Quais são os problemas de segurança mais comuns no setor GameFi?
P√°gina Inicial
Artigos
Quais são os problemas de segurança mais comuns no setor GameFi?

Quais são os problemas de segurança mais comuns no setor GameFi?

Avançado
Publicado em Mar 31, 2023Atualizado em Aug 3, 2023
7m

Este artigo é um envio da comunidade. O autor é Zhangchi Qin, auditor de contratos inteligentes na empresa de segurança em blockchain, Salus Security. 

As opini√Ķes expressas neste artigo s√£o do colaborador/autor e n√£o refletem necessariamente as da Binance Academy.

TLDR:

  • Os projetos GameFi enfrentam v√°rios desafios de seguran√ßa que podem ser classificados como problemas on-chain e off-chain.¬†

  • Os desafios de seguran√ßa on-chain envolvem principalmente o gerenciamento de tokens ERC-20 e NFTs, a seguran√ßa de "pontes" entre blockchains (cross-chain bridges) e a governan√ßa de organiza√ß√Ķes aut√īnomas descentralizadas (DAOs).¬†

  • Por outro lado, os desafios off-chain est√£o geralmente relacionados a interfaces da web e servidores.¬†

  • Os projetos GameFi devem priorizar medidas de seguran√ßa, como auditorias rigorosas, varreduras de vulnerabilidades e testes de invas√£o, al√©m de implementar as melhores pr√°ticas operacionais e controles empresariais.

Introdução 

O GameFi combina a tecnologia blockchain com jogos para criar plataformas descentralizadas que contam com moedas digitais e ativos dentro do jogo. Normalmente, essa combinação apresenta um modelo play-to-earn (P2E) que permite aos jogadores ganhar recompensas em criptomoedas. O GameFi também oferece aos jogadores a verdadeira propriedade e controle total sobre seus ativos dentro do jogo.

Embora o setor GameFi esteja ganhando popularidade, ele enfrenta sérias ameaças de ataques de hackers o tempo todo. Alguns projetos podem priorizar a velocidade em detrimento da qualidade, e, consequentemente, não ter medidas de segurança robustas. Isso aumenta os riscos de perdas significativas tanto para a comunidade quanto para os criadores e desenvolvedores.

Por que a segurança é tão importante no setor GameFi? 

O GameFi teve um crescimento significativo em 2021, com seu modelo P2E oferecendo aos jogadores novas oportunidades financeiras dentro dos jogos. Em 2022, os projetos move-to-earn destacaram ainda mais o potencial de crescimento do GameFi. Em 2022, o GameFi foi o setor de destaque no mercado de criptomoedas, representando aproximadamente 9,5% do investimento total da ind√ļstria e apresentando um crescimento anual de mais de 118%.

O GameFi √© diferente dos jogos tradicionais, j√° que h√° mais em jogo para os usu√°rios e ataques de hackers podem causar perdas significativas. Em casos extremos, viola√ß√Ķes de seguran√ßa podem levar ao fim de um projeto.¬†

Em 2022, um exemplo disso foi quando hackers exploraram uma brecha de seguran√ßa em um node de chamada de procedimento remoto (Remote Procedure Call - RPC) para obter uma assinatura no projeto GameFi Axie Infinity. Isso permitiu que eles realizassem saques n√£o autorizados, roubando um total de quase US$ 600 milh√Ķes em ETH. Qualquer vulnerabilidade em um projeto GameFi pode resultar em perdas enormes tanto para investidores quanto para jogadores, por isso a seguran√ßa √© t√£o importante no setor GameFi.

Desafios de segurança on-chain 

Vulnerabilidades dos tokens ERC-20 

Os tokens ERC-20 são frequentemente usados em projetos GameFi como moeda virtual para compras no jogo, mecanismos de recompensa para jogadores e como meio de troca. 

A emissão e gestão inadequadas de tokens ERC-20 podem trazer riscos de segurança. Durante o processo de emissão, é possível surgir uma vulnerabilidade comum conhecida como "reentrancy" (ou "ataque de reentrada"). Ataques podem explorar a falha lógica em um contrato para executar repetidamente uma função específica, resultando na emissão infinita de tokens.

Como moedas universais dos jogos, a estabilidade e quantidade dos tokens ERC-20 determinam a jogabilidade e sustentabilidade de um jogo. Por isso, os projetos devem garantir a lógica dos códigos e controlar rigorosamente o fornecimento total de tokens ERC-20. 

Em 2022, o DeFi Kingdoms, um projeto GameFi P2E, foi alvo de um ataque que envolveu a emissão de tokens ERC-20. Alguns jogadores exploraram a vulnerabilidade lógica para emitir tokens nativos que estavam bloqueados, o que fez com que o preço dos tokens caísse drasticamente.

Vulnerabilidades dos NFTs 

Em projetos GameFi, os NFTs são usados principalmente como ativos virtuais do jogo, como equipamentos, acessórios e brindes. Eles oferecem aos jogadores a real propriedade de seus ativos e conseguem manter um valor estável por meio do controle da inflação e da escassez. Contudo, a utilização inadequada dos NFTs pode trazer vulnerabilidades de segurança.

O valor dos NFTs est√° relacionado √† raridade dos equipamentos ou acess√≥rios, o que leva os jogadores a buscar os NFTs mais raros. Durante o processo de cria√ß√£o de NFTs, informa√ß√Ķes relacionadas aos blocos, como timestamps (data/hora), podem ser usados como uma fonte de aleatoriedade fraca para gerar NFTs com diferentes n√≠veis de raridade. Um minerador pode manipular o timestamp do bloco para, de forma fraudulenta, emitir NFTs mais raros.¬†

Mesmo uma fonte confi√°vel de aleatoriedade, como o Chainlink VRF (Verifiable Random Function), n√£o elimina todos os riscos. Usu√°rios mal-intencionados podem cancelar opera√ß√Ķes durante a emiss√£o de NFTs indesejados e repetir o processo at√© conseguirem criar um NFT raro.

Ao negociar e transferir NFTs, os jogadores podem enfrentar possíveis vulnerabilidades nos contratos inteligentes. Por exemplo, a função safeTransferFrom() é usada para transferir NFTs padrão ERC-721. Quando o destinatário é um endereço de contrato, a função onERC721Received() será acionada para um callback (chamada de retorno). Existe, portanto, o risco potencial de ataques de reentrada, onde os hackers podem controlar a lógica da função onERC721Received(). 

Esse risco também se aplica aos NFTs ERC-1155, onde a função safeTransferFrom() aciona a função onERC1155Received(), permitindo que os hackers realizem um ataque de reentrada.

Vulnerabilidades de bridges 

Cross-chain bridges são usadas no setor GameFi para permitir que os usuários troquem ativos do jogo em diferentes redes. Elas também são essenciais para aprimorar as experiências e a liquidez de projetos GameFi.

Um grande risco de cross-chain bridges no GameFi vem das inconsistências que podem existir entre os ativos dos jogos. Os contratos em ambos os lados da bridge devem garantir que a quantidade correta de ativos seja aceita e queimada. No entanto, devido a brechas nos contratos de verificação e contabilidade, os invasores podem explorá-los para criar uma grande quantidade de ativos "do nada".

Vulnerabilidades na governança de DAOs 

Muitos projetos GameFi são gerenciados por DAOs, o que pode introduzir o risco de centralização se a maioria dos tokens de governança pertencer a poucos participantes com muitos tokens. Contratos inteligentes que estabelecem as regras de governança das DAOs abrem outra porta para possíveis vulnerabilidades, uma vez que os invasores podem encontrar maneiras de acessar o tesouro da DAO.

Desafios de segurança off-chain 

A maioria dos projetos GameFi ainda depende de servidores centralizados off-chain para opera√ß√Ķes de back-end, interfaces da web ou aplicativos para dispositivos m√≥veis. Esses servidores armazenam informa√ß√Ķes cr√≠ticas, incluindo dados de jogos e contas, e s√£o vulner√°veis a ataques de hackers, como invas√Ķes e malwares como Trojan.¬†

No caso dos NFTs, os metadados cont√™m informa√ß√Ķes descritivas importantes e s√£o armazenados off-chain como arquivos JSON. No entanto, muitos projetos GameFi armazenam seus metadados de NFTs em seus pr√≥prios servidores centralizados em vez de utilizar uma infraestrutura descentralizada como o IPFS. Isso aumenta a possibilidade de manipula√ß√£o de metadados por parte de terceiros ou invasores, o que pode caracterizar viola√ß√£o dos direitos dos jogadores.

No contexto de cross-chain bridges, hackers podem obter assinaturas de validadores ou chaves privadas atrav√©s de invas√Ķes ou ataques de phishing. Eles podem comprometer toda a infraestrutura e aproveitar uma vulnerabilidade para controlar os ativos do jogo.

Durante a transmissão de dados, um invasor pode executar um ataque "man-in-the-middle" e inserir códigos maliciosos em um pacote de rede. Ao modificar o pacote de dados, os hackers podem realizar falsas recargas e usar o valor da compra para obter mais itens do jogo. 

As interfaces de front-end proporcionam aos invasores mais uma forma de invadir o sistema. Caso ocorra uma falha de seguran√ßa no ranking de um jogo, os invasores podem obter informa√ß√Ķes confidenciais de outros usu√°rios.

Maneiras de melhorar a segurança

Para garantir a seguran√ßa dos projetos GameFi, √© crucial ter cautela em todas as etapas. Garantir o uso de c√≥digos de contrato inteligente impec√°veis √© a base de um projeto GameFi bem-sucedido ‚ÄĒ isso inclui programa√ß√£o de alta qualidade, auditorias regulares e a verifica√ß√£o formal do contrato inteligente.¬†

A seguran√ßa dos servidores e outros componentes de infraestrutura √© um fator igualmente cr√≠tico; testes de seguran√ßa devem ser realizados para identificar poss√≠veis vulnerabilidades. Em sistemas baseados em blockchain e DApps, os testes de seguran√ßa usam recursos da Web3. Portanto, s√£o necess√°rias precau√ß√Ķes espec√≠ficas para carteiras digitais e protocolos descentralizados.

Os projetos GameFi também devem aderir a outras práticas recomendadas, incluindo um processo de tempo de execução segura e de resposta de emergência. O primeiro processo é usado para monitorar eventos de segurança, aprimorar a segurança do ambiente e oferecer recompensas para usuários que reportam bugs.

Ao mesmo tempo, √© importante que os projetos desenvolvam um processo completo de resposta a emerg√™ncias, que inclua a√ß√Ķes como conten√ß√£o de perdas, rastreamento de ataques e an√°lise de problemas.

Considera√ß√Ķes finais

As vulnerabilidades de seguran√ßa em projetos GameFi v√£o al√©m das mencionadas neste artigo e muitos incidentes t√™m demonstrado que alguns desenvolvedores ignoram ou subestimam os riscos de seguran√ßa. O setor GameFi √© um componente importante do futuro dos jogos. Sendo assim, os projetos devem sempre estar atentos √†s quest√Ķes de seguran√ßa e priorizar os interesses de suas comunidades.

Leituras adicionais


Aviso de Risco e Isen√ß√£o de Responsabilidade: este conte√ļdo √© apresentado a voc√™ ‚Äúno estado em que se encontra‚Äú apenas para fins informativos e educacionais, sem qualquer tipo de garantia. O conte√ļdo n√£o deve ser interpretado como aconselhamento financeiro, jur√≠dico ou profissional e n√£o tem o objetivo de recomendar a compra de qualquer produto ou servi√ßo espec√≠fico. Recomendamos que voc√™ consulte profissionais especializados. No caso de contribui√ß√Ķes e artigos enviados por colaboradores terceirizados, note que as opini√Ķes expressas pertencem ao respectivo autor e n√£o refletem necessariamente as opini√Ķes da Binance Academy. Para mais detalhes, por favor leia nosso aviso aqui. Os pre√ßos dos ativos digitais podem ser vol√°teis. O valor do seu investimento pode aumentar ou diminuir e voc√™ pode n√£o recuperar o valor investido. Voc√™ √© o √ļnico respons√°vel por suas decis√Ķes de investimento e a Binance Academy n√£o se responsabiliza por nenhuma de suas poss√≠veis perdas. Este material n√£o deve ser interpretado como aconselhamento financeiro, jur√≠dico ou profissional. Para mais informa√ß√Ķes, por favor consulte nossos Termos de Uso e Aviso de Risco.