Tento článok je komunitný príspevok. Autorom je Zhangchi Qin, audítor smart kontraktov v spoločnosti Salus Security, ktorá sa zameriava na holistickú bezpečnosť blockchainov.
Názory uvedené v tomto článku sú názory prispievateľa/autora a nemusia nevyhnutne odrážať názory Akadémie Binance.
Zhrnutie:
Projekty GameFi čelia rôznym bezpečnostným výzvam, ktoré možno rozdeliť na výzvy v rámci blockchainu a mimo neho.
Medzi výzvy v oblasti bezpečnosti v rámci blockchainu patria najmä správa tokenov ERC-20 a NFT, bezpečnosť medzisieťových mostov a riadenie decentralizovanej autonómnej organizácie (DAO).
Na druhej strane, výzvy mimo blockchainu sa zvyčajne týkajú webových rozhraní a serverov.
Projekty GameFi by mali uprednostňovať používanie bezpečnostných opatrení, napríklad prísne audity, skenovanie zraniteľností a penetračné testovanie, ako aj implementovať najlepšie prevádzkové postupy a kontroly.
Úvod
GameFi je kombinácia technológie blockchain s hraním hier. Vytvára decentralizované platformy s aktívami v hrách a digitálnymi menami. Zvyčajne obsahuje model play-to-earn (P2E), ktorý umožňuje hráčom zarábať odmeny v kryptomenách. GameFi tiež dáva hráčom skutočné vlastníctvo a úplnú kontrolu nad ich aktívami v hre.
Zatiaľ čo GameFi získava na popularite, počas celého životného cyklu čelí neustálym a významným hrozbám zo strany hackerov. Niektoré projekty môžu uprednostňovať rýchlosť pred kvalitou, a preto im chýbajú robustné bezpečnostné opatrenia, čo vystavuje komunitu aj tvorcov riziku značných strát.
Prečo je bezpečnosť GameFi dôležitá?
Vďaka modelu P2E, ktorý hráčom ponúka nové finančné príležitosti v hre, zaznamenali projekty GameFi v roku 2021 značný rast. V roku 2022 projekty typu move-to-earn ešte viac zvýraznili rastový potenciál GameFi. GameFi bol v roku 2022 najúspešnejším sektorom kryptomien, pričom predstavoval približne 9,5 % celkového financovania odvetvia. Zaznamenal medziročný nárast o viac ako 118 %.
GameFi sa líši od tradičného hrania, pretože pre používateľov je v stávke viac a akýkoľvek hack by pre nich mohol znamenať značné straty. V extrémnych situáciách môže narušenie bezpečnosti znamenať ukončenie projektu.
Napríklad v roku 2022 útočníci využili zadné vrátka v uzle Remote Procedure Call (RPC) na získanie podpisu v projekte GameFi Axie Infinity, čo im umožnilo vykonať neoprávnené výbery v celkovej výške takmer 600 miliónov dolárov v ETH. Akékoľvek zraniteľnosti v projektoch GameFi môžu viesť k obrovským stratám pre investorov aj hráčov. To len podčiarkuje zásadný význam zabezpečenia GameFi.
Bezpečnostné výzvy v rámci blockchainu
Zraniteľnosti tokenu ERC-20
Tokeny ERC-20 sa často používajú v projektoch GameFi ako virtuálna mena na nákupy v hre, mechanizmy odmeňovania pre hráčov a ako prostriedok výmeny.
Nesprávne razenie a správa tokenov ERC-20 môže predstavovať bezpečnostné riziká. Jedna bežná zraniteľnosť, nazývaná „opätovný vstup“, môže vzniknúť počas procesu razby. Útočníci môžu využiť logickú medzeru v kontrakte na opakované vykonávanie špecifickej funkcie, čo vedie k nekonečnému razeniu tokenov.
Keďže sú univerzálnou hernou menou, stabilita a množstvo tokenov ERC-20 určuje hrateľnosť a udržateľnosť hry. Projekty by preto mali zabezpečiť logiku kódov a prísne kontrolovať dodávku tokenov ERC-20.
V roku 2022 bol DeFi Kingdoms, projekt P2E GameFi, napadnutý škodlivým razením tokenu ERC-20. Niektorí hráči využili túto logickú zraniteľnosť na razenie uzamknutých natívnych tokenov hry, čo spôsobilo prudký pokles ceny tokenu.
Zraniteľnosti NFT
NFT sa v projektoch GameFi primárne používajú ako virtuálne aktíva v hre vrátane vybavenia, rekvizít a suvenírov. Ponúkajú hráčom jednoznačné vlastníctvo a prostredníctvom riadenia inflácie a nedostatku si môžu udržiavať stabilnú hodnotu. Nesprávne používanie NFT však môže predstavovať bezpečnostné zraniteľnosti.
Hodnota NFT sa odráža vo vzácnosti vybavenia alebo rekvizít. Prirodzene, hráči zvyčajne hľadajú najvzácnejšie NFT. Počas procesu razenia NFT môžu byť informácie súvisiace s blokmi (napr. časové značky) použité ako slabý náhodný zdroj na generovanie NFT s rôznymi úrovňami vzácnosti. Ťažiar môže do určitej miery manipulovať s časovou značkou bloku, čo mu umožní zlomyseľné razenie vzácnejších NFT.
Ani spoľahlivý zdroj náhodnosti, akým je Chainlink VRF (Verifiable Random Function), nedokáže eliminovať všetky riziká. Používatelia so zlými úmyslami dokážu zrušiť operácie pri razení ID tokenov nežiaducich NFT a zopakovať proces, kým sa nevyrazí vzácne NFT.
Keď hráči obchodujú s NFT a prevádzajú ich, v smart kontraktoch sa môžu vyskytnúť zraniteľnosti. Napríklad na prenos NFT štandardu ERC-721 sa používa funkcia safeTransferFrom(). Keď je príjemcom adresa kontraktu, spustí sa funkcia onERC721Received() pre spätné volanie. Potom existuje potenciálne riziko útokov s názvom „opätovný vstup“, pri ktorých útočníci môžu diktovať logiku funkcie onERC721Received().
Toto riziko existuje aj medzi NFT štandardu ERC-1155, pričom funkcia safeTransferFrom() spúšťa funkciu onERC1155Received() a umožňuje útočníkom uskutočniť útok opätovného vstupu.
Zraniteľnosti mosta
Medzisieťové mosty sa používajú v GameFi, aby si používatelia mohli vymieňať herné aktíva v rôznych sieťach. Sú tiež rozhodujúce pre zlepšenie pohodlia a likvidity GameFi.
Jedno hlavné riziko medzisieťových mostov v GameFi pochádza z nezrovnalostí medzi aktívami v hre. Kontrakty na oboch stranách mosta by mali zaručiť prijatie a spálenie rovnakého množstva aktív. Kvôli medzerám v zmluvách o overovaní a účtovaní ich však útočníci môžu ohroziť, a vytvoriť tak veľké množstvo aktív z ničoho.
Zraniteľnosti riadenia DAO
Mnoho projektov GameFi je riadených prostredníctvom DAO, čo v prípade, ak väčšinu tokenov riadenia vlastní niekoľko veľkých hráčov, môže predstavovať riziko centralizácie. Smart kontrakty, ktoré definujú pravidlá riadenia DAO, otvárajú ďalšie miesto pre potenciálne kompromisy, pretože útočníci môžu nájsť spôsoby, ako získať prístup k pokladnici DAO.
Bezpečnostné výzvy mimo blockchainu
Čo sa týka operácií backendu, webových rozhraní alebo mobilných aplikácií, väčšina projektov GameFi stále závisí od centralizovaných serverov mimo blockchainu. Tieto servery obsahujú dôležité informácie vrátane údajov o hre a účtoch vlastníkov, preto sú zraniteľné voči škodlivým útokom, ako je penetrácia a malvér Trójsky kôň.
Pokiaľ ide o NFT, metadáta obsahujú dôležité popisné informácie a sú uložené mimo blockchainu ako súbory JSON. Namiesto použitia decentralizovanej infraštruktúry (ako napríklad IPFS), mnohé projekty GameFi ukladajú svoje metadáta NFT na svoje vlastné centralizované servery. Zvyšuje sa tak pravdepodobnosť zásahu do metadát súvisiacimi stranami alebo útočníkmi, čo by mohlo porušiť práva hráčov.
V kontexte medzisieťových mostov môžu útočníci získať podpisy validátorov alebo privátne kľúče prostredníctvom penetračných alebo phishingových útokov. Môžu ohroziť infraštruktúru a vykonať zneužitie na kontrolu aktív v hre.
Počas prenosu dát môžu útočníci uniesť a vložiť do sieťového paketu škodlivý kód. Úpravou dátového balíka môžu útočníci implementovať falošné navýšenia a použiť čiastku nákupu jednotky na získanie ďalších herných predmetov.
Frontendové rozhrania ponúkajú útočníkom ďalšiu cestu na preniknutie do systému so zlým úmyslom. Ak dôjde k úniku informácií vo výsledkovej tabuľke jednej hry, útočníci môžu odoslať informácie o uniknutej adrese na server, a získať tým príslušné citlivé informácie.
Spôsoby, ako zlepšiť bezpečnosť
Aby bolo možné ochrániť projekty GameFi, je dôležité dbať na opatrnosť v každej fáze. Zabezpečenie bezchybných kódov smart kontraktov je základom úspešného projektu GameFi. Jeho súčasťou je napísanie vysokokvalitného kódu, vykonávanie pravidelných auditov a používanie formálneho overovania smart kontraktov.
Udržiavanie bezpečnosti serverov a iných komponentov infraštruktúry je tiež kľúčové. Malo by sa uskutočňovať penetračné testovanie za účelom odhalenia možných zraniteľností. Pri systémoch založených na DApp a blockchaine prináša penetračné testovanie so sebou funkcie Web3. Pre digitálne peňaženky a decentralizované protokoly sú preto potrebné osobitné opatrenia.
Projekty GameFi by mali dodržiavať aj ďalšie osvedčené postupy vrátane bezpečného procesu prevádzky a úplnej reakcie na núdzové situácie. Prvé uvedené zahŕňa monitorovanie spustených bezpečnostných udalostí, posilnenie bezpečnosti prostredia a používanie programov odmeňovania za zistenú chybu.
Projekty musia zároveň vyvinúť kompletný proces reakcie na núdzové situácie, ktorého súčasťou sú aspekty ako likvidácia príkazov Stop Loss, sledovanie útokov a analýza problémov.
Záverečné myšlienky
Bezpečnostných zraniteľností je viac ako tie, ktoré sú uvedené v tomto článku. Mnohé incidenty ukázali, že projekty ignorovali alebo bagatelizovali bezpečnostné riziká. GameFi je významnou súčasťou budúcnosti herného sveta. Projekty by preto mali vždy venovať dostatočnú pozornosť otázkam bezpečnosti a klásť záujmy svojich komunít na prvé miesto.
Prečítajte si tiež
Zrieknutie sa zodpovednosti a varovanie pred rizikom: Tento obsah tu vidíte „taký aký je“ a slúži len ako všeobecná informácia a na účely vzdelávania, bez akejkoľvek reprezentácie alebo záruky. Tieto informácie by ste nemali považovať za finančné poradenstvo a ani nie sú určené ako odporúčanie na nákup akéhokoľvek konkrétneho produktu alebo služby. Mali by ste požiadať o radu odborného poradcu. V prípade, že autorom článku je tretia osoba, upozorňujeme vás, že názory uvedené v článku sú názormi tohto prispievateľa/autora a nemusia nevyhnutne odrážať názory Akadémie Binance. Ďalšie podrobnosti nájdete v našom úplnom zrieknutí sa zodpovednosti, ktoré sa nachádza tu.Ceny digitálnych aktív môžu byť volatilné. Hodnota vašej investície môže klesať alebo stúpať a investovaná suma sa vám nemusí vrátiť. Za svoje investičné rozhodnutia nesiete výhradnú zodpovednosť a Akadémia Binance nezodpovedá za žiadne straty, ktoré vám môžu vzniknúť. Tento materiál by sa nemal považovať za finančné, právne ani iné profesionálne poradenstvo. Viac informácií nájdete v našich Podmienkach používania a Varovaní pred rizikom.