Jakie S膮 Najcz臋stsze Problemy Zwi膮zane z Bezpiecze艅stwem w GameFi?
Strona G艂贸wna
Artyku艂y
Jakie S膮 Najcz臋stsze Problemy Zwi膮zane z Bezpiecze艅stwem w GameFi?

Jakie S膮 Najcz臋stsze Problemy Zwi膮zane z Bezpiecze艅stwem w GameFi?

Zaawansowany
Opublikowane Mar 31, 2023Zaktualizowane Aug 3, 2023
7m

Ten artyku艂 zosta艂 nades艂any przez cz艂onk贸w spo艂eczno艣ci. Autorem jest Zhangchi Qin, audytor smart kontrakt贸w w firmie Salus Security zajmuj膮cej si臋 ca艂o艣ciowym bezpiecze艅stwem sieci blockchain.聽

Pogl膮dy zawarte w tym artykule s膮 pogl膮dami autora / wsp贸艂autora i nie musz膮 odzwierciedla膰 pogl膮d贸w Akademii Binance.

Skr贸t:

  • Projekty GameFi borykaj膮 si臋 z r贸偶nymi problemami w zakresie bezpiecze艅stwa, kt贸re mo偶na sklasyfikowa膰 jako problemy on-chain i off-chain.聽

  • Problemy w zakresie bezpiecze艅stwa on-chain dotycz膮 g艂贸wnie zarz膮dzania tokenami ERC-20 i NFT, bezpiecze艅stwa most贸w cross-chain oraz zarz膮dzania decentralized autonomous organization (DAO).聽

  • Z kolei problemy off-chain s膮 zwykle zwi膮zane z interfejsami sieciowymi i serwerami.聽

  • Projekty GameFi powinny traktowa膰 priorytetowo 艣rodki bezpiecze艅stwa, np. rygorystyczne audyty, kontrol臋 podatno艣ci na ataki oraz testy odporno艣ci na przenikanie, a tak偶e wdra偶a膰 najlepsze praktyki i kontrole dzia艂alno艣ci.

Wprowadzenie聽

GameFi tworzy zdecentralizowane platformy zawieraj膮ce aktywa growe i waluty cyfrowe poprzez 艂膮czenie technologii blockchain z grami. Zazwyczaj dzia艂a w modelu play-to-earn (P2E), kt贸ry umo偶liwia graczom zdobywanie nagr贸d w postaci kryptowalut. GameFi daje r贸wnie偶 graczom prawdziw膮 w艂asno艣膰 i pe艂n膮 kontrol臋 nad w艂asnymi aktywami w grze.

Chocia偶 GameFi zyskuje na popularno艣ci, od pocz膮tku boryka si臋 z nieustannymi i powa偶nymi zagro偶eniami hakerskimi. Niekt贸re projekty przedk艂adaj膮 szybko艣膰 nad jako艣膰 i dlatego nie maj膮 solidnych zabezpiecze艅, nara偶aj膮c zar贸wno spo艂eczno艣膰, jak i tw贸rc贸w na znaczne straty.

Dlaczego Bezpiecze艅stwo GameFi Jest Wa偶ne?聽

Sektor GameFi odnotowa艂 znaczny wzrost w 2021 roku dzi臋ki modelowi P2E, kt贸ry daje graczom nowe mo偶liwo艣ci finansowe w grach. W 2022 roku potencja艂 wzrostowy GameFi jeszcze bardziej uwydatni艂y projekty move-to-earn. Bran偶a GameFi by艂a czo艂owym sektorem krypto w 2022 roku 鈥 mia艂a udzia艂 na poziomie oko艂o 9,5% w ca艂kowitym finansowaniu bran偶y, a jej wzrost rok do roku wyni贸s艂 ponad 118%.

GameFi r贸偶ni si臋 od gier tradycyjnych, poniewa偶 u偶ytkownicy maj膮 tu wi臋cej do stracenia i ka偶dy hack mo偶e dla nich oznacza膰 znaczne straty. W skrajnych sytuacjach naruszenie bezpiecze艅stwa mo偶e prowadzi膰 do zako艅czenia projektu.聽

Np. w roku 2022 atakuj膮cy wykorzystali luk臋 w zabezpieczeniach w臋z艂a zdalnego wywo艂ania procedury (RPC), aby uzyska膰 podpis na projekcie GameFi Axie Infinity, co umo偶liwi艂o im przeprowadzenie nieautoryzowanych wyp艂at o 艂膮cznej warto艣ci prawie 600 mln $ w ETH. Wszelkie s艂abe punkty w projektach GameFi mog膮 prowadzi膰 do ogromnych strat zar贸wno w艣r贸d inwestor贸w, jak i graczy, co uwydatnia kluczowe znaczenie bezpiecze艅stwa GameFi.

Problemy Zwi膮zane z Bezpiecze艅stwem w Trybie On-chain聽

S艂abe punkty token贸w ERC-20聽

Tokeny ERC-20 w projektach GameFi cz臋sto pe艂ni膮 rol臋 wirtualnej waluty do zakup贸w w grze, mechanizm贸w nagradzania graczy oraz 艣rodka wymiany.聽

Nieprawid艂owo艣ci w zarz膮dzaniu tokenami ERC-20 oraz ich wybijaniu mog膮 skutkowa膰 zagro偶eniami bezpiecze艅stwa. Jedna z typowych luk, tzw. wielobie偶no艣膰, mo偶e si臋 pojawi膰 podczas procesu mintowania. Hakerzy mog膮 wykorzysta膰 luk臋 logiczn膮 w kontrakcie, aby wielokrotnie wykona膰 okre艣lon膮 funkcj臋, co skutkuje niesko艅czonym mintowaniem token贸w.

Stabilno艣膰 oraz ilo艣膰 token贸w ERC-20 jako uniwersalnych walut w grze decyduje o jej grywalno艣ci i trwa艂o艣ci. Dlatego te偶 projekty powinny dba膰 o logik臋 kod贸w i 艣ci艣le kontrolowa膰 ca艂kowit膮 poda偶 token贸w ERC-20.聽

Projekt GameFi P2E DeFi Kingdoms w 2022 roku pad艂 ofiar膮 z艂o艣liwego mintowania token贸w ERC-20. Kilku graczy przez luk臋 logiczn膮 mintowa艂o zablokowane tokeny natywne gry, doprowadzaj膮c w konsekwencji do gwa艂townego spadku ich ceny.

S艂abe punkty NFT聽

NFT pe艂ni膮 w projektach GameFi przede wszystkim rol臋 wirtualnych aktyw贸w growych, np. wyposa偶enia, rekwizyt贸w i pami膮tek. Zapewniaj膮 graczom jasno艣膰 w zakresie w艂asno艣ci i s膮 w stanie zachowa膰 stabiln膮 warto艣膰 dzi臋ki ograniczaniu inflacji oraz dzi臋ki temu, 偶e s膮 towarem deficytowym. Jednak niew艂a艣ciwe u偶ycie NFT mo偶e skutkowa膰 lukami bezpiecze艅stwa.

Warto艣膰 NFT znajduje odzwierciedlenie w rzadko艣ci sprz臋tu lub rekwizyt贸w, a gracze zazwyczaj poszukuj膮 najrzadszych NFT. W trakcie mintowania tokena NFT informacje zwi膮zane z blokiem, takie jak np. znaczniki czasu, mog膮 pe艂ni膰 funkcj臋 s艂abego 藕r贸d艂a losowego do generowania NFT o r贸偶nych poziomach rzadko艣ci. G贸rnik mo偶e do pewnego stopnia zmanipulowa膰 znacznik czasu bloku i z艂o艣liwie zmintowa膰 rzadsze NFT.聽

Nawet niezawodne 藕r贸d艂o losowo艣ci, np. Chainlink VRF (Verifiable Random Function), nie eliminuje wszystkich zagro偶e艅. U偶ytkownicy o z艂ych intencjach mog膮 cofa膰 operacje w przypadku mintowania niechcianych ID token贸w NFT i powtarza膰 procedur臋, dop贸ki nie uda si臋 zmintowa膰 rzadkiego tokena NFT.

Kiedy gracze handluj膮 i przesy艂aj膮 NFT, mog膮 si臋 pojawia膰 potencjalne s艂abe punkty w smart kontraktach. Dla przyk艂adu, funkcja safeTransferFrom() s艂u偶y do przesy艂ania NFT ERC-721. Kiedy adresem odbiorczym jest adres kontraktu, dochodzi do wywo艂ania funkcji onERC721Received() na potrzeby wywo艂ania zwrotnego. W konsekwencji zachodzi potencjalne ryzyko atak贸w wielobie偶nych, dzi臋ki kt贸rym atakuj膮cy mog膮 dyktowa膰 logik臋 w ramach funkcji onERC721Received().聽

Ryzyko takie zachodzi r贸wnie偶 przy tokenach NFT ERC-1155, w przypadku kt贸rych funkcja safeTransferFrom() uruchamia funkcj臋 onERC1155Received() i umo偶liwia atakuj膮cym przeprowadzenie ataku wielobie偶nego.

S艂abe punkty most贸w聽

Mosty cross-chain umo偶liwiaj膮 u偶ytkownikom w GameFi wymian臋 aktyw贸w growych pomi臋dzy r贸偶nymi sieciami. Maj膮 r贸wnie偶 kluczowe znaczenie dla poprawy odbioru i p艂ynno艣ci GameFi.

Jednym z g艂贸wnych zagro偶e艅 dla most贸w cross-chain w GameFi s膮 niesp贸jno艣ci pomi臋dzy aktywami growymi. Kontrakty po obu stronach mostu powinny gwarantowa膰 przyj臋cie i spalenie takiej samej kwoty aktyw贸w. Jednak ze wzgl臋du na luki w kontraktach zwi膮zane z weryfikacj膮 oraz rozliczaniem hakerzy mog膮 je os艂abia膰 i tworzy膰 z niczego du偶膮 liczb臋 aktyw贸w.

S艂abe punkty zarz膮dzania DAO聽

Wieloma projektami GameFi zarz膮dzaj膮 organizacje DAO, co mo偶e si臋 wi膮za膰 z ryzykiem centralizacji, je偶eli w艂a艣cicielami wi臋kszo艣ci token贸w jest kilka du偶ych podmiot贸w. Smart kontrakty, kt贸re okre艣laj膮 zasady zarz膮dzania DAO, to kolejne potencjalne s艂abe punkty, poniewa偶 osoby atakuj膮ce mog膮 znale藕膰 spos贸b na uzyskanie dost臋pu do skarbca DAO.

Problemy Zwi膮zane z Bezpiecze艅stwem w Trybie Off-chain聽

Dzia艂anie operacji administracyjnych, interfejs贸w internetowych oraz aplikacji mobilnych wi臋kszo艣ci projekt贸w GameFi wci膮偶 zale偶y od scentralizowanych serwer贸w w trybie off-chain. Na tych serwerach znajduj膮 si臋 krytyczne informacje, np. dane gier oraz konta w艂a艣cicieli, i s膮 one nara偶one na z艂o艣liwe ataki penetracyjne oraz konie troja艅skie.聽

Je偶eli chodzi o NFT, metadane zawieraj膮 wa偶ne informacje opisowe i s膮 przechowywane off-chain jako pliki JSON. Jednak wiele projekt贸w GameFi przechowuje swoje metadane NFT na w艂asnych scentralizowanych serwerach, zamiast korzysta膰 ze zdecentralizowanej infrastruktury takiej jak IPFS. Zwi臋ksza to prawdopodobie艅stwo zmanipulowania metadanych przez podmioty powi膮zane lub napastnik贸w, co mo偶e prowadzi膰 do naruszenia praw graczy.

W kontek艣cie most贸w cross-chain napastnicy mog膮 uzyskiwa膰 podpisy walidator贸w lub klucze prywatne poprzez ataki penetracyjne, lub phishingowe. Mog膮 nara偶a膰 na szwank infrastruktur臋 i przeprowadza膰 exploity, aby przej膮膰 kontrol臋 nad aktywami w grze.

Podczas przesy艂ania danych napastnik mo偶e przej膮膰 pakiet sieciowy i wstrzykn膮膰 do niego z艂o艣liwy kod. Modyfikuj膮c pakiet danych, atakuj膮cy mo偶e zrealizowa膰 fa艂szywe do艂adowania i uzyska膰 wi臋cej artyku艂贸w growych za jednostkow膮 kwot臋 zakupu.聽

Kolejn膮 drog臋 do z艂o艣liwej infiltracji systemu stanowi膮 dla napastnik贸w interfejsy u偶ytkownika. Je偶eli w tabeli wynik贸w jednej gry nast膮pi wyciek informacji, napastnicy mog膮 uzyska膰 odpowiednie informacje wra偶liwe, wysy艂aj膮c wyciek艂e informacje zwi膮zane z adresem do serwera.

Metody Poprawy Bezpiecze艅stwa

Aby zabezpieczy膰 projekty GameFi, nale偶y zachowa膰 ostro偶no艣膰 na ka偶dym etapie. Zapewnienie bezb艂臋dnych kod贸w smart kontrakt贸w to podstawa udanego projektu GameFi 鈥 wi膮偶e si臋 to z pisaniem wysokiej jako艣ci kodu, przeprowadzaniem regularnych audyt贸w oraz stosowaniem formalnej weryfikacji smart kontrakt贸w.聽

Krytyczne znaczenie ma r贸wnie偶 utrzymanie bezpiecze艅stwa serwer贸w i innych element贸w infrastruktury. Nale偶y prowadzi膰 kontrole podatno艣ci, aby wykrywa膰 ewentualne s艂abe punkty. W przypadku system贸w opartych na aplikacjach DApp i sieciach blockchain kontrole podatno艣ci wi膮偶膮 si臋 z charakterystyk膮 Web3. W zwi膮zku z tym w przypadku portfeli cyfrowych i protoko艂贸w zdecentralizowanych konieczne s膮 szczeg贸lne 艣rodki ostro偶no艣ci.

Projekty GameFi powinny r贸wnie偶 przestrzega膰 innych najlepszych praktyk, w tym bezpiecznego procesu uruchamiania i pe艂nej reakcji na sytuacje awaryjne. Pierwsza z nich polega na monitorowaniu wyzwalanych zdarze艅 bezpiecze艅stwa, uodparnianiu zabezpiecze艅 艣rodowiska i organizowaniu program贸w zg艂aszania b艂臋d贸w typu bug bounty.

Jednocze艣nie projekty musz膮 opracowa膰 kompletne procedury reagowania na sytuacje kryzysowe, kt贸re obejmuj膮 takie aspekty, jak usuwanie strat, rejestrowanie atak贸w i analiza problem贸w.

Wnioski Ko艅cowe

Luki w zakresie bezpiecze艅stwa GameFi wykraczaj膮 poza przyk艂ady wymienione w tym artykule, a z wielu incydent贸w wynika, 偶e projektom zdarza si臋 ignorowa膰 lub bagatelizowa膰 zagro偶enia zwi膮zane z bezpiecze艅stwem. GameFi to istotny aspekt przysz艂o艣ci gier komputerowych. W zwi膮zku z tym projekty powinny zawsze zwraca膰 uwag臋 na kwestie zwi膮zane z bezpiecze艅stwem i na pierwszym miejscu stawia膰 interesy swoich spo艂eczno艣ci.

Dalsza Lektura


Wy艂膮czenie Odpowiedzialno艣ci i Ostrze偶enie o Ryzyku: Niniejsza tre艣膰 jest przedstawiona na zasadzie "tak jak jest'' wy艂膮cznie w celach og贸lnoinformacyjnych i edukacyjnych, bez reprezentacji lub gwarancji jakiegokolwiek rodzaju. Nie nale偶y jej interpretowa膰 jako porady finansowej, prawnej ani innego rodzaju porady specjalistycznej. Nie ma ona r贸wnie偶 charakteru zach臋ty do zakupu jakiegokolwiek konkretnego produktu lub us艂ugi. U偶ytkownik powinien zasi臋gn膮膰 w艂asnej porady u odpowiednich zawodowych doradc贸w. Je偶eli artyku艂 jest napisany przez osob臋 z zewn膮trz, nale偶y pami臋ta膰, 偶e wyra偶one pogl膮dy s膮 pogl膮dami tej osoby i nie musz膮 odzwierciedla膰 pogl膮d贸w Akademii Binance. Wi臋cej informacji mo偶na znale藕膰 w naszym pe艂nym wy艂膮czeniu odpowiedzialno艣ci tutaj. Ceny aktyw贸w cyfrowych mog膮 by膰 zmienne. Warto艣膰 Twojej inwestycji mo偶e spa艣膰 lub wzrosn膮膰 i mo偶esz nie odzyska膰 zainwestowanej kwoty. Ponosisz wy艂膮czn膮 odpowiedzialno艣膰 za swoje decyzje inwestycyjne, a Akademia Binance nie ponosi odpowiedzialno艣ci za jakiekolwiek straty, jakie mo偶esz ponie艣膰. To nie jest porada z zakresu finans贸w, prawa ani innej dziedziny. Aby uzyska膰 wi臋cej informacji, zapoznaj si臋 z naszymi Warunkami U偶ytkowania i Ostrze偶eniem o Ryzyku.