本文為社群提交內容。作者是 Zhangchi Qin,整體區塊鏈安全公司 Salus Security 的智能合約稽核人員。
本文中的觀點僅代表提供者/作者的觀點,不一定反映幣安學院的觀點。
TLDR:
GameFi 專案面臨各種安全性挑戰,可以歸類為鏈上和鏈下議題。
鏈上安全性挑戰主要涉及 ERC-20 代幣和 NFT 的管理、跨鏈橋樑的安全性以及去中心化自治組織 (DAO) 治理。
另一方面,鏈下挑戰通常與全球資訊網介面和伺服器有關。
GameFi 專案應優先考慮安全性措施,例如嚴格的稽查、漏洞掃描和滲透測試,並實施最佳營運做法和業務控制。
前言
GameFi 將區塊鏈技術與遊戲相結合,創建具有遊戲內資產和數位貨幣的去中心化平台。它通常具有遊玩賺錢 (P2E) 模式,玩家有機會獲得加密貨幣獎勵。GameFi 還為遊戲玩家提供真正的所有權和遊戲內資產的完全控制權。
雖然 GameFi 越來越受歡迎,但在整個生命週期中,它面臨來自駭客持續且重大的威脅。有些專案可能重視速度而不是品質,因此缺乏強大的安全性預防措施,使社群和創作者都面臨重大損失的風險。
為什麼 GameFi 安全性很重要?
GameFi 憑藉 P2E 模式在 2021 年取得了可觀的增長,為玩家提供了新的遊戲內財務機會。2022 年,移動賺錢專案進一步突顯出 GameFi 的增長潛力。GameFi 在 2022 年是加密貨幣業界行業主導,約佔產業總資金的 9.5%,年度增長超過 118%。
GameFi 與傳統遊戲不同的是,用戶面臨更多風險,任何駭客攻擊都可能帶來重大損失。在極端情況下,安全性漏洞可能會讓整個專案結束。
例如,攻擊者在 2022 年利用遠端程序呼叫 (RPC) 節點中的後門程式來獲得 GameFi 專案 Axie Infinity 的簽名,從而允許攻擊者進行總額近 6 億美元的未經授權 ETH 提款。GameFi 專案的任何漏洞都可能對投資者和玩家造成巨大損失,這突顯了 GameFi 安全性的重要。
鏈上安全挑戰
ERC-20 代幣漏洞
ERC-20 代幣在 GameFi 專案中經常應用在用虛擬貨幣進行遊戲內購買、玩家獎勵機制以及交換媒介。
不當鑄造和管理 ERC-20 代幣可能會帶來安全性風險。鑄造過程中可能會出現常見的漏洞,稱為重入攻擊。重入攻擊會惡意利用合約中的邏輯漏洞,重複執行特定功能,進而鑄造無限代幣。
作為通用的遊戲內貨幣,ERC-20 代幣的穩定性和數量決定了遊戲的可玩性和可持續性。因此,所有專案應確保程式碼的邏輯並嚴格控制 ERC-20 代幣的總供應量。
2022 年,P2E GameFi 專案 DeFi Kingdoms 遭到惡意 ERC-20 鑄造攻擊。一些玩家利用邏輯漏洞鑄造了遊戲鎖定的原生代幣,導致代幣價格在之後暴跌。
NFT 漏洞
NFT 主要作為 GameFi 專案的遊戲內虛擬資產,包括設備、道具和紀念品。NFT 提供玩家透明的所有權,並藉由控制通膨及稀少性來保持價值穩定。但是,不當使用 NFT 可能會導致安全性漏洞。
NFT 的價值反映在設備或道具的稀有性中,玩家通常都在尋找最稀有的 NFT。在 NFT 鑄造過程中,與區塊相關的訊息 (如時間戳) 可能作為生成具有不同稀有度級別的 NFT 弱點隨機來源。礦工可以在一定程度上操縱區塊時間戳,惡意鑄造更稀有的 NFT。
即使是可靠的隨機性來源,例如 Chainlink VRF (可驗證隨機函數),也不能消除所有風險。惡意用戶可以鑄造無用的 NFT 代幣 ID,同時撤銷運作,重複過程,直到鑄造出罕見的 NFT 為止。
當玩家交易和轉帳 NFT 時,潛在的智能合約漏洞即可能出現。例如,函數 safeTransferFrom() 用於轉帳 ERC-721 NFT。當接收方是合約地址時,函數 onERC721Received() 將被觸發並被召回。然後就會存在重入攻擊的潛在風險,攻擊者可以在函數 onERC721Received () 上指定邏輯。
ERC-1155 NFT 中也存在這種風險,其中函數 safeTransferFrom() 會觸發函數 onERC1155Received() ,並讓攻擊者進行重入攻擊。
橋樑漏洞
GameFi 中使用跨鏈橋樑 ,讓用戶在不同的網路之間交換遊戲內資產。它們對於增強 GameFi 的體驗和流動性也至關重要。
GameFi 跨鏈橋樑的主要風險之一,來自遊戲內資產之間的不一致。橋樑兩邊的合約應保證將接受和銷毀相同數量的資產。但是,由於用於驗證和核算的合約存在漏洞,攻擊者可以破壞它們,從而肆意創建大量資產。
DAO 治理漏洞
許多 GameFi 專案都由 DAO控制,如果大多數治理代幣代幣由少數大型參與者擁有,則可能會帶來集中化的風險。定義 DAO 治理規則的智能合約為潛在的破壞開闢了另一條路徑,因為攻擊者可以找到造訪 DAO 財庫的方法。
鏈下安全性挑戰
大多數 GameFi 專案仍然依賴鏈下中心化伺服器來進行後端操作、全球資訊網介面或行動應用程式。這些伺服器裝載著重要資訊,包括遊戲數據和所有者帳戶,並且容易受到諸如滲透和特洛伊木馬程式等惡意攻擊。
在 NFT 方面,元數據包含重要的描述性訊息,並以 JSON 檔案形式儲存在鏈下。但是,許多 GameFi 專案將 NFT 中繼資料儲存在自己的中心化伺服器上,而不是使用 IPFS 之類的去中心化基礎設施。這增加了有關的個體或攻擊者竄改中繼資料的可能性,從而侵犯玩家的權利。
在跨鏈橋樑的情況下,攻擊者可能會滲透或仿冒詐騙攻擊,以取得驗證者的簽名或私密金鑰。他們可以破壞基礎設施並利用漏洞以控制遊戲內資產。
在資料傳輸過程中,攻擊者可能會劫持網路封包並置入惡意程式碼。透過修改資料封包,攻擊者可能會進行假加值,並使用單位購買金額獲得更多遊戲物品。
前端介面是攻擊者另一種惡意滲透系統的途徑。如果某個遊戲的排行榜發生資料洩漏,攻擊者可將已洩露的地址相關資料傳送至伺服器,以取得相對應的敏感資料。
提高安全性的方法
為了保護 GameFi 專案,在每個階段都秉持謹慎至關重要。確保完美無瑕的智能合約程式碼是 GameFi 專案成功的基礎—這涉及編寫高品質的程式碼,進行定期查核以及使用正式的智能合約驗證。
維護伺服器和其他基礎設施組件的安全性也非常重要;應進行滲透測試以檢測可能的漏洞。借助建構於 DApp 和區塊鏈的系統,滲透測試同時帶進 Web3 功能。因此,數位錢包和去中心化協定需要具體的預防措施。
GameFi 專案還應遵守其他最佳做法,包括安全的運行狀態和完整的緊急應變。前者涉及監控觸發的安全事件、強化環境安全性,以及發布漏洞賞金計劃。
同時,專案必須制定完整的緊急應變流程,其中包括止損處置、攻擊跟蹤和問題分析等方面。
總結
GameFi 的安全性漏洞超出本文中提到的漏洞範圍,許多事件表現出專案忽略或低估了安全性風險。GameFi 是遊戲未來的重要元素。因此,專案應時刻關注安全性議題,並將社群利益放在首位。
延伸閱讀
免責聲明和風險警告:本內容按「如實」原則呈現給您,僅用於一般資訊和教育目的,不作任何形式的陳述或保證。請勿將其視為財務建議,亦未企圖推薦購買任何特定產品或服務。請在這裡參閱完整的免責聲明以了解詳情。數位資產價格可能會波動。您的投資價值可能會下跌或上漲,您可能無法收回投資金額。您須對自己的投資決策負全部責任,幣安學院對於您可能遭受的任何損失概不負責。本文並非財務建議。如需更多資訊,請參閱我們的使用條款和風險警告。