Tento článek je příspěvkem komunity. Autorem je Zhangchi Qin, auditor chytrých smluv ve společnosti Salus Security, celostní blockchainové bezpečnostní společnosti.

Názory vyjádřené v tomto článku jsou názory přispěvatele/autora a nemusí nutně odrážet názory Binance Academy.

Souhrn:

  • Bezpečnostní výzvy, kterým projekt GameFi čelí, lze zhruba rozdělit na problémy on-chain a off-chain.

  • Bezpečnostní výzvy v řetězci zahrnují především správu tokenů ERC-20 a NFT, zabezpečení cross-chain bridge a řízení decentralizovaných autonomních organizací (DAO).

  • Výzvy mimo řetězec se obvykle týkají síťových rozhraní a serverů.

  • Projekty GameFi by měly upřednostňovat opatření na ochranu zabezpečení, jako je přísný audit, skenování zranitelnosti a penetrační testování, a měly by implementovat nejlepší provozní postupy a obchodní kontroly.

Úvod

GameFi kombinuje blockchainovou technologii s hrami a vytváří decentralizovanou platformu s aktivy ve hře a digitálními měnami. Obvykle využívá model play-to-earn (P2E), který hráčům umožňuje získávat odměny za kryptoměny. GameFi také dává hráčům skutečné vlastnictví a úplnou kontrolu nad aktivy ve hře.

Navzdory rostoucí popularitě GameFi čelí během svého životního cyklu neustálým a vážným hrozbám ze strany hackerů. Některé projekty mohou ocenit rychlost (nad kvalitu), a proto postrádají robustní bezpečnostní opatření, což často vystavuje komunitu i tvůrce riziku značných ztrát.

Proč je zabezpečení GameFi důležité?

GameFi zaznamenala v roce 2021 značný růst, přičemž její model P2E poskytuje hráčům nové příležitosti k výdělku ve hře. V roce 2022 posun k vydělávání dále podtrhne růstový potenciál GameFi. GameFi je předním odvětvím kryptoměn v roce 2022 a představuje přibližně 9,5 % celkových prostředků tohoto odvětví s meziročním růstem o více než 118 %.

GameFi se liší od tradičních her, protože uživatelé čelí větším rizikům a jakýkoli útok hackerů může způsobit značné ztráty. V extrémních případech může narušení bezpečnosti vést k ukončení projektu.

Například v roce 2022 útočníci použili zadní vrátka v uzlu vzdáleného volání procedur (RPC) k získání podpisu projektu GameFi Axie Infinity, což jim umožnilo provádět neoprávněné výběry a ukrást v ETH celkem téměř 600 milionů dolarů. Jakékoli mezery v projektu GameFi mohou způsobit obrovské ztráty investorům a hráčům, což zdůrazňuje zásadní význam zabezpečení GameFi.

Bezpečnostní výzvy v řetězci

Chyba zabezpečení tokenu ERC-20

V projektu GameFi se tokeny ERC-20 často používají jako virtuální měna pro nákupy ve hře, mechanismy odměn hráčů a prostředky směny.

Nesprávná ražba a správa tokenů ERC-20 může představovat bezpečnostní rizika. Během procesu lití se může vyskytnout běžná zranitelnost nazývaná „reentrancy“. Útočník může zneužít logická zranitelnost ve smlouvě k opakovanému provádění konkrétních funkcí, a tím těžit tokeny donekonečna.

Jako univerzální herní měna určuje stabilita a množství tokenů ERC-20 hratelnost a udržitelnost hry. Projekty by proto měly zajistit logiku kódu a přísně kontrolovat celkovou dodávku tokenů ERC-20.

Projekt P2E GameFi DeFi Kingdoms byl v roce 2022 napaden škodlivým ražením ERC-20. Někteří hráči využili logické chyby k vyražení uzamčeného nativního tokenu hry, což způsobilo, že cena tokenu následně prudce klesla.

Zranitelnost NFT

NFT se používá hlavně jako virtuální aktiva ve hře v projektech GameFi, včetně vybavení, rekvizit a suvenýrů. Poskytují hráčům jasné vlastnictví a mohou udržovat stabilní hodnotu tím, že kontrolují inflaci a nedostatek. Nesprávné použití NFT však může způsobit zranitelnosti zabezpečení.

Vzácnost vybavení nebo rekvizit se odrazí v hodnotě NFT a hráči budou často vyhledávat ty nejvzácnější NFT. Během procesu ražby NFT mohou být informace související s bloky, jako jsou časová razítka, použity jako slabý zdroj náhodnosti pro generování NFT různých úrovní vzácnosti. Těžaři mohou do určité míry manipulovat s časovými razítky bloků, aby škodolibě razili vzácnější NFT.

Ani spolehlivé zdroje náhodnosti, jako jsou Chainlink VRF (Verifiable Random Functions), nemohou eliminovat všechna rizika. Uživatel se zlými úmysly by mohl akci vrátit zpět, když je vyraženo nechtěné ID tokenu NFT, a postup opakovat, dokud nebude vyražen vzácný NFT.

Potenciální zranitelnosti inteligentních smluv mohou nastat, když hráči obchodují a převádějí NFT. Například funkce safeTransfrom() se používá k přenosu ERC-721 NFT. Když je příjemcem adresa smlouvy, funkce onerc721Reaceived () bude spuštěna pro zpětné volání. Existuje také potenciální riziko reentrancy útoků, kdy by útočník mohl určit logiku funkce na erc721Reaceived().​

Toto riziko je přítomno také v ERC-1155 NFT, kde funkce safeTransform() spouští funkci onrc1155Received() a umožňuje útočníkovi provést reentrancy útok.

Zranitelnost křížového mostu

GameFi bude používat cross-chain bridge, které uživatelům umožní vyměňovat si herní aktiva prostřednictvím různých sítí. Jsou také zásadní pro zlepšení zkušeností a likvidity GameFi.

Hlavní riziko zkřížených řetězových mostů v GameFi pochází z nekonzistencí mezi aktivy ve hře. Smlouvy na obou stranách křížového mostu by měly zajistit, že počet přijatých a zničených aktiv bude stejný. Kvůli zranitelnostem při ověřování a kontrole smlouvy však útočníci mohou smlouvu napadnout a vytvořit velké množství aktiv z ničeho nic.

Zranitelnost správy DAO

Mnoho projektů GameFi je řízeno DAO, což by mohlo představovat riziko centralizace, pokud by většinu tokenů správy vlastnilo několik velkých hráčů. Chytré smlouvy, které definují pravidla správy DAO, otevírají další prostor pro potenciální rizika, protože útočníci mohou najít způsoby, jak získat přístup ke knihovně DAO.

Mimořetězcové bezpečnostní výzvy

Většina projektů GameFi stále spoléhá na off-chain centralizované servery pro back-end operace, síťová rozhraní nebo mobilní aplikace. Tyto servery uchovávají důležité informace, včetně herních dat a účtů vlastníků, a jsou zranitelné vůči škodlivým útokům, jako je penetrace a trojský malware.

Metadata NFT obsahují důležité popisné informace a jsou uložena mimo řetězec jako soubor JSON. Mnoho projektů GameFi však ukládá svá metadata NFT na svých vlastních centralizovaných serverech namísto použití decentralizované infrastruktury, jako je IPFS. To zvyšuje možnost manipulace s metadaty ze strany zainteresovaných stran nebo útočníků, což může potenciálně porušovat práva hráče.

V případě použití cross-chain bridge může útočník získat podpis nebo soukromý klíč validátora prostřednictvím penetračních nebo phishingových útoků. Mohou ohrozit infrastrukturu a využít zranitelnosti k převzetí kontroly nad aktivy ve hře.

Během přenosu dat může útočník unést síťové pakety a vložit škodlivý kód. Úpravou datového balíčku může útočník dosáhnout falešného dobití a manipulace s částkou nákupu jednotky, aby získal další herní rekvizity.

Front-end rozhraní také poskytují další způsob, jak mohou útočníci se zlými úmysly proniknout do systému. Pokud uniknou informace v žebříčku určité hry, útočník může poslat uniklé informace související s adresou na server, aby získal odpovídající citlivé informace.

Jak zlepšit zabezpečení

Abyste ochránili projekt GameFi, buďte opatrní v každé fázi. Zajištění bezchybného kódu inteligentní smlouvy je základem úspěchu projektu GameFi – to zahrnuje psaní vysoce kvalitního kódu, provádění pravidelných auditů a používání formálního ověřování inteligentních smluv.

Udržování bezpečnosti serverů a dalších komponent infrastruktury by mělo být také prováděno pro rychlé odhalení možných zranitelností. Možnosti Web3 lze využít při provádění penetračních testů pomocí DApps a systémů založených na blockchainu. Proto je třeba u digitálních peněženek a decentralizovaných protokolů přijmout specifická opatření.

Projekty GameFi by se také měly řídit dalšími osvědčenými postupy, včetně bezpečných runtime procesů a kompletní reakce na mimořádné události. První z nich zahrnuje monitorování spuštěných bezpečnostních událostí, zpřísnění zabezpečení prostředí a spouštění bug bounty programů.

Zároveň musí projekt vyvinout kompletní proces reakce na mimořádné události, včetně řešení stop-loss, sledování útoků a analýzy problémů.

Závěr

Zranitelnosti zabezpečení GameFi se neomezují pouze na zranitelnosti zmíněné v tomto článku Mnoho incidentů ukazuje, že mnoho projektů bezpečnostní rizika ignoruje. GameFi je důležitou součástí budoucího herního průmyslu. Projekty by se proto měly vždy zaměřovat na otázky bezpečnosti a klást na první místo zájmy komunity.

Další čtení

  • Koncept GameFi a jak to funguje

  • Úvod do konceptu NFT her a principů jejich fungování

  • Co je audit zabezpečení inteligentní smlouvy?


Zřeknutí se odpovědnosti a varování před riziky: Obsah tohoto článku je poskytován „tak, jak je“, pouze pro obecné informace a vzdělávací účely a nepředstavuje žádné prohlášení ani záruku. Tento článek by neměl být vykládán jako finanční, právní nebo jiné odborné poradenství a není doporučením, abyste si zakoupili jakýkoli konkrétní produkt nebo službu. Pokud potřebujete investiční radu, vyhledejte odbornou radu. Pokud je článek poskytnut přispěvatelem třetí strany, vezměte prosím na vědomí: názory jsou názory přispěvatele třetí strany a nemusí nutně odrážet názory Binance Academy. Pro více informací klikněte sem a přečtěte si naše úplné prohlášení o vyloučení odpovědnosti. Ceny digitálních aktiv mohou kolísat. Hodnota vaší investice může klesat i stoupat a investovaná jistina se vám nemusí vrátit. Jste výhradně odpovědní za svá vlastní investiční rozhodnutí a Binance nenese odpovědnost za žádné ztráty, které můžete utrpět. Nic zde obsaženého nepředstavuje finanční, právní nebo jiné odborné poradenství. Další informace naleznete v našich podmínkách použití a varování před riziky.