Vilka är de vanligaste säkerhetsproblemen inom GameFi?

Den här artikeln kommer från vårt community. Författaren är Zhangchi Qin, en revisor för smarta kontrakt på det holistiska blockkedjesäkerhetsföretaget Salus Security. 

Åsikterna i den här artikeln tillhör författaren och återspeglar inte nödvändigtvis Binance Academys åsikter.

TLDR:

• GameFI-projekt står inför olika säkerhetsutmaningar som kan klassificeras som problem på och utanför kedjan. 

• Säkerhetsutmaningarna på kedjan involverar främst hanteringen av ERC-20-token och NFT:er, säkerheten för tvärkedjebroar och styrning av en decentraliserad autonom organisation (DAO). 

• Utmaningar utanför kedjan är å andra sidan vanligtvis relaterade till webbgränssnitt och servrar. 

• GameFI-projekt bör prioritera säkerhetsåtgärder, såsom rigorösa revisioner, sårbarhetsskanning och penetrationstestning, samt implementera de bästa operativa metoderna och affärskontrollerna.

Introduktion 

GameFi kombinerar blockkedjeteknik med spel för att skapa decentraliserade plattformar med tillgångar och digitala valutor i spelet. Det har vanligtvis en spela för att tjäna (P2E)-modell som gör det möjligt för spelare att tjäna kryptobelöningar. GameFi ger också spelarna verkligt ägande och fullständig kontroll över sina tillgångar i spelet.

Även om GameFi ökar i popularitet, står det inför kontinuerliga och betydande hot från hackare under hela dess livscykel. Vissa projekt kan värdesätta hastighet framför kvalitet och därför sakna robusta säkerhetsåtgärder, vilket innebär att både communityn och skaparna riskerar betydande förluster.

Varför är GameFi-säkerhet viktigt? 

GameFi fick en betydande tillväxt under 2021 med dess P2E-modell som erbjuder spelare nya ekonomiska möjligheter i spelet. År 2022 belyste så kallade move-to-earn-projekt ytterligare GameFi:s tillväxtpotential. GameFi var kryptons främsta sektor 2022 och stod för cirka 9,5 % av branschens totala finansiering och med en tillväxt på över 118 % från år till år.

GameFi skiljer sig från traditionella spel, eftersom mer står på spel för användaren och varje hack kan innebära betydande förluster för dem. I extrema scenarier kan säkerhetsöverträdelserna förstöra ett projekt. 

Till exempel utnyttjade angripare en bakdörr i en RPC (Remote Procedure Call)-nod för att få en signatur på GameFI-projektet Axie Infinity under 2022, vilket gjorde det möjligt för angriparen att utföra obehöriga uttag på totalt nästan 600 miljoner dollar i ETH. Eventuella sårbarheter i GameFI-projekt kan leda till stora förluster för både investerare och spelare, vilket understryker den viktiga betydelsen av GameFI-säkerhet.

Säkerhetsutmaningar på kedjan 

Sårbarheter med ERC-20-token 

ERC-20-token används ofta i GameFI-projekt som en virtuell valuta för köp i spelet, belöningsmekanismer för spelare och som ett utbytesmedel. 

Felaktig myntning och hantering av ERC-20-token kan medföra säkerhetsrisker. En vanlig sårbarhet, kallad reentrancy (återinträde), kan uppstå under myntningsprocessen. Attacker kan utnyttja det logiska kryphålet i ett kontrakt för att upprepade gånger utföra en specifik funktion, vilket resulterar i en oändlig myntning av token.

Som universella valutor i spelet avgör stabiliteten och kvantiteten på ERC-20-token dess spelbarhet och hållbarhet. Projekten bör därför säkerställa logiken i koden och strikt kontrollera den totala tillgången av ERC-20-token. 

P2E GameFi-projektet DeFi Kingdoms attackerades av skadlig ERC-20-myntning under 2022. Vissa spelare utnyttjade den logiska sårbarheten för att mynta spelets låsta originaltoken, vilket efteråt fick tokenpriset att krasha.

NFT-sårbarheter 

NFT:er används främst som virtuella speltillgångar i GameFI-projekt, såsom utrustning, rekvisita och souvenirer. De erbjuder spelare tydligt ägande och kan upprätthålla stabilt värde via inflationskontroll och hur unika de är. Felaktig användning av NFT:er kan dock ge säkerhetsproblem.

Värdet på NFT:er återspeglas i sällsyntheten för utrustning eller rekvisita, där spelarna vanligtvis söker efter de mest sällsynta NFT:erna. Under NFT-myntningsprocessen kan blockrelaterad information som tidsstämplar användas som en svag slumpmässig källa för att generera NFT:er med olika nivåer av sällsynthet. En miner kan manipulera blocktidsstämpeln i viss utsträckning för att mynta sällsynta NFT:er. 

Även en pålitlig källa till slumpmässighet, såsom Chainlink VRF (Verifiable Random Function), har sina risker. Skadliga aktörer kan återkalla operationer medan du myntar oönskade NFT-token-id och upprepa processen tills en sällsynt NFT myntas.

När spelare handlar och överför NFT:er kan potentiella sårbarheter i smarta kontrakt uppstå. Funktionen safeTransferFrom() används till exempel för att överföra ERC-721 NFT:er. När mottagaren är en kontraktsadress aktiveras funktionen onERC721Received() för en återkoppling. Sedan finns den potentiella risken för reentrancy-attackerna, varigenom angripare kan diktera logiken inom funktionen på ERC721Received(). 

Denna risk finns också bland ERC-1155 NFT:er, varigenom funktionen safeTransferFrom() aktiverar funktionen onERC1155Received() och tillåter angripare att utföra en reentrancy-attack.

Sårbarheter med broar 

Tvärkedjebroar används inom GameFi för att användare ska kunna utbyta tillgångar i spelet över olika nätverk. De är också viktiga för att förbättra GameFi:s erfarenheter och likviditet.

En stor risk för tvärkedjebroar i GameFi kommer från inkonsekvenser bland tillgångarna i spelet. Kontrakten på båda sidor av bron ska garantera att samma mängd tillgångar accepteras och brännas. Men på grund av kryphål i kontrakten för verifiering och redovisning kan angripare äventyra dem för att skapa ett stort antal tillgångar ur tomma intet.

Sårbarheter med DAO-styrning 

Många GameFI-projekt styrs av DAO:er, vilket kan innebära risk för centralisering om majoriteten av styrningstoken ägs av ett fåtal stora aktörer. Smarta kontrakt som definierar DAO-styrningsregler öppnar upp för andra potentiella kompromisser, eftersom angripare kan hitta olika sätt att komma åt DAO-kassan på.

Säkerhetsutmaningar utanför kedjan 

De flesta GameFI-projekt är fortfarande beroende av centraliserade servrar utanför kedjan för back-end-operationer, webbgränssnitt eller mobilappar. Dessa servrar innehåller kritisk information, inklusive speldata och ägarkonton och de är sårbara för skadliga attacker såsom penetration och skadlig kod via en trojansk häst. 

När det gäller NFT:er innehåller metadata viktig beskrivande information, och lagras utanför kedjan som JSON-filer. Men många GameFI-projekt lagrar sina NFT-metadata på sina egna centraliserade servrar istället för att använda decentraliserad infrastruktur såsom IPFS. Detta ökar sannolikheten för att metadata manipuleras av relaterade parter eller angripare, vilket kan inkräkta på spelarnas rättigheter.

I samband med tvärkedjebroar kan angripare få validerarnas signaturer eller privata nycklar genom penetrations- eller nätfiskeattacker. Dessa kan äventyra infrastrukturen och utnyttja svagheter för att kontrollera tillgångar i spelet.

Under dataöverföringen kan angripare kapa och injicera nätverkspaketet med skadlig kod. Genom att ändra datapaketet kan angripare implementera falska påfyllningar och använda enhetens inköpsbelopp för att få fler spelobjekt. 

Front-end-gränssnittet ger angriparen en annan väg att skadligt infiltrera systemet. Om en informationsläcka inträffar på topplistan i ett spel kan angriparen skicka den läckta adressrelaterade informationen till servern för att få tillgång till motsvarande känsliga information.

Sätt att förbättra säkerheten

För att skydda GameFI-projekt är det viktigt att vara försiktig under varje steg. Att säkerställa felfria koder i smarta kontrakt är grunden för ett framgångsrikt GameFI-projekt – det handlar om att skriva högkvalitativ kod, genomföra regelbundna revisioner och använda formell verifiering av smarta kontrakt. 

Att upprätthålla säkerheten för servrar och andra infrastrukturkomponenter är också avgörande. Penetrationstester bör utföras för att upptäcka eventuella sårbarheter. För DApp- och blockkedjebaserade system har penetrationstestningen Web3-funktioner. Därför är specifika försiktighetsåtgärder nödvändiga för digitala plånböcker och decentraliserade protokoll.

GameFI-projekt bör också följa andra beprövade metoder, inklusive en säker körtidsprocess och fullständig nödåtgärd. Den förstnämnda innebär övervakningsaktiverade säkerhetshändelser, strama åt säkerheten i miljön och ge ut bug bounty-program.

Samtidigt måste projekt utveckla en komplett beredskapsprocess som inkluderar aspekter som bortskaffande av stoppa förlust, attackspårning och problemanalys.

Sammanfattningsvis

Sårbarheten för GameFi:s säkerhet är större än vad som nämns i den här artikeln och många incidenter har visat att projekt har ignorerat eller bagatelliserat säkerhetsriskerna. GameFi är en viktig del av spelandets framtid. Projekten bör därför alltid vara uppmärksamma på säkerhetsfrågor och sätta sina communityns intressen i första hand.

Mer information

• Vad är GameFi och hur fungerar det?

• Vad är NFT-spel och hur fungerar de?

• Vad är en säkerhetsrevision av ett smart kontrakt?

Ansvarsfriskrivning och riskvarning: detta innehåll presenteras för dig ”i befintligt skick” och endast för allmän information och utbildningsändamål, utan representation eller garanti av något slag. Det ska inte tolkas som ekonomisk, juridisk eller annan professionell rådgivning. Det är inte heller avsett att rekommendera köp av någon specifik produkt eller tjänst. Du bör söka efter din egen rådgivning från lämpliga professionella rådgivare. I de fall då artikeln har skrivits av en tredje part, tillhör åsikterna som uttrycks denna tredje part och återspeglar inte nödvändigtvis Binance Academys åsikter. Läs vår fullständiga ansvarsfriskrivning här för mer information. Priserna på digitala tillgångar kan vara volatila. Värdet på din investering kan gå ner eller upp och du kanske inte får tillbaka det investerade beloppet. Du är själv ansvarig för dina investeringsbeslut och Binance Academy ansvarar inte för eventuella förluster som du kan ådra dig. Detta material ska inte tolkas som ekonomisk, juridisk eller annan professionell rådgivning. Se våra användarvillkor och vår riskvarning för mer information.