Šis ir kopienas iesniegts raksts. Tā autors ir Žangči Cjins (Zhangchi Qin), visaptverošas blokķēdes drošības uzņēmuma Salus Security viedo līgumu revidents.
Šajā rakstā paustais viedoklis ir tā autora viedoklis un neatspoguļo Binance Akadēmijas pārstāvju uzskatus.
Īsumā:
GameFi projektiem ir vairākas drošības problēmas, kuras var klasificēt kā problēmas ķēdē un ārpus ķēdes.
Drošības problēmas ķēdē galvenokārt ietver ERC-20 tokenu un NFT pārvaldību, starpķēžu kanālu drošību un decentralizētās autonomās organizācijas (DAO) pārvaldību.
Savukārt problēmas ārpus ķēdes parasti ir saistītas ar tīmekļa saskarnēm un serveriem.
Par GameFi projektu prioritāti jākļūst drošības pasākumiem, piemēram, rūpīgiem auditiem, ievainojamību skenēšanai un ielaušanās testēšanai, kā arī labākās darbības prakses un uzņēmējdarbības kontroles ieviešanai.
Ievads
GameFi risinājumi blokķēdes tehnoloģiju apvieno ar spēlēm, lai radītu decentralizētas platformas ar spēles aktīviem un digitālajām valūtām. Tie parasti izmanto spēlē, lai pelnītu (P2E) modeli, kas ļauj spēlētājiem pelnīt kriptovalūtu atlīdzības. GameFi arī sniedz spēlētājiem patiesas īpašumtiesības un pilnīgu kontroli par saviem spēles aktīviem.
Tā kā GameFi kļūst aizvien populārāks, tam rodas nepārtraukti un ievērojami uzbrukuma draudi. Daži projekti var ātrumu vērtēt augstāk par kvalitāti, tāpēc tiem var nebūt stingru drošības pasākumu. Tas rada kopienai un autoriem būtisku zaudējumu risku.
Kāpēc GameFi drošība ir svarīga?
GameFi 2021. gadā piedzīvoja ievērojamu izaugsmi, tā P2E modelis spēlēs piedāvāja spēlētājiem jaunas finanšu iespējas. 2022. gadā "kusties, lai pelnītu" projekti vēl vairāk parādīja GameFi izaugsmes potenciālu. GameFi 2022. gadā bija kriptovalūtu lielākais sektors ar aptuveni 9,5 % no nozares kopējā finansējuma un izaugsmei gadu gaitā sasniedzot vairāk nekā 118 %.
GameFi no tradicionālajām spēlēm atšķiras ar to, ka spēlētājiem ir lielāks risks un jebkurš uzbrukums var nozīmēt ievērojamus zaudējumus. Ārkārtējos scenārijos drošības pārkāpumi var nozīmēt projekta beigas.
Piemēram, uzbrucēji izmantoja attālināto procedūru izsaukuma (RPC) mezgla slēpto iezīmi, lai 2022. gadā iegūtu GameFi projekta Axie Infinity parakstu. Tas ļāva uzbrucējiem veikt neautorizētu ETH izmaksu teju 600 miljonu $ vērtībā. Jebkādas GameFi projektu ievainojamības var radīt milzīgus zaudējumus gan ieguldītājiem, gan spēlētājiem. Tas parāda, cik svarīga ir GameFi drošība.
Drošības problēmas ķēdē
ERC-20 tokenu ievainojamība
ERC-20 tokenus GameFi projektos bieži vien izmanto kā virtuālo valūtu pirkumiem spēlē, kā atlīdzības mehānismu spēlētājiem un kā apmaiņas līdzekli.
Nepareiza ERC-20 tokenu izgatavošana un pārvaldība var radīt drošības riskus. Izgatavošanas laikā var rasties plaši sastopama ievainojamība, ko sauc par atkārtotu piekļuvi. Uzbrukumi var izmantot līguma loģikas nepilnību, lai atkārtoti izpildītu noteiktu funkciju, tādējādi bezgalīgi izgatavojot tokenus.
Tā kā ERC-20 tokeni ir universāla spēles valūta, to stabilitāte un daudzums nosaka iespējas spēlēt un spēles ilgtspējību. Tāpēc projektiem būtu jānodrošina kodu loģika un rūpīgi jākontrolē ERC-20 tokenu kopējais apjoms.
P2E GameFi projektam DeFi Kingdoms 2022. gadā uzbruka, izmantojot ļaunprātīgu ERC-20 izgatavošanu. Daži spēlētāji izmantoja loģikas ievainojamību, lai izgatavotu spēles bloķētos pamata tokenus, izraisot strauju tokenu cenas kritumu.
NFT ievainojamība
NFT GameFi projektos galvenokārt tiek izmantoti kā spēles virtuālie aktīvi, tostarp aprīkojums, priekšmeti un suvenīri. Tie spēlētājiem piedāvā skaidras īpašumtiesības un var saglabāt stabilu vērtību, izmantojot inflācijas kontroli un nepietiekamību. Tomēr nepareiza NFT izmantošana var radīt vairākas drošības ievainojamības.
NFT vērtību atspoguļo aprīkojuma vai priekšmetu retums, un spēlētāji parasti cenšas iegūt retākos NFT. NFT veidošanas laikā tādu ar bloku saistītu informāciju kā laika zīmogs var izmantot par vāju, nejauši izvēlētu avotu NFT ģenerēšanai ar dažādiem retuma līmeņiem. Ieguvējs var zināmā mērā pārveidot bloka laika zīmogu, lai ļaunprātīgi izgatavotu retākus NFT.
Pat uzticami nejaušas izlases nodrošinātāji, piemēram, Chainlink VRF (pārbaudāmas nejaušas funkcijas), nenovērš visus riskus. Ļaunprātīgi ieguvēji nevēlamu NFT tokenu ID veidošanas laikā var atsaukt darbības un atkārtot procesu līdz brīdim, kad tiek izgatavots rets NFT.
Kad spēlētāji tirgo un nosūta NFT, var rasties viedā līguma ievainojamība. Piemēram, ERC-721 NFT pārskaitīšanai tiek izmantota funkcija safeTransferFrom(). Ja saņēmējs ir norādīts kā līguma adrese, funkcijā onERC721Received() tiks aktivizēta atsaukšana. Tad rodas atkārtotas piekļuves uzbrukumu risks, kuros uzbrucēji var noteikt loģiku funkcijai pie ERC721Received().
Šis risks pastāv arī attiecībā uz ERC-1155 NFT, kuros funkcija safeTransferFrom() palaiž funkciju onERC1155Received() un ļauj uzbrucējiem veikt atkārtotas piekļuves uzbrukumu.
Savienojošā kanāla ievainojamība
Starpķēžu kanālus GameFi izmanto, lai ļautu dažādos tīklos lietotājiem mainīt spēles aktīvus. Tie ir svarīgi arī GameFi pieredzes uzlabošanai un likviditātei.
Galvenais starpķēžu kanālu risks GameFi rodas no spēles aktīvu neatbilstības. Līgumiem abās kanāla pusēs jānodrošina, ka tiek pieņemts un sadedzināts vienāds apjoms aktīvu. Tomēr verifikācijas līgumu un grāmatvedības nepilnību dēļ uzbrucēji var tos apdraudēt, lai no nekā izveidotu lielu aktīvu daudzumu.
DAO pārvaldības ievainojamība
Daudzus GameFi projektus pārvalda DAO. Tas var radīt centralizācijas risku, ja vairums pārvaldības tokenu pieder dažiem lieliem dalībniekiem. Viedie līgumi, kas nosaka DAO pārvaldības noteikumus, rada vēl vienu apdraudējumu iespēju, jo uzbrucēji var rast veidus, kā piekļūt DAO krātuvei.
Drošības problēmas ārpus ķēdes
Vairums GameFi projektu joprojām izmanto centralizētus serverus ārpus ķēdes, lai nodrošinātu aizmugursistēmas darbības, tīmekļa saskarnes vai mobilās lietotnes. Šajos serveros ir svarīga informācija, tostarp spēles dati un īpašnieku konti. Tie ir ievainojami attiecībā uz ļaunprātīgiem uzbrukumiem, piemēram, ielaušanos un Trojas zirgu ļaunatūru.
Attiecībā uz NFT metadati ietver būtisku aprakstošo informāciju un tiek glabāti ārpus ķēdes, JSON failos. Tomēr daudzi GameFi projekti glabā NFT datus savos centralizētajos serveros, nevis tādās decentralizētās infrastruktūrās kā IPFS. Tas palielina iespēju, ka saistītas puses vai uzbrucēji izmainīs metadatus un pārkāps spēlētāju tiesības.
Starpķēžu kanālu gadījumā uzbrucēji var iegūt validētāju parakstus vai privātās atslēgas, izmantojot ielaušanos vai pikšķerēšanas uzbrukumus. Viņi var mainīt infrastruktūru un izmantot nepilnību, lai kontrolētu spēles aktīvus.
Datu pārraides laikā uzbrucēji var pārņemt tīkla paketi un ievietot tajā ļaunprātīgu kodu. Pārveidojot datu paketi, uzbrucēji var ieviest viltus papildināšanu un izmantot vienības pirkuma summu, lai iegūtu vairāk spēles priekšmetu.
Priekšgala saskarnes sniedz uzbrucējiem vēl vienu iespēju ļaunprātīgi iefiltrēties sistēmā. Ja kādas spēles līderu sarakstā rodas informācijas noplūde, uzbrucēji var nosūtīt ar adresi saistīto iegūto informāciju serverim, lai iegūtu attiecīgu sensitīvo informāciju.
Drošības uzlabošanas veidi
Lai aizsargātu GameFi projektus, katrā posmā jāievēro piesardzība. Nevainojamu viedo līgumu kodu nodrošināšana ir veiksmīga GameFi projekta pamatā – tas ietver augstas kvalitātes koda rakstīšanu, regulāru audita veikšanu, kā arī formālu viedo līgumu verificēšanu.
Svarīga ir arī serveru un citu infrastruktūras komponentu drošības uzturēšana. Lai noteiktu iespējamās ievainojamības, jāveic ielaušanās testēšana. Ielaušanās testēšana kopā ar decentralizētajām lietotnēm un sistēmām uz blokķēdes pamata ietver arī Web3 funkcijas. Tāpēc attiecībā uz digitālajiem makiem un decentralizētajiem protokoliem jāievēro īpaši piesardzības pasākumi.
GameFi projektos jāievēro arī labākā prakse, tostarp drošs izpildlaika process un pilnīga reaģēšana ārkārtas situācijā. Iepriekš minētais ietver aktivizētu drošības notikumu uzraudzību, striktāku vides drošību un tādu programmu izlaišanu, kuras piedāvā atlīdzību par kļūdu atrašanu.
Vienlaikus projektiem arī jāizstrādā pilnīgs process reaģēšanai ārkārtas situācijā, kas ietver tādus aspektus kā zaudējumu apturēšanas atcelšana, uzbrukuma izsekošana un problēmas analīze.
Noslēgumā
Šajā rakstā nav pieminētas visas GameFi drošības ievainojamības, un daudzi gadījumi ir parādījuši, ka projektos tiek ignorēti drošības riski vai tie netiek uztverti nopietni. GameFi ir ievērojama nākotnes spēļu daļa. Tāpēc projektos vienmēr būtu jāpievērš uzmanība drošības problēmām un par svarīgākajām jāuzskata kopienas intereses.
Turpini lasīt
Atruna un brīdinājums par risku: šis saturs tiek tev nodrošināts nemainītā veidā un ir paredzēts tikai vispārīgai informācijai un izglītojošiem mērķiem; tas neietver nekādus apliecinājumus vai garantijas. Tas nav uzskatāms par finansiālu, juridisku vai cita veida padomu un nav paredzēts kā ieteikums iegādāties kādu konkrētu produktu vai pakalpojumu. Aicinām tevi konsultēties ar atbilstošiem profesionāliem konsultantiem. Ja šo rakstu ir veidojis trešās puses autors, lūdzu, ņem vērā, ka tajā paustie viedokļi pieder attiecīgajam raksta autoram un neatspoguļo Binance Akadēmijas pārstāvju uzskatus. Pilnu atrunas tekstu lasi šeit. Digitālo aktīvu cenas var būt svārstīgas. Tavu ieguldījumu vērtība var samazināties vai pieaugt, kā arī tu vari neatgūt ieguldīto summu. Tu uzņemies pilnu atbildību par saviem ieguldījumu lēmumiem, un Binance Akadēmija neatbild par taviem iespējamajiem zaudējumiem. Šī informācija nav uzskatāma par finansiālu, juridisku vai cita veida profesionālu padomu. Papildinformācijai lasi mūsu Lietošanas noteikumus un Brīdinājumu par riskiem.