Dieser Artikel ist ein Community-Beitrag. Der Autor ist Zhangchi Qin, ein Smart Contract Auditor bei Salus Security, einem ganzheitlichen Blockchain-Sicherheitsunternehmen.
Die in diesem Artikel geäußerten Ansichten sind die des Mitwirkenden/Autors und spiegeln nicht unbedingt die Ansichten der Binance Academy wider.
Zusammenfassung:
Die Sicherheitsherausforderungen, mit denen das GameFi-Projekt konfrontiert ist, lassen sich grob in On-Chain- und Off-Chain-Probleme einteilen.
Zu den Sicherheitsherausforderungen in der Kette gehören hauptsächlich die Verwaltung von ERC-20-Tokens und NFTs, die Sicherheit von Cross-Chain-Brücken und die Governance dezentraler autonomer Organisationen (DAOs).
Herausforderungen außerhalb der Kette hängen normalerweise mit Netzwerkschnittstellen und Servern zusammen.
GameFi-Projekte sollten Sicherheitsschutzmaßnahmen wie strenge Prüfungen, Schwachstellenscans und Penetrationstests priorisieren und bewährte Betriebspraktiken und Geschäftskontrollen implementieren.
Einführung
GameFi kombiniert Blockchain-Technologie mit Spielen, um eine dezentrale Plattform mit In-Game-Assets und digitalen Währungen zu schaffen. Typischerweise wird ein Play-to-Earn-Modell (P2E) verwendet, das es Spielern ermöglicht, Kryptowährungsprämien zu verdienen. GameFi gibt Spielern außerdem echtes Eigentum und vollständige Kontrolle über In-Game-Assets.
Trotz der wachsenden Beliebtheit von GameFi ist es während seines gesamten Lebenszyklus ständigen und ernsthaften Bedrohungen durch Hacker ausgesetzt. Einige Projekte legen möglicherweise Wert auf Geschwindigkeit (über Qualität) und verfügen daher nicht über robuste Sicherheitsvorkehrungen, was sowohl für die Community als auch für die Ersteller häufig das Risiko erheblicher Verluste birgt.
Warum ist GameFi-Sicherheit wichtig?
GameFi verzeichnete im Jahr 2021 ein beträchtliches Wachstum und sein P2E-Modell bietet Spielern neue Einnahmemöglichkeiten im Spiel. Im Jahr 2022 wird Move-to-Earn das Wachstumspotenzial von GameFi weiter hervorheben. GameFi ist im Jahr 2022 die führende Kryptowährungsbranche und macht etwa 9,5 % der Gesamtmittel der Branche aus, mit einem jährlichen Wachstum von mehr als 118 %.
GameFi unterscheidet sich von herkömmlichen Spielen dadurch, dass Benutzer größeren Risiken ausgesetzt sind und jeder Hackerangriff erhebliche Verluste verursachen kann. Im Extremfall kann eine Sicherheitsverletzung zum Abbruch eines Projekts führen.
Beispielsweise nutzten Angreifer im Jahr 2022 eine Hintertür in einem RPC-Knoten (Remote Procedure Call), um an die Signatur des GameFi-Projekts Axie Infinity zu gelangen, wodurch sie unbefugte Abhebungen durchführen und insgesamt fast 600 Millionen US-Dollar an ETH stehlen konnten. Jegliche Lücken im GameFi-Projekt können zu enormen Verlusten für Investoren und Spieler führen, was die entscheidende Bedeutung der GameFi-Sicherheit unterstreicht.
Herausforderungen für die Sicherheit in der Kette
Sicherheitslücke im ERC-20-Token
Im GameFi-Projekt werden ERC-20-Token häufig als virtuelle Währung für In-Game-Käufe, Spielerbelohnungsmechanismen und Tauschmittel verwendet.
Eine unsachgemäße Prägung und Verwaltung von ERC-20-Tokens kann Sicherheitsrisiken bergen. Während des Casting-Prozesses kann eine häufige Schwachstelle namens „Reentranz“ auftreten. Ein Angreifer kann logische Schwachstellen im Vertrag ausnutzen, um wiederholt bestimmte Funktionen auszuführen und so Token auf unbestimmte Zeit zu prägen.
Als universelle Spielwährung bestimmen Stabilität und Menge der ERC-20-Token die Spielbarkeit und Nachhaltigkeit des Spiels. Daher sollten Projekte die Codelogik sicherstellen und das Gesamtangebot an ERC-20-Token streng kontrollieren.
Das P2E-GameFi-Projekt DeFi Kingdoms wurde im Jahr 2022 von einem böswilligen ERC-20-Minting angegriffen. Einige Spieler nutzten einen Logikfehler aus, um den gesperrten nativen Token des Spiels zu prägen, was dazu führte, dass der Token-Preis anschließend sank.
NFT-Sicherheitslücke
NFT werden hauptsächlich als virtuelle In-Game-Assets in GameFi-Projekten verwendet, darunter Ausrüstung, Requisiten und Souvenirs. Sie bieten den Spielern klare Eigentumsverhältnisse und können durch die Kontrolle von Inflation und Knappheit einen stabilen Wert aufrechterhalten. Allerdings kann die unsachgemäße Verwendung von NFTs Sicherheitslücken mit sich bringen.
Die Seltenheit von Ausrüstung oder Requisiten spiegelt sich im Wert des NFT wider, und Spieler werden oft nach den seltensten NFTs suchen. Während des NFT-Minting-Prozesses können blockbezogene Informationen wie Zeitstempel als schwache Zufallsquelle verwendet werden, um NFTs unterschiedlicher Seltenheitsstufen zu generieren. Miner können Blockzeitstempel bis zu einem gewissen Grad manipulieren, um in böswilliger Absicht seltenere NFTs zu prägen.
Selbst zuverlässige Zufallsquellen wie Chainlink VRFs (Verifiable Random Functions) können nicht alle Risiken ausschließen. Ein böswilliger Benutzer könnte die Aktion rückgängig machen, wenn eine unerwünschte NFT-Token-ID geprägt wird, und den Vorgang so lange wiederholen, bis ein seltener NFT geprägt wird.
Potenzielle Schwachstellen bei Smart Contracts können entstehen, wenn Spieler NFTs handeln und übertragen. Beispielsweise wird die Funktion „safeTransfrom()“ zum Übertragen von ERC-721 NFT verwendet. Wenn der Empfänger die Vertragsadresse ist, wird die Funktion onerc721Reaceived () für einen Rückruf ausgelöst. Es besteht auch das potenzielle Risiko von Wiedereintrittsangriffen, bei denen ein Angreifer die Logik in der Funktion auf erc721Reaceived() bestimmen könnte.
Dieses Risiko besteht auch bei ERC-1155-NFTs, bei denen die Funktion „safeTransform()“ die Funktion „onerc1155Received()“ auslöst und es einem Angreifer ermöglicht, einen Wiedereintrittsangriff durchzuführen.
Sicherheitslücke bei Cross-Chain-Bridges
GameFi wird Cross-Chain-Brücken verwenden, um Benutzern den Austausch von In-Game-Assets über verschiedene Netzwerke zu ermöglichen. Sie sind auch entscheidend für die Verbesserung der Erfahrung und Liquidität von GameFi.
Ein großes Risiko von Cross-Chain-Brücken in GameFi besteht in Inkonsistenzen zwischen In-Game-Assets. Die Verträge auf beiden Seiten der Cross-Chain-Brücke sollen sicherstellen, dass die Anzahl der angenommenen und vernichteten Vermögenswerte gleich ist. Aufgrund von Schwachstellen bei der Überprüfung und Prüfung des Vertrags können Angreifer jedoch in den Vertrag eindringen und große Mengen an Vermögenswerten aus dem Nichts erschaffen.
Sicherheitslücke in der DAO-Governance
Viele GameFi-Projekte werden von DAOs verwaltet, was ein Zentralisierungsrisiko darstellen könnte, wenn die Mehrheit der Governance-Token im Besitz einiger weniger großer Akteure ist. Intelligente Verträge, die die Governance-Regeln des DAO definieren, eröffnen eine weitere Möglichkeit für potenzielle Risiken, da Angreifer Wege finden können, auf die DAO-Bibliothek zuzugreifen.
Sicherheitsherausforderungen außerhalb der Kette
Die meisten GameFi-Projekte verlassen sich immer noch auf zentralisierte Off-Chain-Server für Back-End-Operationen, Netzwerkschnittstellen oder mobile Anwendungen. Diese Server speichern wichtige Informationen, einschließlich Spieldaten und Besitzerkonten, und sind anfällig für böswillige Angriffe wie Penetration und Trojaner-Malware.
Die Metadaten des NFT enthalten wichtige beschreibende Informationen und werden außerhalb der Kette als JSON-Datei gespeichert. Viele GameFi-Projekte speichern ihre NFT-Metadaten jedoch auf ihren eigenen zentralen Servern, anstatt eine dezentrale Infrastruktur wie IPFS zu verwenden. Dies erhöht die Möglichkeit, dass interessierte Parteien oder Angreifer Metadaten manipulieren und möglicherweise Spielerrechte verletzen.
Bei Verwendung einer Cross-Chain-Bridge kann ein Angreifer durch Penetrations- oder Phishing-Angriffe an die Signatur oder den privaten Schlüssel des Validators gelangen. Sie können die Infrastruktur kompromittieren und Schwachstellen ausnutzen, um die Kontrolle über In-Game-Assets zu erlangen.
Während der Datenübertragung kann ein Angreifer Netzwerkpakete kapern und Schadcode einschleusen. Durch Modifizieren des Datenpakets kann der Angreifer eine falsche Aufladung erreichen und den Kaufbetrag der Einheit manipulieren, um mehr Spielzubehör zu erhalten.
Frontend-Schnittstellen bieten Angreifern auch eine weitere Möglichkeit, böswillig in das System einzudringen. Wenn Informationen in der Rangliste eines bestimmten Spiels durchsickern, kann der Angreifer die durchgesickerten adressbezogenen Informationen an den Server senden, um an die entsprechenden sensiblen Informationen zu gelangen.
So verbessern Sie die Sicherheit
Um das GameFi-Projekt zu schützen, sollten Sie in jeder Phase Vorsicht walten lassen. Die Gewährleistung eines fehlerfreien Smart-Contract-Codes ist für den Erfolg des GameFi-Projekts von grundlegender Bedeutung. Dazu gehört das Schreiben von qualitativ hochwertigem Code, die Durchführung regelmäßiger Audits und die Verwendung einer formellen Smart-Contract-Verifizierung.
Auch die Aufrechterhaltung der Sicherheit von Servern und anderen Infrastrukturkomponenten ist von entscheidender Bedeutung; Penetrationstests sollten durchgeführt werden, um mögliche Schwachstellen zeitnah zu erkennen. Web3-Funktionen können bei der Durchführung von Penetrationstests mit DApps und Blockchain-basierten Systemen genutzt werden. Daher müssen bei digitalen Geldbörsen und dezentralen Protokollen besondere Vorsichtsmaßnahmen getroffen werden.
GameFi-Projekte sollten auch andere Best Practices befolgen, einschließlich sicherer Laufzeitprozesse und vollständiger Notfallreaktion. Ersteres umfasst die Überwachung ausgelöster Sicherheitsereignisse, die Erhöhung der Sicherheit der Umgebung und die Einführung von Bug-Bounty-Programmen.
Gleichzeitig muss das Projekt einen vollständigen Notfallreaktionsprozess entwickeln, einschließlich Stop-Loss-Handhabung, Angriffsverfolgung und Problemanalyse.
Abschluss
Die Sicherheitslücken von GameFi beschränken sich nicht nur auf die in diesem Artikel genannten Schwachstellen. Viele Vorfälle zeigen, dass viele Projekte Sicherheitsrisiken ignorieren oder herunterspielen. GameFi ist ein wichtiger Teil der zukünftigen Gaming-Branche. Daher sollten sich Projekte immer auf Sicherheitsfragen konzentrieren und die Interessen der Gemeinschaft in den Vordergrund stellen.
Weiterführende Literatur
Das Konzept von GameFi und wie es funktioniert
Eine Einführung in das Konzept von NFT-Spielen und ihre Funktionsprinzipien
Was ist ein Smart-Contract-Sicherheitsaudit?
Haftungsausschluss und Risikowarnung: Der Inhalt dieses Artikels wird „wie besehen“ nur zu allgemeinen Informations- und Bildungszwecken bereitgestellt und stellt keine Zusicherung oder Gewährleistung dar. Dieser Artikel ist nicht als finanzielle, rechtliche oder sonstige professionelle Beratung zu verstehen und stellt keine Empfehlung für den Kauf eines bestimmten Produkts oder einer bestimmten Dienstleistung dar. Wenn Sie Anlageberatung benötigen, lassen Sie sich bitte professionell beraten. Wenn der Artikel von einem Drittautoren bereitgestellt wird, beachten Sie bitte: Die Meinungen sind die des Drittautors und spiegeln nicht unbedingt die Ansichten der Binance Academy wider. Für weitere Informationen klicken Sie bitte hier, um unseren vollständigen Haftungsausschluss zu lesen. Die Preise digitaler Vermögenswerte können schwanken. Der Wert Ihrer Anlage kann sowohl fallen als auch steigen und Sie erhalten möglicherweise nicht den investierten Kapitalbetrag zurück. Sie sind allein für Ihre eigenen Anlageentscheidungen verantwortlich und Binance ist nicht verantwortlich für etwaige Verluste, die Sie erleiden. Die hierin enthaltenen Informationen stellen keine finanzielle, rechtliche oder sonstige professionelle Beratung dar. Weitere Informationen finden Sie in unseren Nutzungsbedingungen und Risikohinweisen.