Эта статья написана сообществом. Автор: Чжанчи Цин, аудитор смарт-контрактов в компании Salus Security, занимающейся комплексной безопасностью блокчейна.
Мнения, описанные в этой статье, принадлежат автору / создателю и необязательно отражают точку зрения Binance Academy.
Осторожно! Много текста
Распространенные риски безопасности в сфере GameFi можно разделить на две группы: ончейн-проблемы и офчейн-проблемы.
Ончейн-проблемы в основном связаны с использованием токенов ERC-20 и NFT, безопасностью кроссчейн-мостов и управлением децентрализованными автономными организациями (DAO).
Офчейн-проблемы обычно относятся к веб-интерфейсам и серверам.
Проекты GameFi должны уделять особое внимание обеспечению безопасности: проводить тщательный аудит, выявлять уязвимости, тестировать устойчивость к атакам, а также внедрять эффективные практики по осуществлению операций и контролю бизнеса.
Введение
GameFi объединяет блокчейн с игровыми элементами, создавая децентрализованные платформы с внутриигровыми активами и цифровыми валютами. Как правило, на этих платформах действует модель play-to-earn (P2E), в рамках которой игроки могут зарабатывать криптовалютные вознаграждения в процессе игры. GameFi также обеспечивает игрокам право собственности и полный контроль над своими внутриигровыми активами.
Индустрия GameFi набирает популярность и вместе с тем подвергается угрозам со стороны хакеров и взломщиков. При этом некоторые проекты пренебрегают мерами безопасности в пользу высокой скорости, из-за чего сообщество и сами создатели подвергаются риску значительных потерь.
Важность безопасности GameFi
В 2021 году сфера GameFi продемонстрировала впечатляющий рост благодаря своей модели play-to-earn («играй и зарабатывай»), которая предложила игрокам новые возможности заработка в процессе игры. А в 2022 году популярными стали проекты формата move-to-earn («двигайся и зарабатывай»), подчеркнувшие потенциал роста этой индустрии. В том же году GameFi стала ведущим сектором криптовалют: на нее приходилось около 9,5% от общего объема финансирования отрасли, а годовой рост составил более 118%.
Помимо возможностей заработка, GameFi отличается от традиционных игр тем, что пользователи рискуют реальными деньгами и могут понести значительные потери, если проект взломают. В худшем случае атака злоумышленников может привести к закрытию всего проекта.
К примеру, в 2022 году злоумышленники использовали лазейку в ноде удаленного вызова процедур (RPC) с целью получить подпись в проекте Axie Infinity. Они смогли вывести из этой игры ETH на сумму около $600 миллионов. Как видно из этого примера, безопасность очень важна, ведь любые уязвимости в проектах GameFi могут привести к огромным потерям как для инвесторов, так и для игроков.
Ончейн-проблемы безопасности
Уязвимости токенов ERC-20
Токены ERC-20 используются в проектах GameFi в качестве средства обмена, виртуальной валюты для внутриигровых покупок и вознаграждения для игроков.
Некорректная эмиссия монет и плохое управление токенами ERC-20 могут привести к возникновению брешей в системе безопасности проекта. Так, в процессе эмиссии может возникнуть проблема повторного использования. Если злоумышленники обнаружат лазейку в контракте, то смогут запустить многократное выполнение определенной функции, которое приведет к бесконечному созданию токенов.
Так как токены ERC-20 выступают в роли универсальной внутриигровой валюты, их стабильность и количество влияют на жизнеспособность самой игры. Следовательно, проекты должны устранять любые ошибки в кодах и строго контролировать общее предложение токенов ERC-20.
В 2022 году проект GameFi с моделью P2E под названием DeFi Kingdoms подвергся атаке, запустившей эмиссию токенов ERC-20. Игроки использовали уязвимость в коде для создания заблокированных нативных токенов, что привело к резкому падению их стоимости.
Уязвимости NFT
В проектах GameFi NFT являются внутриигровыми виртуальными активами, такими как снаряжение, аксессуары и сувениры. NFT обеспечивают игрокам право собственности на соответствующие предметы и могут поддерживать стабильную стоимость за счет контроля инфляции и дефицита. Однако из-за неправильного использования NFT проект может стать уязвимым.
Ценность NFT зависит от редкости связанного с ним предмета — обычно игроки заинтересованы в наиболее редких экземплярах. Иногда уровень редкости выбирают с помощью информации о блоке, такой как штампы времени. В таких случаях майнер-злоумышленник может манипулировать штампом времени для создания более редких NFT.
Даже надежный источник случайных значений, такой как Chainlink VRF (проверяемые рандомные функции), не способен устранить все риски. Злоумышленники способны отменять создание NFT с нежелательными ID до тех пор, пока не добудут редкий NFT.
Потенциальные уязвимости смарт-контракта могут также возникнуть во время торговли и перевода NFT. Возьмем, например, функцию safeTransferFrom(), которая используется для передачи NFT стандарта ERC-721. Если он передается на адрес контракта, то для ответного вызова будет запущена функция onERC721Received(). На этом этапе возникает потенциальный риск повторного использования, в рамках которого злоумышленники могут изменить логику функции onERC721Received().
Этот риск также актуален для NFT стандарта ERC-1155, где функция safeTransferFrom() вызывает onERC1155Received() и позволяет хакерам использовать действие снова.
Уязвимости мостов
Кроссчейн-мосты используются в GameFi для того, чтобы пользователи могли обмениваться игровыми активами между сетями. Они также повышают удобство и ликвидность проектов GameFi.
Одна из основных угроз для кроссчейн-мостов в сфере GameFi заключается в несоответствии между количеством внутриигровых активов. Контракты с обеих сторон моста должны гарантировать, что будет принято и сожжено одинаковое количество активов. Однако из-за лазеек в контрактах для проверки и учета злоумышленники могут скомпрометировать этот процесс и создать активы из ничего.
Уязвимости в управлении DAO
Многие проекты GameFi управляются организациями DAO, которые могут быть уязвимы по двум основным причинам. Во-первых, если большинство токенов управления будет принадлежать всего нескольким крупным игрокам, возникнут риски централизации. Во-вторых, смарт-контракты, определяющие правила управления DAO, могут быть взломаны с целью получения доступа к казначейству этого DAO.
Офчейн-проблемы безопасности
Большинство проектов GameFi все еще используют централизованные офчейн-сервера для внутренних операций, интерфейсов сайтов и мобильных приложений. На этих серверах хранится важная информация, в том числе данные игры и аккаунты владельцев, а потому они уязвимы для взлома и троянских программ.
В случае NFT метаданные содержат важную описательную информацию и хранятся офчейн в виде файлов JSON. Однако многие проекты GameFi хранят метаданные своих NFT на собственных централизованных серверах вместо того, чтобы использовать децентрализованную инфраструктуру вроде IPFS. Это повышает вероятность фальсификации метаданных вовлеченными сторонами или злоумышленниками, что нарушает права игроков.
В контексте кроссчейн-мостов злоумышленники могут получить подписи валидаторов или приватные ключи посредством взлома или фишинговых атак. Такая компрометация инфраструктуры позволит им захватить контроль над внутриигровыми активами.
Кроме того, во время передачи данных злоумышленники могут перехватить сетевой пакет и внедрить в него вредоносный код. Изменив пакет данных, они осуществят ложные пополнения баланса и используют сумму покупки одного актива для получения множества игровых предметов.
Еще одну возможность для проникновения в систему открывают внешние интерфейсы. К примеру, в случае утечки информации из таблицы лидеров какой-либо игры злоумышленники могут отправить на сервер полученные данные об адресе и запросить соответствующую конфиденциальную информацию.
Способы повышения безопасности
В целях обеспечения безопасности проектов GameFi крайне важно проявлять осторожность на каждом этапе. Устранение ошибок из кода смарт-контракта — это необходимое условие для создания успешного проекта GameFi, которое включает написание качественного кода, проведение регулярных аудитов и осуществление формальной проверки смарт-контрактов.
Помимо этого, необходимо поддерживать безопасность серверов и других компонентов инфраструктуры, а также проводить тестирование на устойчивость к взлому и выявлять возможные уязвимости. В системах на основе DApp и блокчейна тестирование на устойчивость к взлому подразумевает использование функций Web3. Поэтому в цифровых кошельках и децентрализованных протоколах необходимо соблюдать особые меры предосторожности.
Проекты GameFi также должны применять надежные практики, включая безопасный процесс выполнения операций и план реагирования на чрезвычайные ситуации. Чтобы операции выполнялись безопасно, необходимо отслеживать процедуры реагирования на угрозы, усиливать защитные меры и предлагать вознаграждения за обнаружение уязвимостей.
А чтобы проект комплексно реагировал на чрезвычайные ситуации, он должен обеспечить размещение стоп-лосса, отслеживание атак и анализ проблем.
В заключение
Уязвимости GameFi не ограничиваются примерами в этой статье. Они представляют угрозу, но, судя по прошлым случаям, многие проекты склонны игнорировать или преуменьшать возможные риски. И все же GameFi сыграет важную роль в развитии игрового пространства, а потому так важно уделять внимание вопросам безопасности и ставить интересы сообществ на первое место.
Рекомендуемая литература
Предупреждение о рисках и отказ от ответственности: следующие материалы предоставляются на условиях «как есть» без каких-либо гарантий исключительно для общих справочных и образовательных целей. Эта информация не должна рассматриваться как финансовая, юридическая консультация или рекомендация по приобретению какого-либо конкретного продукта или услуги. Вам следует самостоятельно обратиться за советом к соответствующим профессиональным консультантам. Поскольку статья написана сторонним автором, обратите внимание, что высказанные мнения принадлежат стороннему автору и необязательно отражают точку зрения Binance Academy. Для получения более подробной информации перейдите по ссылке. Стоимость цифровых активов может быть волатильной. Стоимость инвестированных средств может увеличиваться и уменьшаться. Вы можете не вернуть инвестированные средства. Вы несете полную ответственность за свои инвестиционные решения. Binance Academy не несет ответственность за ваши возможные убытки. Данная информация не является финансовой, юридической или профессиональной рекомендацией. Чтобы узнать больше, ознакомьтесь с нашими Условиями использования и Предупреждением о рисках.