Den hĂ€r artikeln kommer frĂ„n vĂ„rt community. Författaren Ă€r Zhangchi Qin, en revisor för smarta kontrakt pĂ„ det holistiska blockkedjesĂ€kerhetsföretaget Salus Security.Â
à sikterna i den hÀr artikeln tillhör författaren och Äterspeglar inte nödvÀndigtvis Binance Academys Äsikter.
TLDR:
GameFI-projekt stĂ„r inför olika sĂ€kerhetsutmaningar som kan klassificeras som problem pĂ„ och utanför kedjan.Â
SĂ€kerhetsutmaningarna pĂ„ kedjan involverar frĂ€mst hanteringen av ERC-20-token och NFT:er, sĂ€kerheten för tvĂ€rkedjebroar och styrning av en decentraliserad autonom organisation (DAO).Â
Utmaningar utanför kedjan Ă€r Ă„ andra sidan vanligtvis relaterade till webbgrĂ€nssnitt och servrar.Â
GameFI-projekt bör prioritera sÀkerhetsÄtgÀrder, sÄsom rigorösa revisioner, sÄrbarhetsskanning och penetrationstestning, samt implementera de bÀsta operativa metoderna och affÀrskontrollerna.
IntroduktionÂ
GameFi kombinerar blockkedjeteknik med spel för att skapa decentraliserade plattformar med tillgÄngar och digitala valutor i spelet. Det har vanligtvis en spela för att tjÀna (P2E)-modell som gör det möjligt för spelare att tjÀna kryptobelöningar. GameFi ger ocksÄ spelarna verkligt Àgande och fullstÀndig kontroll över sina tillgÄngar i spelet.
Ăven om GameFi ökar i popularitet, stĂ„r det inför kontinuerliga och betydande hot frĂ„n hackare under hela dess livscykel. Vissa projekt kan vĂ€rdesĂ€tta hastighet framför kvalitet och dĂ€rför sakna robusta sĂ€kerhetsĂ„tgĂ€rder, vilket innebĂ€r att bĂ„de communityn och skaparna riskerar betydande förluster.
Varför Ă€r GameFi-sĂ€kerhet viktigt?Â
GameFi fick en betydande tillvÀxt under 2021 med dess P2E-modell som erbjuder spelare nya ekonomiska möjligheter i spelet. à r 2022 belyste sÄ kallade move-to-earn-projekt ytterligare GameFi:s tillvÀxtpotential. GameFi var kryptons frÀmsta sektor 2022 och stod för cirka 9,5 % av branschens totala finansiering och med en tillvÀxt pÄ över 118 % frÄn Är till Är.
GameFi skiljer sig frĂ„n traditionella spel, eftersom mer stĂ„r pĂ„ spel för anvĂ€ndaren och varje hack kan innebĂ€ra betydande förluster för dem. I extrema scenarier kan sĂ€kerhetsövertrĂ€delserna förstöra ett projekt.Â
Till exempel utnyttjade angripare en bakdörr i en RPC (Remote Procedure Call)-nod för att fÄ en signatur pÄ GameFI-projektet Axie Infinity under 2022, vilket gjorde det möjligt för angriparen att utföra obehöriga uttag pÄ totalt nÀstan 600 miljoner dollar i ETH. Eventuella sÄrbarheter i GameFI-projekt kan leda till stora förluster för bÄde investerare och spelare, vilket understryker den viktiga betydelsen av GameFI-sÀkerhet.
SĂ€kerhetsutmaningar pĂ„ kedjanÂ
SĂ„rbarheter med ERC-20-tokenÂ
ERC-20-token anvĂ€nds ofta i GameFI-projekt som en virtuell valuta för köp i spelet, belöningsmekanismer för spelare och som ett utbytesmedel.Â
Felaktig myntning och hantering av ERC-20-token kan medföra sÀkerhetsrisker. En vanlig sÄrbarhet, kallad reentrancy (ÄterintrÀde), kan uppstÄ under myntningsprocessen. Attacker kan utnyttja det logiska kryphÄlet i ett kontrakt för att upprepade gÄnger utföra en specifik funktion, vilket resulterar i en oÀndlig myntning av token.
Som universella valutor i spelet avgör stabiliteten och kvantiteten pĂ„ ERC-20-token dess spelbarhet och hĂ„llbarhet. Projekten bör dĂ€rför sĂ€kerstĂ€lla logiken i koden och strikt kontrollera den totala tillgĂ„ngen av ERC-20-token.Â
P2E GameFi-projektet DeFi Kingdoms attackerades av skadlig ERC-20-myntning under 2022. Vissa spelare utnyttjade den logiska sÄrbarheten för att mynta spelets lÄsta originaltoken, vilket efterÄt fick tokenpriset att krasha.
NFT-sĂ„rbarheterÂ
NFT:er anvÀnds frÀmst som virtuella speltillgÄngar i GameFI-projekt, sÄsom utrustning, rekvisita och souvenirer. De erbjuder spelare tydligt Àgande och kan upprÀtthÄlla stabilt vÀrde via inflationskontroll och hur unika de Àr. Felaktig anvÀndning av NFT:er kan dock ge sÀkerhetsproblem.
VĂ€rdet pĂ„ NFT:er Ă„terspeglas i sĂ€llsyntheten för utrustning eller rekvisita, dĂ€r spelarna vanligtvis söker efter de mest sĂ€llsynta NFT:erna. Under NFT-myntningsprocessen kan blockrelaterad information som tidsstĂ€mplar anvĂ€ndas som en svag slumpmĂ€ssig kĂ€lla för att generera NFT:er med olika nivĂ„er av sĂ€llsynthet. En miner kan manipulera blocktidsstĂ€mpeln i viss utstrĂ€ckning för att mynta sĂ€llsynta NFT:er.Â
Ăven en pĂ„litlig kĂ€lla till slumpmĂ€ssighet, sĂ„som Chainlink VRF (Verifiable Random Function), har sina risker. Skadliga aktörer kan Ă„terkalla operationer medan du myntar oönskade NFT-token-id och upprepa processen tills en sĂ€llsynt NFT myntas.
NĂ€r spelare handlar och överför NFT:er kan potentiella sĂ„rbarheter i smarta kontrakt uppstĂ„. Funktionen safeTransferFrom() anvĂ€nds till exempel för att överföra ERC-721 NFT:er. NĂ€r mottagaren Ă€r en kontraktsadress aktiveras funktionen onERC721Received() för en Ă„terkoppling. Sedan finns den potentiella risken för reentrancy-attackerna, varigenom angripare kan diktera logiken inom funktionen pĂ„ ERC721Received().Â
Denna risk finns ocksÄ bland ERC-1155 NFT:er, varigenom funktionen safeTransferFrom() aktiverar funktionen onERC1155Received() och tillÄter angripare att utföra en reentrancy-attack.
SĂ„rbarheter med broarÂ
TvÀrkedjebroar anvÀnds inom GameFi för att anvÀndare ska kunna utbyta tillgÄngar i spelet över olika nÀtverk. De Àr ocksÄ viktiga för att förbÀttra GameFi:s erfarenheter och likviditet.
En stor risk för tvÀrkedjebroar i GameFi kommer frÄn inkonsekvenser bland tillgÄngarna i spelet. Kontrakten pÄ bÄda sidor av bron ska garantera att samma mÀngd tillgÄngar accepteras och brÀnnas. Men pÄ grund av kryphÄl i kontrakten för verifiering och redovisning kan angripare Àventyra dem för att skapa ett stort antal tillgÄngar ur tomma intet.
SĂ„rbarheter med DAO-styrningÂ
MÄnga GameFI-projekt styrs av DAO:er, vilket kan innebÀra risk för centralisering om majoriteten av styrningstoken Àgs av ett fÄtal stora aktörer. Smarta kontrakt som definierar DAO-styrningsregler öppnar upp för andra potentiella kompromisser, eftersom angripare kan hitta olika sÀtt att komma Ät DAO-kassan pÄ.
SĂ€kerhetsutmaningar utanför kedjanÂ
De flesta GameFI-projekt Ă€r fortfarande beroende av centraliserade servrar utanför kedjan för back-end-operationer, webbgrĂ€nssnitt eller mobilappar. Dessa servrar innehĂ„ller kritisk information, inklusive speldata och Ă€garkonton och de Ă€r sĂ„rbara för skadliga attacker sĂ„som penetration och skadlig kod via en trojansk hĂ€st.Â
NÀr det gÀller NFT:er innehÄller metadata viktig beskrivande information, och lagras utanför kedjan som JSON-filer. Men mÄnga GameFI-projekt lagrar sina NFT-metadata pÄ sina egna centraliserade servrar istÀllet för att anvÀnda decentraliserad infrastruktur sÄsom IPFS. Detta ökar sannolikheten för att metadata manipuleras av relaterade parter eller angripare, vilket kan inkrÀkta pÄ spelarnas rÀttigheter.
I samband med tvÀrkedjebroar kan angripare fÄ validerarnas signaturer eller privata nycklar genom penetrations- eller nÀtfiskeattacker. Dessa kan Àventyra infrastrukturen och utnyttja svagheter för att kontrollera tillgÄngar i spelet.
Under dataöverföringen kan angripare kapa och injicera nĂ€tverkspaketet med skadlig kod. Genom att Ă€ndra datapaketet kan angripare implementera falska pĂ„fyllningar och anvĂ€nda enhetens inköpsbelopp för att fĂ„ fler spelobjekt.Â
Front-end-grÀnssnittet ger angriparen en annan vÀg att skadligt infiltrera systemet. Om en informationslÀcka intrÀffar pÄ topplistan i ett spel kan angriparen skicka den lÀckta adressrelaterade informationen till servern för att fÄ tillgÄng till motsvarande kÀnsliga information.
SÀtt att förbÀttra sÀkerheten
För att skydda GameFI-projekt Ă€r det viktigt att vara försiktig under varje steg. Att sĂ€kerstĂ€lla felfria koder i smarta kontrakt Ă€r grunden för ett framgĂ„ngsrikt GameFI-projekt â det handlar om att skriva högkvalitativ kod, genomföra regelbundna revisioner och anvĂ€nda formell verifiering av smarta kontrakt.Â
Att upprÀtthÄlla sÀkerheten för servrar och andra infrastrukturkomponenter Àr ocksÄ avgörande. Penetrationstester bör utföras för att upptÀcka eventuella sÄrbarheter. För DApp- och blockkedjebaserade system har penetrationstestningen Web3-funktioner. DÀrför Àr specifika försiktighetsÄtgÀrder nödvÀndiga för digitala plÄnböcker och decentraliserade protokoll.
GameFI-projekt bör ocksÄ följa andra beprövade metoder, inklusive en sÀker körtidsprocess och fullstÀndig nödÄtgÀrd. Den förstnÀmnda innebÀr övervakningsaktiverade sÀkerhetshÀndelser, strama Ät sÀkerheten i miljön och ge ut bug bounty-program.
Samtidigt mÄste projekt utveckla en komplett beredskapsprocess som inkluderar aspekter som bortskaffande av stoppa förlust, attackspÄrning och problemanalys.
Sammanfattningsvis
SÄrbarheten för GameFi:s sÀkerhet Àr större Àn vad som nÀmns i den hÀr artikeln och mÄnga incidenter har visat att projekt har ignorerat eller bagatelliserat sÀkerhetsriskerna. GameFi Àr en viktig del av spelandets framtid. Projekten bör dÀrför alltid vara uppmÀrksamma pÄ sÀkerhetsfrÄgor och sÀtta sina communityns intressen i första hand.
Mer information
Ansvarsfriskrivning och riskvarning: detta innehĂ„ll presenteras för dig âi befintligt skickâ och endast för allmĂ€n information och utbildningsĂ€ndamĂ„l, utan representation eller garanti av nĂ„got slag. Det ska inte tolkas som ekonomisk, juridisk eller annan professionell rĂ„dgivning. Det Ă€r inte heller avsett att rekommendera köp av nĂ„gon specifik produkt eller tjĂ€nst. Du bör söka efter din egen rĂ„dgivning frĂ„n lĂ€mpliga professionella rĂ„dgivare. I de fall dĂ„ artikeln har skrivits av en tredje part, tillhör Ă„sikterna som uttrycks denna tredje part och Ă„terspeglar inte nödvĂ€ndigtvis Binance Academys Ă„sikter. LĂ€s vĂ„r fullstĂ€ndiga ansvarsfriskrivning hĂ€r för mer information. Priserna pĂ„ digitala tillgĂ„ngar kan vara volatila. VĂ€rdet pĂ„ din investering kan gĂ„ ner eller upp och du kanske inte fĂ„r tillbaka det investerade beloppet. Du Ă€r sjĂ€lv ansvarig för dina investeringsbeslut och Binance Academy ansvarar inte för eventuella förluster som du kan Ă„dra dig. Detta material ska inte tolkas som ekonomisk, juridisk eller annan professionell rĂ„dgivning. Se vĂ„ra anvĂ€ndarvillkor och vĂ„r riskvarning för mer information.