Ця стаття створена спільнотою. Автор – Чжанчі Цінь, аудитор смартконтрактів у компанії із забезпечення безпеки блокчейнів – Salus Security.
Думки у цій статті належать автору і не обов'язково відображають думку Binance Academy.
Короткий зміст:
Проєкти GameFi стикаються з різними проблемами безпеки, які можна класифікувати як проблеми ончейн і офчейн.
Проблеми безпеки ончейн пов'язані з управлінням токенами ERC-20 і NFT, безпекою кросчейн-мостів і управлінням децентралізованими автономними організаціями (DAO).
Проблеми офчейн, з іншого боку, зазвичай пов'язані з вебінтерфейсами й серверами.
Проєкти GameFi повинні надавати пріоритет заходам безпеки, таким як ретельний аудит, сканування вразливостей і тестування на вірогідність зловмисного проникнення, а також впроваджувати передові методи роботи й контролю бізнесу.
Вступ
GameFi поєднує блокчейн-технологію з іграми для створення децентралізованих платформ із внутрішньоігровими активами та цифровими валютами. Зазвичай використовується модель "грати, щоб заробляти" (P2E), яка дозволяє гравцям отримувати винагороди у криптовалюті. GameFi також дає геймерам право власності і повний контроль над їхніми внутрішньоігровими активами.
Хоча GameFi набирає популярності, технологія постійно стикається зі значними загрозами злому протягом усього свого життєвого циклу. Деякі проєкти можуть цінувати швидкість більше якості і, отже, не мати надійних засобів безпеки, наражаючи як спільноту, так і творців на ризик значних втрат.
Чому важлива безпека в GameFi?
Сектор GameFi продемонстрував значне зростання у 2021 році завдяки своїй моделі P2E, що пропонує гравцям нові ігрові фінансові можливості. У 2022 році проєкти "рухатися, щоб заробляти" (M2E) ще більше підкреслили потенціал зростання GameFi. GameFi був провідним сектором криптовалюти в 2022 році, на його частку припадало приблизно 9,5% від загального обсягу фінансування галузі, а річне зростання склало понад 118%.
GameFi відрізняється від традиційних ігор, оскільки на кону для користувачів стоїть більше, і будь-який злом може призвести до значних втрат для них. В екстремальних випадках порушення безпеки можуть покласти край проєкту.
Наприклад, зловмисники використали бекдор у ноді віддаленого виклику процедур (RPC), щоб отримати підпис у проєкті Axie Infinity у 2022 році, що дозволило зловмисникам здійснити несанкціоноване зняття на загальну суму майже 600 мільйонів доларів у ETH. Будь-які вразливості в проєктах GameFi можуть призвести до величезних втрат як інвесторів, так і гравців, що підкреслює критичну важливість безпеки GameFi.
Проблеми безпеки ончейн
Вразливості токена ERC-20
Токени ERC-20 часто використовуються в проєктах GameFi як віртуальна валюта для внутрішньоігрових купівель, механізм винагороди гравців і як засіб обміну.
Неправильне карбування і керування токенами ERC-20 може становити загрозу безпеці. У процесі карбування може виникнути одна поширена вразливість, яка називається "реентерабельність". Атаки можуть використовувати логічну лазівку в контракті для багаторазового виконання певної функції, що призводить до нескінченного карбування токенів.
Будучи універсальними внутрішньоігровими валютами, стабільність і кількість токенів ERC-20 визначають ігрові можливості та стійкість гри. Отже, проєкти мають забезпечувати логіку кодів і суворо контролювати загальну кількість токенів ERC-20.
P2E-проєкт "DeFi Kingdoms" зазнав атаки зловмисного карбування токенів ERC-20 у 2022 році. Деякі гравці використали вразливість логіки для карбування заблокованих нативних токенів гри, що згодом призвело до різкого падіння ціни токена.
Вразливості NFT
NFT в основному використовуються як внутрішньоігрові віртуальні активи в проєктах GameFi, зокрема як спорядження, реквізити і сувеніри. Вони пропонують гравцям чітке право власності та можуть підтримувати стабільну вартість за рахунок контролю інфляції і дефіциту. Однак неправильне використання NFT може призвести до вразливостей у системі безпеки.
Цінність NFT відображається в рідкісності спорядження або реквізиту, і гравці зазвичай шукають найрідкісніші NFT. Під час процесу карбування NFT, інформація, пов’язана з блоком, така як мітки часу, може використовуватися як слабке випадкове джерело для генерації NFT з різними рівнями рідкісності. Майнер може певною мірою маніпулювати міткою часу блоку, щоб зловмисно карбувати рідкісніші NFT.
Навіть надійне джерело випадковості, таке як Chainlink VRF (Перевірювана випадкова функція), не усуває всі ризики. Зловмисники можуть відкликати операції під час створення небажаних ідентифікаторів токенів NFT і повторювати процес до того часу, доки не буде створено рідкісний NFT.
Коли гравці торгують і переказують NFT, можуть виникнути потенційні вразливості смартконтрактів. Наприклад, функція safeTransferFrom() використовується для переказу NFT стандарту ERC-721. Якщо одержувачем є адреса контракту, буде запущена функція onERC721Received() для зворотнього виклику. Потім існує потенційний ризик атак з повторним входом, коли зловмисники можуть диктувати логіку всередині функції onERC721Received().
Цей ризик також існує для NFT стандарту ERC-1155, в якому функція safeTransferFrom() запускає функцію onERC1155Received() і дозволяє зловмисникам виконати повторну атаку.
Вразливості мостів
Кросчейн-мости використовуються в GameFi, щоб користувачі могли обмінюватися внутрішньоігровими активами в різних мережах. Вони також мають вирішальне значення для покращення досвіду й ліквідності GameFi.
Один з основних ризиків кросчейн-мостів у GameFi пов'язаний із невідповідностями між внутрішньоігровими активами. Контракти з обох боків моста повинні гарантувати, що однакова кількість активів буде прийнята й спалена. Однак через лазівки у контрактах для перевірки й обліку, зловмисники можуть скомпрометувати їх для створення великої кількості активів з нічого.
Вразливості управління DAO
Багато проєктів GameFi управляються за допомогою DAO, що може призвести до ризику централізації, якщо більшість токенів управління належать малій кількості великих гравців. Смартконтракти, які визначають правила управління DAO, відкривають ще одне місце для потенційних загроз, оскільки зловмисники можуть знайти способи отримати доступ до казначейства DAO.
Проблеми безпеки офчейн
Більшість проєктів GameFi, як і раніше, залежать від автономних централізованих серверів для внутрішніх операцій, вебінтерфейсів або мобільних застосунків. На цих серверах зберігається важлива інформація, зокрема ігрові дані й акаунти власників, і вони вразливі для зловмисних атак, таких як проникнення та троянські програми.
Коли справа доходить до NFT, метадані містять важливу описову інформацію і зберігаються офчейн у вигляді файлів JSON. Однак багато проектів GameFi зберігають свої метадані NFT на власних централізованих серверах замість використання децентралізованої інфраструктури, такої як IPFS. Це збільшує можливість підробки метаданих пов'язаними сторонами або зловмисниками, що може порушити права гравців.
У контексті кросчейн мостів, зловмисники можуть отримати підписи валідаторів або приватні ключі шляхом проникнення або фішингової атаки. Вони можуть скомпрометувати інфраструктуру й виконати експлойт для управління внутрішньоігровими активами.
Під час передачі даних, зловмисники можуть перехопити мережевий пакет і впровадити шкідливий код. Змінивши пакет даних, зловмисники можуть реалізувати фальшиві поповнення і використовувати куплені одиниці, щоб отримати більше ігрових предметів.
Зовнішні інтерфейси дають зловмисникам ще один спосіб зловмисного проникнення в систему. Якщо відбувається витік інформації з таблиці лідерів однієї гри, зловмисники можуть надіслати витік інформації, пов'язаної з адресою, на сервер для отримання конфіденційної інформації.
Способи покращення безпеки
Щоб захистити проєкти GameFi, дуже важливо виявляти обережність на кожному етапі. Забезпечення бездоганності кодів смартконтрактів є основою успішного проєкту GameFi. Це включає написання високоякісного коду, проведення регулярних аудитів і використання формальної перевірки смартконтрактів.
Підтримка безпеки серверів й інших компонентів інфраструктури також має вирішальне значення. Тестування на вірогідність зловмисного проникнення має проводитися для виявлення можливих уразливостей. З системами на основі dApp і блокчейну, тестування на вірогідність зловмисного проникнення однак не таке просто завдяки характеристикам Web3. Таким чином, для цифрових гаманців і децентралізованих протоколів необхідні особливі запобіжні заходи.
Проєкти GameFi також повинні дотримуватись інших передових практик, зокрема безпечного процесу виконання та повного реагування на надзвичайні ситуації. Перший включає моніторинг ініційованих подій повʼязаних з безпекою безпеки, посилення безпеки середовища й запуск програм винагород за виявлення помилок.
Водночас проєкти мають розробити повний процес реагування на надзвичайні ситуації, який включає такі аспекти, як правильне аварійно-захисні механізми, відстеження атак і аналіз проблем.
Підсумки
Вразливості безпеки GameFi виходять за межі згаданих у цій статті, і багато інцидентів показали, що проєкти ігнорували або не враховували ризики безпеки. GameFi – важлива частина майбутнього ігор. Таким чином, проєкти повинні завжди приділяти увагу питанням безпеки й ставити інтереси своїх спільнот на перше місце.
Пов'язані статті
Відмова від відповідальності та попередження про ризики: цей контент надається вам на умовах "як є" тільки для загальної інформації та освітніх цілей, без будь-яких заяв чи гарантій. Його не слід розглядати як фінансову, юридичну чи іншу професійну пораду, і він не призначений для рекомендації купівлі будь-якого конкретного продукту чи послуги. Вам слід звернутися за порадою до відповідних професійних консультантів. Якщо стаття написана стороннім автором, зверніть увагу, що висловлені думки належать сторонньому автору, і не обов'язково відображають думку Binance Academy. Для отримання додаткової інформації, будь ласка, перегляньте нашу повну відмову від відповідальності. Ціни на цифрові активи можуть бути волатильними. Вартість ваших інвестицій може як впасти, так і зрости, і ви можете не повернути інвестовану суму. Ви несете повну відповідальність за свої інвестиційні рішення, і Binance Academy не несе відповідальності за збитки, які ви можете понести. Цей матеріал не повинен розглядатись як фінансова, юридична чи інша професійна порада. Для отримання додаткової інформації, будь ласка, перегляньте наші Умови користування та Попередження про ризик.