Acest articol a fost trimis de un membru al comunității. Autorul este Zhangchi Qin, auditor de contracte inteligente la compania holistică de securitate blockchain Salus Security.
Opiniile din acest articol aparțin contributorului/autorului și nu reflectă neapărat opiniile Academiei Binance.
Puncte cheie:
Proiectele GameFi se confruntă cu diverse provocări de securitate care pot fi clasificate ca probleme on-chain și off-chain.
Provocările de securitate on-chain implică, în principal, gestionarea tokenurilor ERC-20 și a NFT-urilor, siguranța punților cross-chain și administrarea organizațiilor autonome descentralizate (DAO).
Provocările off-chain, pe de altă parte, țin, de obicei, de interfețele web și servere.
Proiectele GameFi ar trebui să acorde prioritate măsurilor de securitate, cum ar fi audituri riguroase, scanarea pentru vulnerabilități și teste de penetrare, precum și să implementeze cele mai bune practici operaționale și controale de afaceri.
Introducere
GameFi combină tehnologia blockchain cu jocurile pentru a crea platforme descentralizate cu active în joc și monede digitale. De obicei, prezintă un model play-to-earn (P2E) care permite jucătorilor să câștige recompense cripto. De asemenea, GameFi oferă jucătorilor dreptul de proprietate și control complet asupra activelor lor din joc.
Deși GameFi câștigă popularitate, se confruntă cu amenințări continue și semnificative din partea hackerilor pe tot parcursul ciclului său de viață. Unele proiecte pot pune accent pe viteză în detrimentul calității și, prin urmare, nu dispun de măsuri de securitate robuste, atât comunitatea, cât și creatorii fiind supuși unui risc de pierderi semnificative.
De ce este importantă securitatea în GameFi?
GameFi a cunoscut o creștere considerabilă în 2021, modelul său P2E oferind jucătorilor oportunități financiare noi în joc. În 2022, proiectele move-to-earn au evidențiat și mai mult potențialul de dezvoltare al GameFi. GameFi a fost sectorul de top al industriei cripto în 2022, reprezentând aproximativ 9,5% din finanțarea totală a industriei și o creștere de la an la an de peste 118%.
GameFi este diferit de jocurile tradiționale, deoarece există o miză mai mare pentru utilizatori și orice hack ar putea însemna pierderi semnificative pentru ei. În scenarii extreme, breșele de securitate ar putea falimenta un proiect.
De exemplu, atacatorii au exploatat un backdoor într-un nod Remote Procedure Call (RPC) pentru a obține o semnătură pentru proiectul GameFi Axie Infinity în 2022, permițând atacatorilor să efectueze retrageri neautorizate în valoare totală de aproape 600 de milioane de dolari în ETH. Orice vulnerabilități în proiectele GameFi ar putea duce la pierderi masive atât pentru investitori, cât și pentru jucători, subliniind importanța vitală a securității GameFi.
Provocări de securitate on-chain
Vulnerabilitățile tokenurilor ERC-20
Tokenurile ERC-20 sunt utilizate frecvent în proiectele GameFi ca monedă virtuală pentru achizițiile în joc, mecanisme de recompensă pentru jucători și mijloc de schimb.
Emisiunea și gestionarea necorespunzătoare a tokenurilor ERC-20 pot prezenta riscuri de securitate. O vulnerabilitate comună, numită reintrare, poate apărea în timpul procesului de emisiune. Atacurile pot exploata lacuna logicii unui contract pentru a executa în mod repetat o anumită funcție, ducând la emisiunea infinită a tokenurilor.
Ca monede universale în joc, stabilitatea și cantitatea tokenurilor ERC-20 determină gradul de divertisment și sustenabilitatea unui joc. Prin urmare, proiectele ar trebui să asigure logica codurilor și să controleze strict rezerva totală de tokenuri ERC-20.
Proiectul P2E GameFi DeFi Kingdoms a fost atacat prin emisiunea ilegală a unor tokenuri ERC-20 în 2022. Unii jucători au exploatat vulnerabilitatea codului pentru a emite tokenurile native blocate ale jocului, ceea ce a dus la prăbușirea ulterioară a prețului tokenului.
Vulnerabilitățile NFT-urilor
NFT-urile sunt utilizate în principal ca active virtuale în joc în proiectele GameFi, inclusiv echipamente, obiecte și suveniruri. Ele oferă jucătorilor drepturi clare de proprietate și pot menține o valoare stabilă prin controlul inflației și deficitului. Cu toate acestea, utilizarea necorespunzătoare a NFT-urilor poate introduce vulnerabilități de securitate.
Valoarea NFT-urilor se reflectă în raritatea echipamentelor sau a obiectelor, jucătorii căutând, de obicei, cele mai rare NFT-uri. În timpul procesului de emisiune a NFT-ului, informațiile legate de blocuri, cum ar fi marcajele temporale, pot fi folosite ca o sursă aleatorie slabă pentru generarea de NFT-uri cu diferite niveluri de raritate. Un miner poate manipula marcajul temporal al blocului într-o oarecare măsură, pentru a emite ilegal NFT-uri mai rare.
Nici măcar o sursă fiabilă de generare aleatorie, cum ar fi Chainlink VRF (Verifiable Random Function), nu înlătură toate riscurile. Utilizatorii rău intenționați pot revoca operațiunile în timp ce emit ID-uri de token NFT nedorite și pot repeta procesul până când este emis un NFT rar.
Atunci când jucătorii tranzacționează și transferă NFT-uri, pot apărea potențiale vulnerabilități ale contractelor inteligente. De exemplu, funcția safeTransferFrom() este utilizată pentru a transfera NFT-uri ERC-721. Când destinatarul este o adresă de contract, funcția onERC721Received() va fi declanșată pentru un callback. Apoi, există riscul potențial al atacurilor de reintrare, prin care atacatorii pot dicta logica în cadrul funcției onERC721Received().
Acest risc există și în cazul NFT-urilor ERC-1155, prin care funcția safeTransferFrom() declanșează funcția onERC1155Received() și permite atacatorilor să efectueze un atac de reintrare.
Vulnerabilitățile punților
Punțile cross-chain sunt folosite în GameFi pentru a permite utilizatorilor să facă schimb de active în joc prin diferite rețele. Ele sunt, de asemenea, esențiale pentru îmbunătățirea experiențelor și lichidității GameFi.
Un risc major al punților cross-chain în GameFi vine din inconsecvențele dintre activele din joc. Contractele de pe ambele părți ale punții ar trebui să garanteze că aceeași cantitate de active va fi acceptată și arsă. Cu toate acestea, din cauza lacunelor din contractele de verificare și contabilitate, atacatorii le pot compromite pentru a crea un număr mare de active din nimic.
Vulnerabilitățile administrării DAO
Multe proiecte GameFi sunt guvernate de DAO, ceea ce poate prezenta risc de centralizare dacă majoritatea tokenurilor de guvernare sunt deținute de câțiva actori mari. Contractele inteligente care definesc regulile de administrare DAO deschid un alt loc pentru potențiale compromisuri, deoarece atacatorii pot găsi modalități de a accesa trezoreria DAO.
Provocări de securitate off-chain
Majoritatea proiectelor GameFi depind încă de servere centralizate off-chain pentru operațiuni back-end, interfețe web sau aplicații mobile. Aceste servere găzduiesc informații vitale, inclusiv date din joc și conturi ale proprietarilor, și sunt vulnerabile la atacuri rău intenționate, cum ar fi penetrarea și malware-ul cal troian.
Când vine vorba de NFT-uri, metadatele conțin informații descriptive importante și sunt stocate off-chain ca fișiere JSON. Cu toate acestea, multe proiecte GameFi își stochează metadatele NFT pe propriile servere centralizate în loc să utilizeze infrastructura descentralizată precum IPFS. Acest lucru crește probabilitatea de manipulare a metadatelor de către părți afiliate sau atacatori, ceea ce ar putea încălca drepturile jucătorilor.
În contextul punților cross-chain, atacatorii pot obține semnăturile validatorilor sau cheile private prin atacuri de penetrare sau phishing. Ei pot compromite infrastructura și pot executa un exploit pentru a controla activele din joc.
În timpul transmiterii datelor, atacatorii pot deturna și injecta pachetul de rețea cu cod rău intenționat. Prin modificarea pachetului de date, atacatorii pot implementa reîncărcări false și pot folosi suma de achiziție a unității pentru a obține mai multe articole de joc.
Interfețele front-end oferă atacatorilor o altă cale de a se infiltra ilegal în sistem. Dacă apare o scurgere de informații în clasamentul unui joc, atacatorii pot trimite informațiile despre adresa scurgerii către server pentru a obține informațiile sensibile corespunzătoare.
Modalități de îmbunătățire a securității
Pentru a proteja proiectele GameFi, este esențial să fiți prudent în fiecare etapă. Asigurarea unor coduri de contract inteligente impecabile este fundamentul unui proiect GameFi de succes - aceasta implică scrierea unui cod de înaltă calitate, efectuarea de audituri periodice și utilizarea verificării oficiale a contractului inteligent.
Menținerea securității serverelor și a altor componente ale infrastructurii este, de asemenea, esențială; trebuie efectuate teste de penetrare pentru a detecta posibile vulnerabilități. Atunci când vine vorba de sisteme bazate pe DApp și blockchain, testele de penetrare aplică unele caracteristici ale Web3. Ca atare, sunt necesare precauții specifice pentru portofelele digitale și protocoalele descentralizate.
Proiectele GameFi ar trebui să respecte și alte bune practici, inclusiv un proces de rulare sigur și răspuns complet în caz de urgență. Primul implică monitorizarea evenimentelor de securitate declanșate, întărirea securității mediului și lansarea unor programe de recompensă pentru depistarea erorilor.
În același timp, proiectele trebuie să implementeze un proces complet de răspuns în caz de urgență, care să includă aspecte precum eliminarea în siguranță a sistemelor pentru a preveni accesul atacatorilor la acestea, urmărirea atacurilor și analiza problemelor.
Gânduri de încheiere
Vulnerabilitățile de securitate ale GameFi nu se limitează la cele menționate în acest articol și multe incidente au demonstrat că proiectele au ignorat sau au minimizat riscurile de securitate. GameFi este o parte semnificativă a viitorului jocurilor. Ca atare, proiectele ar trebui să acorde întotdeauna atenție problemelor de securitate și să pună pe primul loc interesele comunităților lor.
Materiale suplimentare
Declinarea răspunderii și avertisment privind riscurile: acest conținut vă este prezentat „ca atare” numai pentru informare generală și în scopuri educaționale, fără a oferi declarații sau garanții de vreun fel. Nu trebuie interpretat ca un sfat financiar, juridic sau de natură profesională și nici nu are scopul de a recomanda achiziționarea unui anumit produs sau serviciu. Ar trebui să solicitați sfaturi de la consilierii profesioniști corespunzători. În cazul în care articolul reprezintă contribuția unui colaborator terț, rețineți că acele opinii exprimate aparțin colaboratorului terț și nu reflectă neapărat opiniile Academiei Binance. Vă rugăm să citiți declinarea completă a răspunderii aici pentru mai multe detalii. Prețurile activelor digitale pot fi volatile. Valoarea investiției dvs. poate scădea sau crește și este posibil să nu primiți înapoi suma investită. Sunteți singura persoană responsabilă pentru deciziile dvs. de investiții, iar Academia Binance nu este responsabilă pentru eventualele pierderi suferite. Acest material nu trebuie interpretat ca un sfat financiar, juridic sau de natură profesională. Pentru mai multe informații, consultați Termenii de utilizare și Avertismentul privind riscurile.