Kokios yra dažniausios GameFi saugumo problemos?
Pradžia
Straipsniai
Kokios yra dažniausios GameFi saugumo problemos?

Kokios yra dažniausios GameFi saugumo problemos?

Paskelbta Mar 31, 2023Naujinta Dec 11, 2023
7m

Šis straipsnis yra bendruomenės pasiūlymas. Jo autorius – Zhangchi Qin, išmaniųjų sandorių auditorius visapusiškos blokų grandinės apsaugos kompanijoje „Salus Security“. 

Šiame straipsnyje pateikiama bendraautoriaus / autoriaus nuomonė, kuri nebūtinai atspindi Binance Academy požiūrį.

Trumpai:

  • GameFi projektai susiduria su įvairiais saugumo iššūkiais, kurie gali būti klasifikuojami kaip grandinės ir užgrandininių sandorių problemos. 

  • Grandinės saugumo iššūkiai daugiausia susiję su ERC-20 žetonų ir NFT valdymu, kryžminių grandinių tiltų saugumu ir decentralizuotos autonominės organizacijos (DAO) valdymu. 

  • O štai užgrandininių sandorių iššūkiai paprastai yra susiję su žiniatinklio sąsajomis ir serveriais. 

  • GameFi projektuose pirmenybė turėtų būti teikiama saugumo priemonėms, tokioms kaip griežtas auditas, pažeidžiamumo patikra ir infiltracijos testavimas, taip pat turėtų būti įgyvendinamos geriausios veiklos praktikos ir verslo kontrolė.

Įvadas 

GameFi sujungia blokų grandinės technologiją su žaidimais ir sukuria decentralizuotas platformas su žaidimo turtu ir skaitmeninėmis valiutomis. Paprastai taikomas „žaisk ir uždirbk“ (P2E) modelis, leidžiantis žaidėjams uždirbti kriptovaliutų. GameFi taip pat suteikia žaidėjams faktinę nuosavybę ir visišką žaidimo turto kontrolę.

Nors GameFi projektai populiarėja, visą savo gyvavimo laikotarpį jie nuolat susiduria su reikšmingomis įsilaužimų grėsmėmis. Kai kuriuose projektuose svarbiau greitis nei kokybė, todėl trūksta patikimų saugumo priemonių, o bendruomenei ir kūrėjams kyla didelių nuostolių rizika.

Kodėl GameFi saugumas yra svarbus? 

2021 m. GameFi sparčiai išaugo, kai P2E modelis ėmė siūlyti žaidėjams naujų žaidimo finansinių galimybių. 2022 m. „judėk ir uždirbk“ projektai dar labiau išryškino GameFi augimo potencialą. 2022 m. GameFi buvo didžiausias kriptovaliutų sektorius, sudaręs maždaug 9,5 % viso šios pramonės šakos finansavimo ir per metus išaugęs daugiau kaip 118 %.

GameFi skiriasi nuo tradicinių žaidimų, nes vartotojai rizikuoja labiau, o bet koks įsilaužimas gali atnešti didelių nuostolių. Kraštutiniais atvejais saugumo pažeidimai gali lemti projekto nutraukimą. 

Pavyzdžiui, 2022 m. užpuolikai apėjo nuotolinio procedūrų iškvietimo (RPC) mazgo saugumo priemones, kad gautų GameFi projekto „Axie Infinity“ parašą, o tai leido užpuolikams neteisėtai išsiimti iš viso beveik 600 mln. dolerių vertės ETH. Bet koks GameFi projektų pažeidžiamumas gali sukelti didžiulių nuostolių tiek investuotojams, tiek žaidėjams, tai išryškina kritinę GameFi saugumo svarbą.

Grandinės saugumo iššūkiai 

ERC-20 žetonų pažeidžiamumas 

ERC-20 žetonai dažnai naudojami GameFi projektuose kaip virtuali valiuta žaidimo pirkiniams, žaidėjų atlyginimo mechanizmas ir kaip mainų priemonė. 

Netinkamas ERC-20 žetonų kaldinimas ir valdymas gali sukelti saugumo pavojų. Būdingas pažeidžiamumas, vadinamas kartotiniu įėjimu, gali atsirasti kaldinimo proceso metu. Atakos gali išnaudoti sandorio logikos spragą ir pakartotinai vykdyti konkrečią funkciją, įgalinančią begalinį žetonų kaldinimą.

Kaip universalios žaidimo valiutos, ERC-20 žetonų stabilumas ir kiekis lemia žaidimo patrauklumą žaisti ir tvarumą. Taigi projektai turėtų užtikrinti kodų logiką ir griežtai kontroliuoti bendrą ERC-20 žetonų pasiūlą. 

P2E GameFi projektas „DeFi Kingdoms“ 2022 m. buvo užpultas siekiant kenkėjiškai kaldinti ERC-20. Kai kurie žaidėjai pasinaudojo logikos pažeidžiamumu, kad kaldintų žaidimo užrakintus vietinius žetonus, o tai lėmė ženklų žetonų kainos smukimą.

NFT pažeidžiamumas 

NFT pirmiausia naudojami kaip virtualiojo žaidimo turtas GameFi projektuose, įskaitant įrangą, aksesuarus ir suvenyrus. Jie suteikia žaidėjams aiškią nuosavybę ir gali išlaikyti stabilią vertę, pasitelkiant infliacijos kontrolę ir trūkumą. Tačiau netinkamas NFT naudojimas gali sukelti saugumo spragų.

NFT vertė priklauso nuo įrangos ar aksesuaro retumo, o žaidėjai paprastai ieško rečiausių NFT. NFT kaldinimo proceso metu su blokais susijusi informacija, pvz., laiko žymos, gali būti naudojama kaip silpnas atsitiktinis šaltinis generuoti įvairaus retumo NFT. Kasėjas gali tam tikru mastu manipuliuoti bloko laiko žyma, kad piktybiškai kaldintų retesnius NFT. 

Net patikimas atsitiktinumo šaltinis, pvz., „Chainlink VRF“ (patikrintina atsitiktinė funkcija), nepašalina visų rizikų. Piktybiški vartotojai gali atšaukti sandorius kaldindami nepageidaujamus NFT žetonų ID ir kartoti procesą, kol bus nukaldintas retas NFT.

Kai žaidėjai prekiauja ir perkelia NFT, gali atsirasti išmaniųjų sandorių pažeidžiamumų. Pavyzdžiui, funkcija safeTransferFrom() naudojama perkelti ERC-721 NFT. Kai gavėjas yra sandorio adresas, funkcija onERC721Received() bus suaktyvinta atgaliniam skambinimui. Tada atsiranda galimas kartotinio įėjimo atakų pavojus, nes užpuolikai gali diktuoti ERC721Received() funkcijos logiką. 

Ši rizika taip pat egzistuoja tarp ERC-1155 NFT, nes funkcija safeTransferFrom() suaktyvina funkciją onERC1155Received() ir leidžia užpuolikams atlikti kartotinio įėjimo ataką.

Tiltų pažeidžiamumas 

Kryžminės grandinės tiltai naudojami GameFi, kad vartotojai galėtų keistis žaidimo turtu skirtinguose tinkluose. Jie taip pat labai svarbūs gerinant GameFi patirtį ir likvidumą.

Viena iš pagrindinių kryžminės grandinės tiltų rizikų GameFi projektuose kyla dėl žaidimo turto neatitikimų. Sandoriai abiejose tilto pusėse turėtų garantuoti, kad bus priimtas ir sudegintas toks pat turto kiekis. Tačiau dėl sandorių patvirtinimo ir apskaitos spragų užpuolikai gali manipuliuoti ir sukurti didelį kiekį turto tarsi iš oro.

DAO valdymo pažeidžiamumas 

Daugelį GameFi projektų valdo DAO, todėl jei dauguma valdymo žetonų priklauso keliems stambiems dalyviams, gali kilti centralizacijos rizika. Išmanieji sandoriai, apibrėžiantys DAO valdymo taisykles, atveria dar daugiau galimų pavojų, mat užpuolikai gali rasti būdų pasiekti DAO iždą.

Užgrandininių sandorių saugumo iššūkiai 

Dauguma GameFi projektų vis dar priklauso nuo užgrandininių centralizuotų serverių, skirtų vidinėms operacijoms, žiniatinklio sąsajoms ar mobiliosioms programėlėms. Šie serveriai, kuriuose saugoma svarbi informacija, įskaitant žaidimų duomenis ir savininkų sąskaitas, nėra atsparūs piktybiškoms atakoms, pvz., infiltracijai ir kenkėjiškoms Trojos arklių programoms. 

Kalbant apie NFT, metaduomenys, kuriuose yra svarbios aprašomosios informacijos, yra saugomi už grandinės kaip JSON failai. Tačiau daugelis GameFi projektų saugo NFT metaduomenis savo centralizuotuose serveriuose, užuot naudoję decentralizuotą infrastruktūrą kaip IPFS. Tai padidina tikimybę, kad susijusios šalys ar užpuolikai neleistinai modifikuos metaduomenis, o tai gali pažeisti žaidėjų teises.

Kryžminių grandinių tiltų atveju užpuolikai gali gauti tvirtintojų parašus arba privačius raktus per infiltracijos ar duomenų vagystės atakas. Jie gali pažeisti infrastruktūrą ir pasinaudoti žaidimo turtu.

Duomenų perdavimo metu užpuolikai gali užgrobti tinklo paketą ir įterpti į jį kenkėjišką kodą. Pakeitę duomenų paketą, užpuolikai gali atlikti klaidingus papildymus ir panaudoti vieneto pirkimo sumą, kad gautų daugiau žaidimo elementų. 

Vartotojui pritaikytos sąsajos suteikia užpuolikams dar vieną būdą piktavališkai įsiskverbti į sistemą. Jei kurio nors žaidimo pirmaujančiųjų sąraše įvyksta informacijos nutekėjimas, užpuolikai gali siųsti nutekėjusią su adresu susijusią informaciją į serverį, kad gautų atitinkamą slapto pobūdžio informaciją.

Būdai pagerinti saugumą

Norint apsaugoti GameFi projektus, labai svarbu būti atsargiems kiekviename etape. Nepriekaištingų išmaniųjų sandorių kodų užtikrinimas yra sėkmingo GameFi projekto pagrindas – tai apima aukštos kokybės kodo rašymą, reguliarius auditus ir formalaus išmaniųjų sandorių patvirtinimo naudojimą. 

Taip pat labai svarbu išlaikyti serverių ir kitų infrastruktūros komponentų saugumą; siekiant nustatyti galimą pažeidžiamumą, reikėtų atlikti infiltracijos testavimus. Naudojant DApp ir blokų grandine pagrįstas sistemas, infiltracijos testavimas suteikia Web3 savybių. Todėl skaitmeninės piniginėms ir decentralizuotams protokolams būtinos specialios atsargumo priemonės.

GameFi projektai taip pat turėtų atitikti kitas tinkamiausias praktikas, įskaitant saugų vykdymo procesą ir visokeriopą reagavimą į kritines situacijas. Pirmoji iš šių praktikų apima suaktyvintų saugos pažeidimo įvykių stebėjimą, aplinkos saugumo stiprinimą ir premijas už klaidų suradimą siūlančių programų leidimą.

Sykiu projektai turi parengti visokeriopo reagavimo į kritines situacijas procesą, apimantį tokius aspektus kaip atsikratymas vengiant nuostolių, užpuolimų sekimas ir problemų analizė.

Baigiamosios mintys

GameFi saugumo spragų yra ir daugiau nei paminėta šiame straipsnyje; daug incidentų parodė, kad projektuose ignoruotos arba deramai neįvertintos saugumo rizikos. GameFi yra svarbi žaidimų ateities dalis. Todėl projektuose visada reikia atkreipti dėmesį į saugumą ir pirmenybę teikti savo bendruomenių interesams.

Papildoma literatūra

Atsakomybės atsisakymas ir įspėjimas apie riziką: šis turinys jums pateikiamas „toks, koks yra“ tik bendro informavimo ir švietimo tikslais ir nesuteikia jokios garantijos bei nieko neteigia. Šis tekstas neturėtų būti suprantamas kaip finansinis, teisinis ar profesionalo patarimas, taip pat nesiekiama rekomenduoti įsigyti kokį nors konkretų produktą ar paslaugą. Turėtumėte patys kreiptis patarimo į atitinkamus profesionalius patarėjus. Jei straipsnį pateikė trečiosios šalies bendraautoris, atkreipkite dėmesį, kad išsakytos nuomonės priklauso trečiosios šalies bendraautoriui ir nebūtinai atspindi Binance Academy nuomonę. Daugiau informacijos rasite perskaitę visą atsakomybės atsisakymą čia. Skaitmeninių išteklių kainos gali būti nepastovios. Jūsų investicijos vertė gali sumažėti arba padidėti, o investuotos sumos galite ir neatgauti. Tik jūs esate atsakingas už savo investicinius sprendimus, o Binance Academy nėra atsakinga už jokius jūsų patirtus nuostolius. Ši medžiaga neturėtų būti suprantama kaip finansinis, teisinis ar profesionalo patarimas. Jei reikia daugiau informacijos, žr. mūsų naudojimo sąlygas ir įspėjimą dėl rizikos.