Jakie Są Najczęstsze Problemy Związane z Bezpieczeństwem w GameFi?
Strona Główna
Artykuły
Jakie Są Najczęstsze Problemy Związane z Bezpieczeństwem w GameFi?

Jakie Są Najczęstsze Problemy Związane z Bezpieczeństwem w GameFi?

Zaawansowany
Opublikowane Mar 31, 2023Zaktualizowane Dec 11, 2023
7m

Ten artykuł został nadesłany przez członków społeczności. Autorem jest Zhangchi Qin, audytor smart kontraktów w firmie Salus Security zajmującej się całościowym bezpieczeństwem sieci blockchain. 

Poglądy zawarte w tym artykule są poglądami autora / współautora i nie muszą odzwierciedlać poglądów Akademii Binance.

Skrót:

  • Projekty GameFi borykają się z różnymi problemami w zakresie bezpieczeństwa, które można sklasyfikować jako problemy on-chain i off-chain. 

  • Problemy w zakresie bezpieczeństwa on-chain dotyczą głównie zarządzania tokenami ERC-20 i NFT, bezpieczeństwa mostów cross-chain oraz zarządzania decentralized autonomous organization (DAO). 

  • Z kolei problemy off-chain są zwykle związane z interfejsami sieciowymi i serwerami. 

  • Projekty GameFi powinny traktować priorytetowo środki bezpieczeństwa, np. rygorystyczne audyty, kontrolę podatności na ataki oraz testy odporności na przenikanie, a także wdrażać najlepsze praktyki i kontrole działalności.

Wprowadzenie 

GameFi tworzy zdecentralizowane platformy zawierające aktywa growe i waluty cyfrowe poprzez łączenie technologii blockchain z grami. Zazwyczaj działa w modelu play-to-earn (P2E), który umożliwia graczom zdobywanie nagród w postaci kryptowalut. GameFi daje również graczom prawdziwą własność i pełną kontrolę nad własnymi aktywami w grze.

Chociaż GameFi zyskuje na popularności, od początku boryka się z nieustannymi i poważnymi zagrożeniami hakerskimi. Niektóre projekty przedkładają szybkość nad jakość i dlatego nie mają solidnych zabezpieczeń, narażając zarówno społeczność, jak i twórców na znaczne straty.

Dlaczego Bezpieczeństwo GameFi Jest Ważne? 

Sektor GameFi odnotował znaczny wzrost w 2021 roku dzięki modelowi P2E, który daje graczom nowe możliwości finansowe w grach. W 2022 roku potencjał wzrostowy GameFi jeszcze bardziej uwydatniły projekty move-to-earn. Branża GameFi była czołowym sektorem krypto w 2022 roku – miała udział na poziomie około 9,5% w całkowitym finansowaniu branży, a jej wzrost rok do roku wyniósł ponad 118%.

GameFi różni się od gier tradycyjnych, ponieważ użytkownicy mają tu więcej do stracenia i każdy hack może dla nich oznaczać znaczne straty. W skrajnych sytuacjach naruszenie bezpieczeństwa może prowadzić do zakończenia projektu. 

Np. w roku 2022 atakujący wykorzystali lukę w zabezpieczeniach węzła zdalnego wywołania procedury (RPC), aby uzyskać podpis na projekcie GameFi Axie Infinity, co umożliwiło im przeprowadzenie nieautoryzowanych wypłat o łącznej wartości prawie 600 mln $ w ETH. Wszelkie słabe punkty w projektach GameFi mogą prowadzić do ogromnych strat zarówno wśród inwestorów, jak i graczy, co uwydatnia kluczowe znaczenie bezpieczeństwa GameFi.

Problemy Związane z Bezpieczeństwem w Trybie On-chain 

Słabe punkty tokenów ERC-20 

Tokeny ERC-20 w projektach GameFi często pełnią rolę wirtualnej waluty do zakupów w grze, mechanizmów nagradzania graczy oraz środka wymiany. 

Nieprawidłowości w zarządzaniu tokenami ERC-20 oraz ich wybijaniu mogą skutkować zagrożeniami bezpieczeństwa. Jedna z typowych luk, tzw. wielobieżność, może się pojawić podczas procesu mintowania. Hakerzy mogą wykorzystać lukę logiczną w kontrakcie, aby wielokrotnie wykonać określoną funkcję, co skutkuje nieskończonym mintowaniem tokenów.

Stabilność oraz ilość tokenów ERC-20 jako uniwersalnych walut w grze decyduje o jej grywalności i trwałości. Dlatego też projekty powinny dbać o logikę kodów i ściśle kontrolować całkowitą podaż tokenów ERC-20. 

Projekt GameFi P2E DeFi Kingdoms w 2022 roku padł ofiarą złośliwego mintowania tokenów ERC-20. Kilku graczy przez lukę logiczną mintowało zablokowane tokeny natywne gry, doprowadzając w konsekwencji do gwałtownego spadku ich ceny.

Słabe punkty NFT 

NFT pełnią w projektach GameFi przede wszystkim rolę wirtualnych aktywów growych, np. wyposażenia, rekwizytów i pamiątek. Zapewniają graczom jasność w zakresie własności i są w stanie zachować stabilną wartość dzięki ograniczaniu inflacji oraz dzięki temu, że są towarem deficytowym. Jednak niewłaściwe użycie NFT może skutkować lukami bezpieczeństwa.

Wartość NFT znajduje odzwierciedlenie w rzadkości sprzętu lub rekwizytów, a gracze zazwyczaj poszukują najrzadszych NFT. W trakcie mintowania tokena NFT informacje związane z blokiem, takie jak np. znaczniki czasu, mogą pełnić funkcję słabego źródła losowego do generowania NFT o różnych poziomach rzadkości. Górnik może do pewnego stopnia zmanipulować znacznik czasu bloku i złośliwie zmintować rzadsze NFT. 

Nawet niezawodne źródło losowości, np. Chainlink VRF (Verifiable Random Function), nie eliminuje wszystkich zagrożeń. Użytkownicy o złych intencjach mogą cofać operacje w przypadku mintowania niechcianych ID tokenów NFT i powtarzać procedurę, dopóki nie uda się zmintować rzadkiego tokena NFT.

Kiedy gracze handlują i przesyłają NFT, mogą się pojawiać potencjalne słabe punkty w smart kontraktach. Dla przykładu, funkcja safeTransferFrom() służy do przesyłania NFT ERC-721. Kiedy adresem odbiorczym jest adres kontraktu, dochodzi do wywołania funkcji onERC721Received() na potrzeby wywołania zwrotnego. W konsekwencji zachodzi potencjalne ryzyko ataków wielobieżnych, dzięki którym atakujący mogą dyktować logikę w ramach funkcji onERC721Received(). 

Ryzyko takie zachodzi również przy tokenach NFT ERC-1155, w przypadku których funkcja safeTransferFrom() uruchamia funkcję onERC1155Received() i umożliwia atakującym przeprowadzenie ataku wielobieżnego.

Słabe punkty mostów 

Mosty cross-chain umożliwiają użytkownikom w GameFi wymianę aktywów growych pomiędzy różnymi sieciami. Mają również kluczowe znaczenie dla poprawy odbioru i płynności GameFi.

Jednym z głównych zagrożeń dla mostów cross-chain w GameFi są niespójności pomiędzy aktywami growymi. Kontrakty po obu stronach mostu powinny gwarantować przyjęcie i spalenie takiej samej kwoty aktywów. Jednak ze względu na luki w kontraktach związane z weryfikacją oraz rozliczaniem hakerzy mogą je osłabiać i tworzyć z niczego dużą liczbę aktywów.

Słabe punkty zarządzania DAO 

Wieloma projektami GameFi zarządzają organizacje DAO, co może się wiązać z ryzykiem centralizacji, jeżeli właścicielami większości tokenów jest kilka dużych podmiotów. Smart kontrakty, które określają zasady zarządzania DAO, to kolejne potencjalne słabe punkty, ponieważ osoby atakujące mogą znaleźć sposób na uzyskanie dostępu do skarbca DAO.

Problemy Związane z Bezpieczeństwem w Trybie Off-chain 

Działanie operacji administracyjnych, interfejsów internetowych oraz aplikacji mobilnych większości projektów GameFi wciąż zależy od scentralizowanych serwerów w trybie off-chain. Na tych serwerach znajdują się krytyczne informacje, np. dane gier oraz konta właścicieli, i są one narażone na złośliwe ataki penetracyjne oraz konie trojańskie. 

Jeżeli chodzi o NFT, metadane zawierają ważne informacje opisowe i są przechowywane off-chain jako pliki JSON. Jednak wiele projektów GameFi przechowuje swoje metadane NFT na własnych scentralizowanych serwerach, zamiast korzystać ze zdecentralizowanej infrastruktury takiej jak IPFS. Zwiększa to prawdopodobieństwo zmanipulowania metadanych przez podmioty powiązane lub napastników, co może prowadzić do naruszenia praw graczy.

W kontekście mostów cross-chain napastnicy mogą uzyskiwać podpisy walidatorów lub klucze prywatne poprzez ataki penetracyjne, lub phishingowe. Mogą narażać na szwank infrastrukturę i przeprowadzać exploity, aby przejąć kontrolę nad aktywami w grze.

Podczas przesyłania danych napastnik może przejąć pakiet sieciowy i wstrzyknąć do niego złośliwy kod. Modyfikując pakiet danych, atakujący może zrealizować fałszywe doładowania i uzyskać więcej artykułów growych za jednostkową kwotę zakupu. 

Kolejną drogę do złośliwej infiltracji systemu stanowią dla napastników interfejsy użytkownika. Jeżeli w tabeli wyników jednej gry nastąpi wyciek informacji, napastnicy mogą uzyskać odpowiednie informacje wrażliwe, wysyłając wyciekłe informacje związane z adresem do serwera.

Metody Poprawy Bezpieczeństwa

Aby zabezpieczyć projekty GameFi, należy zachować ostrożność na każdym etapie. Zapewnienie bezbłędnych kodów smart kontraktów to podstawa udanego projektu GameFi – wiąże się to z pisaniem wysokiej jakości kodu, przeprowadzaniem regularnych audytów oraz stosowaniem formalnej weryfikacji smart kontraktów. 

Krytyczne znaczenie ma również utrzymanie bezpieczeństwa serwerów i innych elementów infrastruktury. Należy prowadzić kontrole podatności, aby wykrywać ewentualne słabe punkty. W przypadku systemów opartych na aplikacjach DApp i sieciach blockchain kontrole podatności wiążą się z charakterystyką Web3. W związku z tym w przypadku portfeli cyfrowych i protokołów zdecentralizowanych konieczne są szczególne środki ostrożności.

Projekty GameFi powinny również przestrzegać innych najlepszych praktyk, w tym bezpiecznego procesu uruchamiania i pełnej reakcji na sytuacje awaryjne. Pierwsza z nich polega na monitorowaniu wyzwalanych zdarzeń bezpieczeństwa, uodparnianiu zabezpieczeń środowiska i organizowaniu programów zgłaszania błędów typu bug bounty.

Jednocześnie projekty muszą opracować kompletne procedury reagowania na sytuacje kryzysowe, które obejmują takie aspekty, jak usuwanie strat, rejestrowanie ataków i analiza problemów.

Wnioski Końcowe

Luki w zakresie bezpieczeństwa GameFi wykraczają poza przykłady wymienione w tym artykule, a z wielu incydentów wynika, że projektom zdarza się ignorować lub bagatelizować zagrożenia związane z bezpieczeństwem. GameFi to istotny aspekt przyszłości gier komputerowych. W związku z tym projekty powinny zawsze zwracać uwagę na kwestie związane z bezpieczeństwem i na pierwszym miejscu stawiać interesy swoich społeczności.

Dalsza Lektura


Wyłączenie Odpowiedzialności i Ostrzeżenie o Ryzyku: Niniejsza treść jest przedstawiona na zasadzie "tak jak jest'' wyłącznie w celach ogólnoinformacyjnych i edukacyjnych, bez reprezentacji lub gwarancji jakiegokolwiek rodzaju. Nie należy jej interpretować jako porady finansowej, prawnej ani innego rodzaju porady specjalistycznej. Nie ma ona również charakteru zachęty do zakupu jakiegokolwiek konkretnego produktu lub usługi. Użytkownik powinien zasięgnąć własnej porady u odpowiednich zawodowych doradców. Jeżeli artykuł jest napisany przez osobę z zewnątrz, należy pamiętać, że wyrażone poglądy są poglądami tej osoby i nie muszą odzwierciedlać poglądów Akademii Binance. Więcej informacji można znaleźć w naszym pełnym wyłączeniu odpowiedzialności tutaj. Ceny aktywów cyfrowych mogą być zmienne. Wartość Twojej inwestycji może spaść lub wzrosnąć i możesz nie odzyskać zainwestowanej kwoty. Ponosisz wyłączną odpowiedzialność za swoje decyzje inwestycyjne, a Akademia Binance nie ponosi odpowiedzialności za jakiekolwiek straty, jakie możesz ponieść. To nie jest porada z zakresu finansów, prawa ani innej dziedziny. Aby uzyskać więcej informacji, zapoznaj się z naszymi Warunkami Użytkowania i Ostrzeżeniem o Ryzyku.