, √©s sz√°mos incidens mutatja, hogy a projektek figyelmen k√≠v√ľl hagyt√°k vagy al√°becs√ľlt√©k a biztons√°gi kock√°zatokat. A GameFi jelentŇĎs r√©sz√©t k√©pezi a j√°t√©kok j√∂vŇĎj√©nek. Ez√©rt a projekteknek mindig nagy figyelmet kell ford√≠taniuk a biztons√°gra, √©s a k√∂z√∂ss√©gek √©rdekeit kell elŇĎt√©rbe helyezni√ľk.

További olvasnivaló


FelelŇĎss√©gi nyilatkozat √©s kock√°zati figyelmeztet√©s: A jelen bejegyz√©s tartalm√°t annak mindenkori form√°j√°ban bocs√°tjuk rendelkez√©sre √°ltal√°nos t√°j√©koztat√°si √©s oktat√°si c√©llal, √©s semmilyen felelŇĎss√©get vagy szavatoss√°got nem v√°llalunk az alkalmaz√°s√°val kapcsolatban. Az itt le√≠rtak nem tekintendŇĎk p√©nz√ľgyi, jogi vagy egy√©b szakmai tan√°csad√°snak, sem egy konkr√©t term√©k vagy szolg√°ltat√°s megv√°s√°rl√°s√°ra tett javaslatnak. Javasoljuk, hogy megfelelŇĎ szaktan√°csad√≥kt√≥l k√©rjen tan√°csot. Mivel a jelen cikket k√ľlsŇĎ szerzŇĎ √≠rta, felh√≠vjuk figyelm√©t, hogy az itt kifejtett n√©zŇĎpontok a harmadik f√©l szerzŇĎ √°ll√°spontj√°t r√©szletezik, √©s nem felt√©tlen√ľl t√ľkr√∂zik a Binance Academy v√©lem√©ny√©t. K√©rj√ľk, hogy idekattintva olvassa el r√©szletes felelŇĎss√©gi nyilatkozatunkat. A digit√°lis eszk√∂z√∂k √°ra erŇĎsen ingadozhat. A befektet√©s √©rt√©ke cs√∂kkenhet vagy nŇĎhet, √©s az is elŇĎfordulhat, hogy √Ėn nem kapja vissza a befektetett √∂sszeget. A befektet√©si d√∂nt√©sei√©rt egyed√ľl √Ėn felel, √©s a Binance Academy nem v√°llal felelŇĎss√©get az esetlegesen felmer√ľlŇĎ vesztes√©gek√©rt. Az itt le√≠rtak nem minŇĎs√ľlnek p√©nz√ľgyi, hogy vagy egy√©b szakmai tan√°csnak. Tov√°bbi inform√°ci√≥√©rt tekintse meg Felhaszn√°l√°si felt√©teleinket √©s a Kock√°zati figyelmeztet√©st.