ეს სტატია გახლავთ საზოგადოების მიერ წარმოდგენილი. მისი ავტორი, Zhangchi Qin, ჰოლისტური ბლოკჩეინ უსაფრთხოების კომპანია Salus Security-ში სმარტ კონტრაქტების აუდიტორად მუშაობს.
წინამდებარე სტატიაში წარმოდგენილი შეხედულებები ეკუთვნის ავტორს/შემქმნელს და არ ასახავს Binance Academy-ის შეხედულებებს.
TL;DR
GameFi პროექტების პრობლემები შეგვიძლია ორ ჯგუფად - ონ ჩეინ და ოფ ჩეინ საკითხებად დავყოთ.
ონ ჩეინ უსაფრთხოების პრობლემები შესაძლოა მოიცავდეს ERC-20 ტოკენების and NFT-ების მართვა, კროს-ჩეინ ხიდების უსაფრთხოება და დეცენტრალიზებული ავტონომიური ორგანიზაციის (DAO) მმართველობა.
მეორე მხრივ, ოფ ჩეინ პრობლემები ძირითადად ვებ ინტერფეისებს და სერვერებს უკავშირდება.
GameFi პროექტებისთვის მნიშვნელოვანი უნდა იყოს უსაფრთხოების ისეთი ზომები, როგორიცაა გულდასმითი აუდიტი, მოწყვლადობის შემოწმება და შეღწევის ტესტი. ამასთან, საჭიროა საუკეთესო ოპერაციული პრაქტიკების და ბიზნეს კონტროლის განხორციელება.
შესავალი
GameFi ბლოკჩეინ ტექნოლოგიას და გეიმინგ სამყაროს აერთიანებს დეცენტრალიზებული პლატფორმის შესაქმნელად, რომელიც შიდა სათამაშო აქტივებს და ციფრულ ვალუტებს მოიცავს. მასში ხშირად შევხვდებით play-to-earn (P2E) მოდელს, რომელიც მოთამაშეებს კრიპტო საჩუქრების გამომუშავების საშუალებას აძლევს. GameFi მოთამაშეებს აძლევს შიდა სათამაშო აქტივების ფლობის და სრული კონტროლის საშუალებას.
GameFi-ს პოპულარობასთან ერთად იზრდება მასთან დაკავშირებული საფრთხეც, რომელიც განგრძობითი ჰაკებისგან მომდინარეობს. ზოგიერთი პროექტის ავტორები ხარისხზე წინ სიჩქარეს აყენებენ და შესაბამისად უსაფრთხოების ზომებს არ ითვალისწინებენ, რითაც საზოგადოებაც და თავად შემქმნელებიც დიდი დანაკარგის რისკის წინაშე აღმოჩნდებიან.
რატომ არის GameFi-ს უსაფრთხოება მნიშვნელოვანი?
2021 წელს GameFi-მ მომხმარებლებს შესთავაზა P2E მოდელი, რითაც მოთამაშეებმა ახლებური შიდა სათამაშო ფინანსური შესაძლებლობები მიიღეს. 2022 წელს GameFi-ს ზრდის პოტენციალი კიდევ უფრო გამოიკვეთა move-to-earn პროექტების დახმარებით. 2022 წელს GameFi გასულ წელთან შედარებით 118%-ით გაიზარდა, კრიპტო ინდუსტრიის სრული დაფინანსების 9.5% შეადგინა და ტოპ სექტორი გახდა.
GameFi ტრადიციული გეიმინგისგან იმით განსხვავდება, რომ მომხმარებლებისგან სასწორზე უფრო მეტი რამ დევს და ჰაკერული შეტევა შესაძლოა მათთვის დიდი ზარალის მომტანი გახდეს. განსაკუთრებულ შემთხვევებში უსაფრთხოების გარღვევა შესაძლოა პროექტის დასრულების მიზეზიც გახდეს.
მაგალითად, 2022 წელს ჰაკერები თავს დაესხნენ GameFi პროექტ Axie Infinity-ს Remote Procedure Call-ს (RPC), რის შედეგადაც უნებართვოდ გაიტანეს 600 მილიონი აშშ დოლარის ღირებულების ETH. GameFi პროექტების სისუსტეებმა შეიძლება დააზარალოს როგორც ინვესტორები, ისე მოთამაშეები, რაც GameFi უსაფრთხოების მნიშვნელობას კიდევ ერთხელ უსვამს ხაზს.
ონ ჩეინ უსაფრთხოების გამოწვევები
ERC-20 ტოკენის სისუსტეები
GameFi პროექტებში ხშირად გამოყენებადი ERC-20 ტოკენები შიდა სათამაშო შესყიდვებისთვის, მოთამაშეების დაჯილდოებისთვის და გაცვლისთვის საჭირო ვირტუალური ვალუტაა.
ERC-20 ტოკენების არასათანადო შექმნა და მართვა უსაფრთხოების პრობლემებს ქმნის. ერთ-ერთი გავრცელებული სისუსტეა ხელმეორედ შეღწევა, რომელმაც შესაძლოა შექმნის პროცესში იჩინოს თავი. თავდამსხმელები იყენებენ ლოგიკურ გარღვევებს კონტრაქტებში, უწყვეტად შეჰყავთ ერთი და იგივე ბრძანება, რითაც ტოკენების უსასრულო რაოდენობას ქმნიან.
ERC-20 ტოკენების, როგორც უნივერსალური შიდა სათამაშო ვალუტის სტაბილურობა და რაოდენობა განაპირობებს თამაშის გავრცელებას და მდგრადობას. ამიტომაც პროექტებისთვის აუცილებელია კოდების ლოგიკის გაწერა და ERC-20 ტოკენების სრული რაოდენობის მკაცრი კონტროლი.
P2E GameFi-ს პროექტი DeFi Kingdoms 2022 წელს ERC-20-ის შესაქმნელი თავდასხმის მსხვერპლი გახდა. მოთამაშეების ნაწილმა ლოგიკის სისუსტე თამაშის შიდა ტოკენის შესაქმნელად გამოიყენა, რითაც მისი ფასი დაეცა.
NFT-ის სისუსტეები
NFT GameFi პროექტში გამოიყენება შიდა სათამაშო ვირტუალურ აქტივებად, მათ შორის ეკიპირებად, დამხმარე ატრიბუტებად და სუვენირებად. მათი დახმარებით მოთამაშეებს საკუთრების უფლება აქვთ და ინფლაციის კონტროლის და იშვიათობის გათვალისწინებით სტაბილური ფასის შენარჩუნება შეუძლიათ. თუმცა NFT-ების არასწორმა გამოყენებამ შესაძლოა უსაფრთხოების პრობლემები შექმნას.
NFT-ების ღირებულება ჩანს აღჭურვილობისა და დამხმარე ატრიბუტების რაოდენობაზე, რადგან მოთამაშეები უმეტესწილად იშვიათ NFT-ების პოვნას ცდილობენ. NFT-ის შექმნის პროცესში ბლოკთან დაკავშირებული ინფორმაცია, მაგალითად დროის ნიშნულები, შესაძლოა გამოყენებულ იქნას როგორც სუსტი შემთხვევითი წყარო იშვიათობის სხვა დონის NFT-ების შესაქმნელად. უფრო იშვიათი NFT-ების შესაქმნელად მაინერს ბლოკის დროის ნიშნულის შეცვლა შეუძლია.
შემთხვევითობის სანდო წყაროებიც, მაგალითად Chainlink VRF (დადასტურებადი შემთხვევითი ფუნქცია), არ არის რისკებისგან დაცული. მავნე განზრახვის მქონე მომხმარებლებს შეუძლიათ არასასურველი NFT ტოკენ ID-ების შექმნის დროს პროცესი შეაჩერონ და იშვიათი NFT-ის შექმნამდე გაიმეორონ.
სმარტ კონტრაქტების პოტენციური სისუსტეები შესაძლოა გამოვლინდეს მაშინ, როცა მოთამაშეები NFT-ებს ცვლიან ან გზავნიან. მაგალითად, ERC-721 NFT-ების გასაგზავნად ფუნქცია safeTransferFrom() გამოიყენება. თუკი მიმღები კონტრაქტის მისამართია, ფუნქცია onERC721Received() „callback“-ს აამოქმედებს. ასეთ დროს არსებობს ხელმეორედ შეღწევის რისკი, რადგან თავდამსხმელებს ERC721Received() ფუნქციაში ლოგიკის წარმართვა შეუძლიათ.
იგივე საშიშროება გვხვდება ERC-1155 NFT-ებში, სადაც ფუნქცია safeTransferFrom() აამოქმედებს ფუნქციას onERC1155Received() და თავდამსხმელებს ხელმეორედ შეღწევის საშუალებას აძლევს.
ხიდების სისუსტეები
კროს-ჩეინ ხიდები GameFi-ში მომხმარებლებს სხვადასხვა ქსელებს შორის შიდა სათამაშო აქტივების გაცვლის საშუალებას აძლევს. ისინი კრიტიკული მნიშვნელობისაა GameFi-ს გამოცდილებისა და ლიკვიდურობის გასაუმჯობესებლადაც.
GameFi-ში კროს-ჩეინ ხიდების ერთ-ერთი უმთავრესი ხიფათი შიდა სათამაშო აქტივების არასტაბილურობას უკავშირდება. ხიდის ორივე მხარის კონტრაქტებმა უნდა მოახერხონ, რომ მიღებული და დამწვარი აქტივების რაოდენობა ერთმანეთს დაემთხვეს. თუმცა კონტრაქტების დადასტურების და აღრიცხვის შესაძლებლობის გარღვევა თავდამსხმელებს არსაიდან დიდი რაოდენობით აქტივების შექმნის საშუალებას აძლევს.
DAO მმართველობის სისუსტეები
ბევრი GameFi პროექტი DAO-ების მიერ იმართება, რაც ცენტრალიზების რისკს ზრდის, თუკი სამართავი ტოკენების უმეტესობა რამდენიმე მსხვილი მონაწილის ხელში მოექცევა. სმარტ კონტრაქტები, რომლებიც DAO მმართველობის წესებს განსაზღვრავს, ასევე რისკის ქვეშაა, რადგან თავდამსხმელებს DAO ხაზინებში შეღწევის გზების პოვნა შეუძლიათ.
ოფ ჩეინ უსაფრთხოების გამოწვევები
GameFi პროექტების უმეტესობა ბექ-ენდ ოპერაციებისთვის, ვებ ინტერფეისების და მობილური აპლიკაციებისთვის ჯერაც ოფ-ჩეინ ცენტრალიზებულ სერვერებს იყენებს. ამ სერვერებზე ინახება კრიტიკული ინფორმაცია, მაგალითად თამაშის მონაცემები და მომხმარებელთა ანგარიშები. ისინი შესაძლოა დაუცველი აღმოჩნდეს თავდამსხმელების მიერ შეღწევის ან Trojan-ით თავდასხმის წინააღმდეგ.
NFT-ების შემთხვევაში მეტამონაცემები, რომელიც აღწერილობით ინფორმაციას შეიცავს, ოფ ჩეინ, JSON ფაილებად ინახება. თუმცა არაერთი GameFi პროექტი NFT მეტაინფორმაციას საკუთარ ცენტრალურ სერვერებზე ინახავს და არა IPFS-ის მსგავს დეცენტრალიზებულ ინფრასტრუქტურაზე. ეს ზრდის დაკავშირებული მხარეების ან თავდამსხმელების მხრიდან მეტაინფორმაციაზე გავლენის შესაძლებლობებს, რითაც შესაძლოა მოთამაშის უფლებები დაირღვეს.
კროს-ჩეინ ხიდების შემთხვევაში თავდამსხმელებს შეღწევის ან ფიშინგის მეშვეობით ვალიდატორების ხელმოწერების ან პერსონალური გასაღებების მოპოვება შეუძლიათ. შიდა სათამაშო აქტივების მოსაპოვებლად მათ ინფრასტრუქტურის დაზიანება შეუძლიათ.
მონაცემთა გადაცემის დროს თავდამსხმელებს ქსელში მავნე კოდის შეყვანა შეუძლიათ. მონაცემთა პაკეტის ცვლილებით, თავდამსხმელებს ყალბი ფულის ასახვას და შიდა სათამაშო ნივთების ყიდვას ახერხებენ.
ფრონტ-ენდ ინტერფეისები თავდამსხმელებს სისტემაში შეღწევის კიდევ ერთ საშუალებას აძლევს. ერთი თამაშის ლიდერთა სიიდან ინფორმაციის გაჟონვის შემთხვევაში, თავდამსხმელებს შეუძლიათ მომხმარებლების მისამართთან დაკავშირებული ინფორმაციის სერვერზე გაგზავნა და შესაბამისი სენსიტიური ინფორმაციის მოპოვება.
უსაფრთხოების გაუმჯობესების გზები
GameFi პროექტების დასაცავად აუცილებელია ყველა საფეხურზე ყურადღება გამოვიჩინოთ. წარმატებული GameFi პროექტებისთვის მნიშვნელოვანია უხარვეზო სმარტ კონტრაქტის შექმნა — ეს გულისხმობს ხარისხიანი კოდის დაწერას, რეგულარული აუდიტების წარმოებას და სმარტ კონტრაქტების ფორმალურად ვერიფიკაციას.
სერვერების და სხვა ინფრასტრუქტურული კომპონენტების უსაფრთხოებაც კრიტიკული მნიშვნელობისაა. შესაძლო სისუსტეების აღმოსაჩენად საჭიროა შეღწევის ტესტების ჩატარება. შეღწევის ტესტი DApp-ებსა და ბლოკჩეინზე დაფუძნებულ სისტემებს Web3-ის ფუნქციებს ანიჭებს. ამიტომაც ციფრული საფულეებისთვის და დეცენტრალიზებული პროტოკოლებისთვის აუცილებელია წინასწარი სიფრთხილის ზომების მიღება.
GameFi პროექტებს სჭირდებათ ეს საუკეთესო პრაქტიკები, მათ შორის გამტარუნარიანობის დაცული პროცესი და გაუთვალისწინებელ შემთხვევებზე რეაგირების შესაძლებლობა. მათგან პირველი გულისხმობს უსაფრთხოების გააქტიურების შემთხვევების მონიტორინგს, გარემოს უსაფრთხოების გაძლიერებას და ბაგების აღმოჩენისთვის ჯილდოს დაწესებას.
ამავდროულად პროექტებმა უნდა შეიმუშაონ გადაუდებელ შემთხვევებზე რეაგირების პროცესი, რომელიც მოიცავს ისეთ ასპექტებს, როგორებიცაა stop/loss მონაცემების მოშორება, შეტევებისთვის თვალის დევნება და პრობლემების ანალიზი.
შეჯამება
ამ სტატიაში ჩამოთვლილის გარდა, GameFi-ს უსაფრთხოებას სხვა სისუსტეებიც აქვს და არაერთ შემთხვევაში გამოჩნდა, რომ პროექტები უსაფრთხოების რისკებს სათანადო ყურადღებას არ უთმობენ. GameFi გეიმინგის მომავლის მნიშვნელოვანი ნაწილია. ამიტომ პროექტებმა მეტი ყურადღება უნდა დაუთმონ უსაფრთხოების საკითხებს და პირველ ადგილზე საზოგადოებების ინტერესები დააყენონ.
დამატებითი საკითხავი
უარი პასუხისმგებლობაზე და რისკის შესახებ გაფრთხილება: ეს კონტენტი თქვენთვის წარმოდგენილია „არსებული სახით“ და განკუთვნილია მხოლოდ საინფორმაციო და საგანმანათლებლო მიზნებისთვის, რაიმე სახის რეპრეზენტაციისა თუ გარანტიის გარეშე. იგი არ უნდა იქნას აღქმული, როგორც ფინანსური, იურიდიული ან პროფესიული რჩევა და არ არის განკუთვნილი იმისთვის, რომ რეკომენდაცია გაუწიოს რაიმე სახის კონკრეტული პროდუქტის, ან სერვისის შეძენას. რჩევის მისაღებად უნდა მიმართოთ შესაბამის პროფესიონალ მრჩეველს. რადგან წინამდებარე სტატია მოწოდებულია მესამე მხარის მიერ, გაითვალისწინეთ, რომ მასში წარმოდგენილი შეხედულებები ეკუთვნის მესამე მხარეს და არ წარმოადგენს Binance Academy-ის შეხედულებებს. დამატებითი ინფორმაციის მისაღებად, სრულად გაეცანით აქ წარმოდგენილ პასუხისმგებლობაზე უარის განაცხადს. ციფრული აქტივების ფასები შეიძლება იყოს არასტაბილური. თქვენი ინვესტიციის ღირებულებამ შეიძლება დაიკლოს ან მოიმატოს და შესაძლოა ვერ შეძლოთ ინვესტირებული თანხის დაბრუნება. თქვენ ერთპიროვნულად ხართ პასუხისმგებელი თქვენს საინვესტიციო გადაწყვეტილებებზე და Binance Academy-ი არ არის პასუხისმგებელი თქვენ მიერ განცდილ არანაირ ზარალზე. აქ მოცემული ინფორმაცია არ უნდა იქნას აღქმული, როგორც რაიმე სახის ფინანსური, იურიდიული, ან პროფესიული რჩევა. დამატებითი ინფორმაციის მისაღებად, გაეცანით ჩვენს გამოყენების პირობებსა და რისკის შესახებ გაფრთხილებას.