Questo articolo è stato inviato dalla community. L'autore è Zhangchi Qin, revisore di smart contract per la società di sicurezza blockchain famosa a livello globale di nome Salus Security.
Le idee di questo articolo sono del collaboratore/autore e non riflettono necessariamente quelle di Binance Academy.
TLDR:
I progetti GameFi devono affrontare diverse sfide relative alla sicurezza che possono essere classificate come problemi on-chain e off-chain.
Le sfide per la sicurezza on-chain riguardano principalmente la gestione dei token ERC-20 e degli NFT, la sicurezza dei bridge cross-chain e la governance delle organizzazioni autonome decentralizzate (DAO).
Le sfide off-chain, invece, sono tipicamente legate alle interfacce web e ai server.
I progetti GameFi devono dare priorità alle misure di sicurezza, tramite audit rigorosi, scansioni delle vulnerabilità e penetration test, oltre a implementare le migliori pratiche operative e i controlli aziendali.
Introduzione
La GameFi combina la tecnologia blockchain con il gaming per creare piattaforme decentralizzate con asset di gioco e valute digitali. In genere presenta un modello play-to-earn (P2E) che consente ai giocatori di guadagnare ricompense in criptovalute. La GameFi offre inoltre ai giocatori la proprietà a tutti gli effetti e il controllo completo dei loro asset di gioco.
Sebbene La GameFi stia guadagnando popolarità, sta affrontando continue e significative minacce da parte degli hacker durante il suo ciclo di vita. Alcuni progetti possono privilegiare la velocità rispetto alla qualità e quindi non adottano delle solide misure di sicurezza, mettendo a rischio di perdite significative sia la comunità che i creator.
Perché la sicurezza nel mondo GameFi è importante?
Nel 2021, la GameFi ha registrato una crescita considerevole grazie al suo modello P2E che offre ai giocatori nuove opportunità finanziarie in-game. Nel 2022, i progetti move-to-earn hanno ulteriormente evidenziato il potenziale di crescita della GameFi. Nel 2022 la GameFi è stato il miglior sottosettore crypto, con circa il 9,5% dei finanziamenti totali del settore e una crescita annuale di oltre il 118%.
La GameFi è diversa dal gioco d'azzardo tradizionale perché la posta in gioco per gli utenti è maggiore e qualsiasi attacco hacker potrebbe portare a perdite significative. In scenari estremi, gli attacchi hacker legati alla sicurezza potrebbero porre fine a un progetto.
Ad esempio, nel 2022 gli aggressori hanno sfruttato una backdoor in un nodo RPC (Remote Procedure Call) per ottenere una firma sul progetto GameFi di nome Axie Infinity, questo ha consentito agli aggressori di effettuare prelievi non autorizzati per un totale di quasi 600 milioni di dollari in ETH. Qualsiasi vulnerabilità nei progetti GameFi potrebbe comportare perdite ingenti sia per gli investitori che per i giocatori, questo evidenzia l'importanza fondamentale della sicurezza nell'ecosistema GameFi.
Sfide di sicurezza on-chain
Vulnerabilità dei token ERC-20
I token ERC-20 sono spesso utilizzati nei progetti GameFi come moneta virtuale per gli acquisti all'interno del gioco, per i meccanismi di ricompensa per i giocatori e sugli exchange.
Il minting (conio) e la gestione impropria dei token ERC-20 possono portare a rischi per la sicurezza. Una vulnerabilità comune, chiamata reentrancy, può insorgere durante il processo di minting. Gli attacchi possono sfruttare un loophole in un contratto per eseguire ripetutamente una funzione specifica, con un conseguente minting infinito di token.
Come moneta universale di gioco, la stabilità e la quantità dei token ERC-20 determinano la giocabilità e la sostenibilità di un gioco. Pertanto, i progetti dovrebbero garantire la logica del codice e controllare rigorosamente l'offerta totale dei token ERC-20.
Nel 2022, il progetto GameFi P2E DeFi Kingdoms è stato attaccato sfruttando questa tecnica di minting ERC-20 dannosa. Alcuni giocatori hanno sfruttato la vulnerabilità della logica di minting dei token nativi bloccati del gioco, facendo crollare il prezzo dei token.
Vulnerabilità degli NFT
Gli NFT sono utilizzati principalmente come asset virtuali di gioco nei progetti GameFi, per equipaggiamenti, prop e souvenir. Garantiscono ai giocatori la proprietà di tali oggetti e possono mantenere un valore stabile tramite il controllo dell'inflazione e della scarsità. Tuttavia, un uso improprio degli NFT può introdurre delle vulnerabilità relative alla sicurezza.
Il valore degli NFT si riflette in base alla rarità degli equipaggiamenti o dei prop, e i giocatori sono tipicamente alla ricerca degli NFT più rari. Durante il processo di coniazione degli NFT, le informazioni relative ai blocchi, come i timestamp, possono essere utilizzati come una base casuale per generare NFT con diversi livelli di rarità. Un miner può, in qualche misura, manipolare il timestamp dei blocchi per coniare degli NFT più rari in modo malevolo.
Anche una fonte affidabile di casualità, come Chainlink VRF (Verifiable Random Function), non elimina tutti i rischi. Gli utenti malintenzionati possono revocare le operazioni durante la coniazione dei token ID degli NFT indesiderati e ripetere il processo finché non viene coniato un NFT raro.
Quando i giocatori scambiano e trasferiscono gli NFT, possono verificarsi potenziali vulnerabilità nello smart contract utilizzato. Ad esempio, la funzione safeTransferFrom() viene utilizzata per trasferire NFT ERC-721. Quando il destinatario è un indirizzo smart contract, viene attivata la funzione onERC721Received() per una callback. C'è poi il potenziale rischio degli attacchi reentrancy, in cui gli aggressori possono dettare la logica all'interno della funzione onERC721Received().
Questo rischio esiste anche per gli NFT ERC-1155, dove la funzione safeTransferFrom() attiva la funzione onERC1155Received() e consente agli aggressori di effettuare un attacco reentrancy.
Vulnerabilità relativa ai Bridge
I bridge cross-chain sono utilizzati nella GameFi per consentire agli utenti di scambiare gli asset di gioco su reti diverse. Inoltre sono fondamentali per migliorare le esperienze e la liquidità della GameFi.
Uno dei rischi principali dei bridge cross-chain nella GameFi è rappresentato dalle incongruenze tra gli asset in-game. I contratti su entrambi i lati del bridge dovrebbero garantire che la stessa quantità di asset venga accettata e bruciata. Tuttavia, a causa di alcune lacune nei contratti di verifica e contabilizzazione, gli aggressori possono comprometterli per creare un gran numero di asset dal nulla.
Vulnerabilità relative alla governance della DAO
Molti progetti GameFi sono governati tramite delle DAO, che possono introdurre il rischio di centralizzazione se la maggior parte dei token di governance sono detenuti da pochi grandi attori. Gli smart contract che definiscono le regole di governance della DAO aprono un'altra possibilità per una potenziale compromissione, in quanto gli aggressori possono trovare il modo per accedere alla treasury della DAO.
Sfide di sicurezza off-chain
La maggior parte dei progetti GameFi sfrutta ancora dei server centralizzati off-chain per le operazioni di back-end, le interfacce web o le applicazioni mobile. Questi server ospitano informazioni critiche, compresi i dati di gioco e gli account dei proprietari, e sono vulnerabili ad attacchi dannosi come la penetrazione e i malware di tipo Trojan.
Quando si tratta di NFT, i metadati contengono importanti informazioni descrittive e vengono memorizzati off-chain come file JSON. Tuttavia, molti progetti GameFi memorizzano i metadati degli NFT sui propri server centralizzati, invece di utilizzare un'infrastruttura decentralizzata come quella del tipo IPFS. Questo aumenta la probabilità di manomissione dei metadati da parte di attori correlati o di aggressori, che potrebbero violare i diritti dei giocatori.
Nel contesto dei bridge cross-chain, gli aggressori possono ottenere le firme o le chiavi private dei validatori attraverso attacchi di penetrazione o phishing. Possono compromettere l'infrastruttura ed eseguire un exploit per controllare gli asset in-game.
Durante la trasmissione dei dati, gli aggressori possono dirottare e contaminare (inject) il pacchetto di rete con del codice dannoso. Modificando il pacchetto dati, gli aggressori possono implementare delle false ricariche e utilizzare l'importo dell'acquisto per ottenere più oggetti di gioco.
Le interfacce front-end offrono agli aggressori un'altra strada per infiltrarsi nel sistema. Se si verifica una perdita di informazioni sulla leaderboard di un gioco, gli aggressori possono inviare le informazioni relative all'indirizzo trapelato al server per ottenere le informazioni sensibili corrispondenti.
Modi per migliorare la sicurezza
Per salvaguardare i progetti GameFi, è fondamentale esercitare la dovuta cautela in ogni fase. Garantire che i codici degli smart contract siano impeccabili è fondamentale per un progetto GameFi di successo: ciò comporta la scrittura di codice di alta qualità, l'esecuzione di controlli regolari e l'utilizzo di verifiche formali degli smart contract.
Anche il mantenimento della sicurezza dei server e di altri componenti dell'infrastruttura è fondamentale; i penetration test devono essere condotti per individuare eventuali vulnerabilità. Con i sistemi basati su DApp e blockchain, i penetration test portano con sé alcune caratteristiche relative al Web3. Per questo motivo, è necessario prendere delle precauzioni specifiche per i wallet digitali e i protocolli decentralizzati.
I progetti GameFi dovrebbero anche aderire ad altre best practice, tra cui un processo di runtime sicuro e una risposta completa alle emergenze. Il primo comporta il monitoraggio degli eventi di sicurezza innescati, il miglioramento della sicurezza dell'ambiente e il rilascio di programmi di bug bounty.
Allo stesso tempo, i progetti devono sviluppare un processo completo di risposta alle emergenze che includa aspetti come le misure stop-loss, il tracciamento degli attacchi e l'analisi dei problemi.
In chiusura
Le vulnerabilità relative alla sicurezza nel mondo GameFi vanno oltre a quelle menzionate in questo articolo e molti incidenti hanno dimostrato che i progetti hanno ignorato o minimizzato i rischi per la sicurezza. La GameFi rappresenta una parte importante del futuro del gaming. Come tale, i progetti dovrebbero sempre prestare attenzione ai problemi di sicurezza e mettere al primo posto gli interessi delle loro comunità.
Letture consigliate
Disclaimer e Avvertenza sui rischi: questo contenuto viene presentato all'utente «così com'è» solo a scopo informativo e didattico, senza –rappresentazioni o garanzie di alcun tipo. Non deve essere interpretato come una consulenza finanziaria, legale o di altro tipo professionale, né intende raccomandare l'acquisto di prodotti o servizi specifici. Dovresti chiedere una consulenza a consulenti professionali appropriati. Laddove l'articolo sia fornito da un collaboratore terzo, tieni presente che le opinioni espresse appartengono al collaboratore terzo e non riflettono necessariamente quelle di Binance Academy. Leggi il nostro disclaimer completo qui per ulteriori dettagli. I prezzi degli asset digitali possono essere volatili. Il valore del tuo investimento potrebbe aumentare o diminuire e potresti non recuperare l'importo investito. Sei l'unico responsabile delle tue decisioni di investimento e Binance Academy non è responsabile per eventuali perdite che potresti subire. Questo materiale non deve essere interpretato come consulenza finanziaria, legale o di altro tipo professionale. Per ulteriori informazioni, consulta i nostri Termini di utilizzo e l'Avvertenza sui rischi.