Ak├ę s├║ be┼żn├ę bezpe─Źnostn├ę probl├ęmy v┬áGameFi?
Domov
Články
Ak├ę s├║ be┼żn├ę bezpe─Źnostn├ę probl├ęmy v┬áGameFi?

Ak├ę s├║ be┼żn├ę bezpe─Źnostn├ę probl├ęmy v┬áGameFi?

Roz┼í├şren├ę
Zverejnen├ę Mar 31, 2023Aktualizovan├ę Dec 11, 2023
7m

Tento ─Źl├ínok je komunitn├Ż pr├şspevok. Autorom je Zhangchi Qin, aud├ştor smart kontraktov v┬áspolo─Źnosti Salus Security, ktor├í sa zameriava na holistick├║ bezpe─Źnos┼ą blockchainov.┬á

N├ízory uveden├ę v┬átomto ─Źl├ínku s├║ n├ízory prispievate─ża/autora a┬ánemusia nevyhnutne odr├í┼ża┼ą n├ízory Akad├ęmie Binance.

Zhrnutie:

  • Projekty GameFi ─Źelia r├┤znym bezpe─Źnostn├Żm v├Żzvam, ktor├ę mo┼żno rozdeli┼ą na v├Żzvy v┬ár├ímci blockchainu a┬ámimo neho.┬á

  • Medzi v├Żzvy v┬áoblasti bezpe─Źnosti v┬ár├ímci blockchainu patria najm├Ą spr├íva tokenov ERC-20 a┬áNFT, bezpe─Źnos┼ą medzisie┼ąov├Żch mostov a┬áriadenie decentralizovanej auton├│mnej organiz├ície (DAO).┬á

  • Na druhej strane, v├Żzvy mimo blockchainu sa zvy─Źajne t├Żkaj├║ webov├Żch rozhran├ş a┬áserverov.┬á

  • Projekty GameFi by mali uprednost┼łova┼ą pou┼ż├şvanie bezpe─Źnostn├Żch opatren├ş, napr├şklad pr├şsne audity, skenovanie zranite─żnost├ş a┬ápenetra─Źn├ę testovanie, ako aj implementova┼ą najlep┼íie prev├ídzkov├ę postupy a┬ákontroly.

Úvod 

GameFi je kombin├ícia technol├│gie blockchain s┬áhran├şm hier. Vytv├íra decentralizovan├ę platformy s┬áakt├şvami v┬áhr├ích a┬ádigit├ílnymi menami. Zvy─Źajne obsahuje model play-to-earn (P2E), ktor├Ż umo┼ż┼łuje hr├í─Źom zar├íba┼ą odmeny v┬ákryptomen├ích. GameFi tie┼ż d├íva hr├í─Źom skuto─Źn├ę vlastn├şctvo a┬á├║pln├║ kontrolu nad ich akt├şvami v┬áhre.

Zatia─ż ─Źo GameFi z├şskava na popularite, po─Źas cel├ęho ┼żivotn├ęho cyklu ─Źel├ş neust├ílym a┬áv├Żznamn├Żm hrozb├ím zo strany hackerov. Niektor├ę projekty m├┤┼żu uprednost┼łova┼ą r├Żchlos┼ą pred kvalitou, a┬ápreto im ch├Żbaj├║ robustn├ę bezpe─Źnostn├ę opatrenia, ─Źo vystavuje komunitu aj tvorcov riziku zna─Źn├Żch str├ít.

Pre─Źo je bezpe─Źnos┼ą GameFi d├┤le┼żit├í?┬á

V─Ćaka modelu P2E, ktor├Ż hr├í─Źom pon├║ka nov├ę finan─Źn├ę pr├şle┼żitosti v┬áhre, zaznamenali projekty GameFi v┬ároku 2021 zna─Źn├Ż rast. V┬ároku 2022 projekty typu move-to-earn e┼íte viac zv├Żraznili rastov├Ż potenci├íl GameFi. GameFi bol v┬ároku 2022 naj├║spe┼ínej┼í├şm sektorom kryptomien, pri─Źom predstavoval pribli┼żne 9,5┬á% celkov├ęho financovania odvetvia. Zaznamenal medziro─Źn├Ż n├írast o┬áviac ako 118┬á%.

GameFi sa l├ş┼íi od tradi─Źn├ęho hrania, preto┼że pre pou┼ż├şvate─żov je v┬ást├ívke viac a┬áak├Żko─żvek hack by pre nich mohol znamena┼ą zna─Źn├ę straty. V┬áextr├ęmnych situ├íci├ích m├┤┼że naru┼íenie bezpe─Źnosti znamena┼ą ukon─Źenie projektu.┬á

Napr├şklad v┬ároku 2022 ├║to─Źn├şci vyu┼żili zadn├ę vr├ítka v┬áuzle Remote Procedure Call (RPC) na z├şskanie podpisu v┬áprojekte GameFi Axie Infinity, ─Źo im umo┼żnilo vykona┼ą neopr├ívnen├ę v├Żbery v┬ácelkovej v├Ż┼íke takmer 600┬ámili├│nov dol├írov v┬áETH. Ak├ęko─żvek zranite─żnosti v┬áprojektoch GameFi m├┤┼żu vies┼ą k┬áobrovsk├Żm strat├ím pre investorov aj hr├í─Źov. To len pod─Źiarkuje z├ísadn├Ż v├Żznam zabezpe─Źenia GameFi.

Bezpe─Źnostn├ę v├Żzvy v┬ár├ímci blockchainu┬á

Zranite─żnosti tokenu ERC-20┬á

Tokeny ERC-20 sa ─Źasto pou┼ż├şvaj├║ v┬áprojektoch GameFi ako virtu├ílna mena na n├íkupy v┬áhre, mechanizmy odme┼łovania pre hr├í─Źov a┬áako prostriedok v├Żmeny.┬á

Nespr├ívne razenie a┬áspr├íva tokenov ERC-20 m├┤┼że predstavova┼ą bezpe─Źnostn├ę rizik├í. Jedna be┼żn├í zranite─żnos┼ą, naz├Żvan├í ÔÇ×op├Ątovn├Ż vstupÔÇť, m├┤┼że vznikn├║┼ą po─Źas procesu razby. ├Üto─Źn├şci m├┤┼żu vyu┼żi┼ą logick├║ medzeru v┬ákontrakte na opakovan├ę vykon├ívanie ┼ípecifickej funkcie, ─Źo vedie k┬ánekone─Źn├ęmu razeniu tokenov.

Ke─Ć┼że s├║ univerz├ílnou hernou menou, stabilita a┬ámno┼żstvo tokenov ERC-20 ur─Źuje hrate─żnos┼ą a┬áudr┼żate─żnos┼ą hry. Projekty by preto mali zabezpe─Źi┼ą logiku k├│dov a┬ápr├şsne kontrolova┼ą dod├ívku tokenov ERC-20.┬á

V┬ároku 2022 bol DeFi Kingdoms, projekt P2E GameFi, napadnut├Ż ┼íkodliv├Żm razen├şm tokenu ERC-20. Niektor├ş hr├í─Źi vyu┼żili t├║to logick├║ zranite─żnos┼ą na razenie uzamknut├Żch nat├şvnych tokenov hry, ─Źo sp├┤sobilo prudk├Ż pokles ceny tokenu.

Zranite─żnosti NFT┬á

NFT sa v┬áprojektoch GameFi prim├írne pou┼ż├şvaj├║ ako virtu├ílne akt├şva v┬áhre vr├ítane vybavenia, rekviz├şt a┬ásuven├şrov. Pon├║kaj├║ hr├í─Źom jednozna─Źn├ę vlastn├şctvo a┬áprostredn├şctvom riadenia infl├ície a┬ánedostatku si m├┤┼żu udr┼żiava┼ą stabiln├║ hodnotu. Nespr├ívne pou┼ż├şvanie NFT v┼íak m├┤┼że predstavova┼ą bezpe─Źnostn├ę zranite─żnosti.

Hodnota NFT sa odr├í┼ża vo vz├ícnosti vybavenia alebo rekviz├şt. Prirodzene, hr├í─Źi zvy─Źajne h─żadaj├║ najvz├ícnej┼íie NFT. Po─Źas procesu razenia NFT m├┤┼żu by┼ą inform├ície s├║visiace s┬áblokmi (napr. ─Źasov├ę zna─Źky) pou┼żit├ę ako slab├Ż n├íhodn├Ż zdroj na generovanie NFT s┬ár├┤znymi ├║rov┼łami vz├ícnosti. ┼Ąa┼żiar m├┤┼że do ur─Źitej miery manipulova┼ą s┬á─Źasovou zna─Źkou bloku, ─Źo mu umo┼żn├ş zlomyse─żn├ę razenie vz├ícnej┼í├şch NFT.┬á

Ani spo─żahliv├Ż zdroj n├íhodnosti, ak├Żm je Chainlink VRF (Verifiable Random Function), nedok├í┼że eliminova┼ą v┼íetky rizik├í. Pou┼ż├şvatelia so zl├Żmi ├║myslami dok├í┼żu zru┼íi┼ą oper├ície pri razen├ş ID┬átokenov ne┼żiaducich NFT a┬ázopakova┼ą proces, k├Żm sa nevyraz├ş vz├ícne NFT.

Ke─Ć hr├í─Źi obchoduj├║ s┬áNFT a┬áprev├ídzaj├║ ich, v┬ásmart kontraktoch sa m├┤┼żu vyskytn├║┼ą zranite─żnosti. Napr├şklad na prenos NFT ┼ítandardu ERC-721 sa pou┼ż├şva funkcia safeTransferFrom(). Ke─Ć je pr├şjemcom adresa kontraktu, spust├ş sa funkcia onERC721Received() pre sp├Ątn├ę volanie. Potom existuje potenci├ílne riziko ├║tokov s┬án├ízvom ÔÇ×op├Ątovn├Ż vstupÔÇť, pri ktor├Żch ├║to─Źn├şci m├┤┼żu diktova┼ą logiku funkcie onERC721Received().┬á

Toto riziko existuje aj medzi NFT ┼ítandardu ERC-1155, pri─Źom funkcia safeTransferFrom() sp├║┼í┼ąa funkciu onERC1155Received() a┬áumo┼ż┼łuje ├║to─Źn├şkom uskuto─Źni┼ą ├║tok op├Ątovn├ęho vstupu.

Zranite─żnosti mosta┬á

Medzisie┼ąov├ę mosty sa pou┼ż├şvaj├║ v┬áGameFi, aby si pou┼ż├şvatelia mohli vymie┼ła┼ą hern├ę akt├şva v┬ár├┤znych sie┼ąach. S├║ tie┼ż rozhoduj├║ce pre zlep┼íenie pohodlia a┬álikvidity GameFi.

Jedno hlavn├ę riziko medzisie┼ąov├Żch mostov v┬áGameFi poch├ídza z┬ánezrovnalost├ş medzi akt├şvami v┬áhre. Kontrakty na oboch stran├ích mosta by mali zaru─Źi┼ą prijatie a┬ásp├ílenie rovnak├ęho mno┼żstva akt├şv. Kv├┤li medzer├ím v┬ázmluv├ích o┬áoverovan├ş a┬á├║─Źtovan├ş ich v┼íak ├║to─Źn├şci m├┤┼żu ohrozi┼ą, a┬ávytvori┼ą tak ve─żk├ę mno┼żstvo akt├şv z┬áni─Źoho.

Zranite─żnosti riadenia DAO┬á

Mnoho projektov GameFi je riaden├Żch prostredn├şctvom DAO, ─Źo v┬ápr├şpade, ak v├Ą─Ź┼íinu tokenov riadenia vlastn├ş nieko─żko ve─żk├Żch hr├í─Źov, m├┤┼że predstavova┼ą riziko centraliz├ície. Smart kontrakty, ktor├ę definuj├║ pravidl├í riadenia DAO, otv├íraj├║ ─Ćal┼íie miesto pre potenci├ílne kompromisy, preto┼że ├║to─Źn├şci m├┤┼żu n├íjs┼ą sp├┤soby, ako z├şska┼ą pr├şstup k┬ápokladnici DAO.

Bezpe─Źnostn├ę v├Żzvy mimo blockchainu┬á

─îo sa t├Żka oper├íci├ş backendu, webov├Żch rozhran├ş alebo mobiln├Żch aplik├íci├ş, v├Ą─Ź┼íina projektov GameFi st├íle z├ívis├ş od centralizovan├Żch serverov mimo blockchainu. Tieto servery obsahuj├║ d├┤le┼żit├ę inform├ície vr├ítane ├║dajov o┬áhre a┬á├║─Źtoch vlastn├şkov, preto s├║ zranite─żn├ę vo─Źi ┼íkodliv├Żm ├║tokom, ako je penetr├ícia a┬ámalv├ęr Tr├│jsky k├┤┼ł.┬á

Pokia─ż ide o┬áNFT, metad├íta obsahuj├║ d├┤le┼żit├ę popisn├ę inform├ície a┬ás├║ ulo┼żen├ę mimo blockchainu ako s├║bory JSON. Namiesto pou┼żitia decentralizovanej infra┼ítrukt├║ry (ako napr├şklad IPFS), mnoh├ę projekty GameFi ukladaj├║ svoje metad├íta NFT na svoje vlastn├ę centralizovan├ę servery. Zvy┼íuje sa tak pravdepodobnos┼ą z├ísahu do metad├ít s├║visiacimi stranami alebo ├║to─Źn├şkmi, ─Źo by mohlo poru┼íi┼ą pr├íva hr├í─Źov.

V┬ákontexte medzisie┼ąov├Żch mostov m├┤┼żu ├║to─Źn├şci z├şska┼ą podpisy valid├ítorov alebo priv├ítne k─ż├║─Źe prostredn├şctvom penetra─Źn├Żch alebo phishingov├Żch ├║tokov. M├┤┼żu ohrozi┼ą infra┼ítrukt├║ru a┬ávykona┼ą zneu┼żitie na kontrolu akt├şv v┬áhre.

Po─Źas prenosu d├ít m├┤┼żu ├║to─Źn├şci unies┼ą a┬ávlo┼żi┼ą do sie┼ąov├ęho paketu ┼íkodliv├Ż k├│d. ├Üpravou d├ítov├ęho bal├şka m├┤┼żu ├║to─Źn├şci implementova┼ą falo┼ín├ę nav├Ż┼íenia a┬ápou┼żi┼ą ─Źiastku n├íkupu jednotky na z├şskanie ─Ćal┼í├şch hern├Żch predmetov.┬á

Frontendov├ę rozhrania pon├║kaj├║ ├║to─Źn├şkom ─Ćal┼íiu cestu na preniknutie do syst├ęmu so zl├Żm ├║myslom. Ak d├┤jde k┬á├║niku inform├íci├ş vo v├Żsledkovej tabu─żke jednej hry, ├║to─Źn├şci m├┤┼żu odosla┼ą inform├ície o┬áuniknutej adrese na server, a┬áz├şska┼ą t├Żm pr├şslu┼ín├ę citliv├ę inform├ície.

Sp├┤soby, ako zlep┼íi┼ą bezpe─Źnos┼ą

Aby bolo mo┼żn├ę ochr├íni┼ą projekty GameFi, je d├┤le┼żit├ę dba┼ą na opatrnos┼ą v┬áka┼żdej f├íze. Zabezpe─Źenie bezchybn├Żch k├│dov smart kontraktov je z├íkladom ├║spe┼ín├ęho projektu GameFi. Jeho s├║─Źas┼ąou je nap├şsanie vysokokvalitn├ęho k├│du, vykon├ívanie pravideln├Żch auditov a┬ápou┼ż├şvanie form├ílneho overovania smart kontraktov.┬á

Udr┼żiavanie bezpe─Źnosti serverov a┬áin├Żch komponentov infra┼ítrukt├║ry je tie┼ż k─ż├║─Źov├ę. Malo by sa uskuto─Ź┼łova┼ą penetra─Źn├ę testovanie za ├║─Źelom odhalenia mo┼żn├Żch zranite─żnost├ş. Pri syst├ęmoch zalo┼żen├Żch na DApp a┬áblockchaine prin├í┼ía penetra─Źn├ę testovanie so sebou funkcie Web3. Pre digit├ílne pe┼ła┼żenky a┬ádecentralizovan├ę protokoly s├║ preto potrebn├ę osobitn├ę opatrenia.

Projekty GameFi by mali dodr┼żiava┼ą aj ─Ćal┼íie osved─Źen├ę postupy vr├ítane bezpe─Źn├ęho procesu prev├ídzky a┬á├║plnej reakcie na n├║dzov├ę situ├ície. Prv├ę uveden├ę zah┼Ľ┼ła monitorovanie spusten├Żch bezpe─Źnostn├Żch udalost├ş, posilnenie bezpe─Źnosti prostredia a┬ápou┼ż├şvanie programov odme┼łovania za zisten├║ chybu.

Projekty musia z├írove┼ł vyvin├║┼ą kompletn├Ż proces reakcie na n├║dzov├ę situ├ície, ktor├ęho s├║─Źas┼ąou s├║ aspekty ako likvid├ícia pr├şkazov Stop Loss, sledovanie ├║tokov a┬áanal├Żza probl├ęmov.

Z├ívere─Źn├ę my┼ílienky

Bezpe─Źnostn├Żch zranite─żnost├ş je viac ako tie, ktor├ę s├║ uveden├ę v┬átomto ─Źl├ínku. Mnoh├ę incidenty uk├ízali, ┼że projekty ignorovali alebo bagatelizovali bezpe─Źnostn├ę rizik├í. GameFi je v├Żznamnou s├║─Źas┼ąou bud├║cnosti hern├ęho sveta. Projekty by preto mali v┼żdy venova┼ą dostato─Źn├║ pozornos┼ą ot├ízkam bezpe─Źnosti a┬ákl├ís┼ą z├íujmy svojich komun├şt na prv├ę miesto.

Pre─Ź├ştajte si tie┼ż


Zrieknutie sa zodpovednosti a┬ávarovanie pred rizikom: Tento obsah tu vid├şte ÔÇ×tak├Ż ak├Ż jeÔÇť a┬ásl├║┼żi len ako v┼íeobecn├í inform├ícia a┬ána ├║─Źely vzdel├ívania, bez akejko─żvek reprezent├ície alebo z├íruky. Tieto inform├ície by ste nemali pova┼żova┼ą za finan─Źn├ę poradenstvo a┬áani nie s├║ ur─Źen├ę ako odpor├║─Źanie na n├íkup ak├ęhoko─żvek konkr├ętneho produktu alebo slu┼żby. Mali by ste po┼żiada┼ą o┬áradu odborn├ęho poradcu. V┬ápr├şpade, ┼że autorom ─Źl├ínku je tretia osoba, upozor┼łujeme v├ís, ┼że n├ízory uveden├ę v┬á─Źl├ínku s├║ n├ízormi tohto prispievate─ża/autora a┬ánemusia nevyhnutne odr├í┼ża┼ą n├ízory Akad├ęmie Binance. ─Äal┼íie podrobnosti n├íjdete v┬ána┼íom ├║plnom zrieknut├ş sa zodpovednosti, ktor├ę sa nach├ídza tu.Ceny digit├ílnych akt├şv m├┤┼żu by┼ą volatiln├ę. Hodnota va┼íej invest├şcie m├┤┼że klesa┼ą alebo st├║pa┼ą a┬áinvestovan├í suma sa v├ím nemus├ş vr├íti┼ą. Za svoje investi─Źn├ę rozhodnutia nesiete v├Żhradn├║ zodpovednos┼ą a┬áAkad├ęmia Binance nezodpoved├í za ┼żiadne straty, ktor├ę v├ím m├┤┼żu vznikn├║┼ą. Tento materi├íl by sa nemal pova┼żova┼ą za finan─Źn├ę, pr├ívne ani in├ę profesion├ílne poradenstvo. Viac inform├íci├ş n├íjdete v┬ána┼íich Podmienkach pou┼ż├şvania a┬áVarovan├ş pred rizikom.