Los proyectos de GameFi enfrentan varios desafíos de seguridad que se pueden dividir en problemas dentro y fuera de la cadena. Los desafíos de seguridad dentro de la cadena involucran principalmente la gestión de tokens ERC-20 y NFT, la seguridad de los puentes entre cadenas y la gobernanza de DAO, mientras que los desafíos de seguridad fuera de la cadena están relacionados con las interfaces web y los servidores.
Es importante que los proyectos de GameFi prioricen las medidas de seguridad, como auditorías rigurosas, escaneo de vulnerabilidades y pruebas de penetración, así como implementar mejores prácticas operativas y controles comerciales.
Introducción
GameFi combina la tecnología blockchain con los juegos para crear plataformas descentralizadas de activos del juego y monedas digitales. Por lo general, presenta un modelo de juego para ganar que permite a los jugadores ganar recompensas criptográficas y funciones DeFi que permiten beneficios comerciales. GameFi también brinda a los jugadores una verdadera propiedad y control total sobre sus activos en el juego.
Si bien GameFi está ganando popularidad, se enfrenta a continuas e importantes amenazas de piratería a lo largo de su ciclo de vida. Algunos proyectos se desarrollan apresuradamente y, por lo tanto, carecen de medidas de seguridad sólidas, lo que pone tanto a la comunidad como a los creadores en riesgo de sufrir pérdidas importantes.
¿Por qué es importante la seguridad de GameFi?
GameFi experimentó un crecimiento considerable en 2021 con el modelo de juego para ganar del proyecto GameFi Axie Infinity, pionero en oportunidades financieras en el juego. En 2022, los proyectos de movimiento para ganar resaltaron aún más el potencial de crecimiento de GameFi. La financiación total para la industria de la criptografía en 2022 alcanzó alrededor de 55.660 millones de dólares estadounidenses con un crecimiento interanual de más del 118%, y GameFi representó alrededor del 9,5%, lo que lo convierte en uno de los sectores líderes.
La industria GameFi se diferencia de la industria del juego tradicional porque hay más en juego para los usuarios y cualquier pirateo podría generar pérdidas significativas para los usuarios. En escenarios extremos, las violaciones de seguridad podrían poner fin al proyecto.
Por ejemplo, los piratas informáticos explotaron una puerta trasera en un nodo PRC (llamada a procedimiento remoto) para obtener una firma en la plataforma Axie Infinity, lo que permitió a los piratas informáticos realizar retiros no autorizados de casi 600 millones de dólares en ETH. Cualquier vulnerabilidad en los proyectos de GameFi podría provocar pérdidas masivas tanto para los inversores como para los jugadores, lo que subraya la importancia crítica de la seguridad de GameFi.
Desafíos de seguridad en cadena
Vulnerabilidades del token ERC-20
Los tokens ERC-20 se utilizan con frecuencia en proyectos GameFi como moneda virtual para compras dentro del juego, mecanismos de recompensa para los jugadores y medio de intercambio.
La acuñación y gestión inadecuadas de tokens ERC-20 pueden introducir riesgos de seguridad. Una vulnerabilidad común, llamada reentrada, puede surgir durante el proceso de acuñación. Los ataques pueden aprovechar la laguna lógica en un contrato para ejecutar repetidamente una función específica, lo que resulta en la acuñación infinita de tokens.
Como monedas universales en el juego, la estabilidad y cantidad de los tokens ERC-20 determinan la jugabilidad y sostenibilidad de un juego. Por lo tanto, los proyectos deben garantizar la lógica de los códigos y controlar estrictamente el suministro total de tokens ERC-20.
El proyecto P2E GameFi, DeFi Kingdoms, fue atacado mediante acuñación maliciosa de ERC-20 en 2022. Algunos jugadores aprovecharon la vulnerabilidad lógica para acuñar los tokens nativos bloqueados del juego, lo que provocó que el precio del token cayera en picado después.
Vulnerabilidades de NFT
Los NFT se utilizan principalmente como activos virtuales dentro de los proyectos GameFi, incluidos equipos, accesorios y recuerdos. Ofrecen a los jugadores una propiedad clara y pueden mantener un valor estable mediante el control de la inflación y la escasez. Sin embargo, el uso inadecuado de las NFT puede introducir vulnerabilidades de seguridad.
El valor de los NFT se refleja en la rareza de los equipos o accesorios, y los jugadores suelen buscar los NFT más raros. Durante el proceso de acuñación de NFT, la información relacionada con el bloque, como las marcas de tiempo, puede usarse como una fuente aleatoria débil para generar NFT con diferentes niveles de rareza. Un minero puede manipular la marca de tiempo del bloque hasta cierto punto para acuñar NFT más raros de manera maliciosa.
Incluso una fuente confiable de aleatoriedad, como Chainlink VRF (función aleatoria verificable), no elimina todos los riesgos. Los usuarios malintencionados pueden revocar operaciones mientras crean ID de tokens NFT no deseados y repetir el proceso hasta que se acuña un NFT poco común.
Cuando los jugadores intercambian y transfieren NFT, pueden ocurrir posibles vulnerabilidades en los contratos inteligentes. Por ejemplo, la función safeTransferFrom() se utiliza para transferir NFT ERC-721. Cuando el receptor es una dirección de contrato, la función onERC721Received() se activará para una devolución de llamada. Luego existe el riesgo potencial de ataques de reentrada, mediante los cuales los atacantes pueden dictar la lógica dentro de la función en ERC721Received().
Este riesgo también existe entre los NFT ERC-1155, donde la función safeTransferFrom() activa la función onERC1155Received() y permite a los atacantes llevar a cabo un ataque de reentrada.
Vulnerabilidades de puentes
Los puentes entre cadenas se utilizan en GameFi para permitir a los usuarios intercambiar activos del juego a través de diferentes redes. También son fundamentales para mejorar las experiencias y la liquidez de GameFi.
Un riesgo importante de los puentes entre cadenas en GameFi proviene de las inconsistencias entre los activos del juego. Los contratos a ambos lados del puente deberían garantizar que se aceptará y quemará la misma cantidad de activos. Sin embargo, debido a las lagunas en los contratos de verificación y contabilidad, los atacantes pueden comprometerlos para crear una gran cantidad de activos de la nada.
Vulnerabilidades de gobernanza de DAO
Muchos proyectos de GameFi están gobernados por DAO, lo que puede introducir el riesgo de centralización si la mayoría de los tokens de gobernanza son propiedad de unos pocos actores importantes. Los contratos inteligentes que definen las reglas de gobernanza de DAO abren otro lugar para posibles compromisos, ya que los atacantes pueden encontrar formas de acceder a la tesorería de DAO.
Desafíos de seguridad fuera de la cadena
La mayoría de los proyectos de GameFi todavía dependen de servidores centralizados fuera de la cadena para operaciones de back-end, interfaces web o aplicaciones móviles. Estos servidores albergan información crítica, incluidos datos de juegos y cuentas de propietarios, y son vulnerables a ataques maliciosos como penetración y malware troyano.
Cuando se trata de NFT, los metadatos contienen información descriptiva importante y se almacenan fuera de la cadena como archivos JSON. Sin embargo, muchos proyectos de GameFi almacenan sus metadatos NFT en sus propios servidores centralizados en lugar de utilizar una infraestructura descentralizada como IPFS. Esto aumenta la probabilidad de que partes relacionadas o atacantes alteren los metadatos, lo que podría infringir los derechos de los jugadores.
En el contexto de puentes entre cadenas, los atacantes pueden obtener firmas de validadores o claves privadas mediante ataques de penetración o phishing. Pueden comprometer la infraestructura y ejecutar un exploit para controlar los activos del juego.
Durante la transmisión de datos, los atacantes pueden secuestrar e inyectar el paquete de red con código malicioso. Al modificar el paquete de datos, los atacantes pueden implementar recargas falsas y usar el monto de compra de la unidad para obtener más artículos del juego.
Las interfaces frontales brindan a los atacantes otra vía para infiltrarse maliciosamente en el sistema. Si se produce una fuga de información en la tabla de clasificación de un juego, los atacantes pueden enviar la información relacionada con la dirección filtrada al servidor para obtener la información confidencial correspondiente.
Formas de mejorar la seguridad
Para salvaguardar los proyectos de GameFi, es fundamental actuar con precaución en cada etapa. Garantizar códigos de contratos inteligentes impecables es la base de un proyecto GameFi exitoso; esto implica escribir código de alta calidad, realizar auditorías periódicas y utilizar una verificación formal de contratos inteligentes. Los proyectos de GameFi también deben cumplir con otras mejores prácticas, incluido un proceso de ejecución seguro y una respuesta de emergencia completa.
Si bien estos pasos ayudan a proteger la infraestructura de GameFi de amenazas externas, los proyectos también deberían adoptar un enfoque más proactivo para garantizar la confiabilidad de sus productos y la seguridad de los fondos. En primer lugar, es crucial mejorar la conciencia sobre la seguridad y darse cuenta de que no solo se debe realizar una auditoría de seguridad para cumplir con los requisitos de las plataformas y las partes reguladoras, sino que también debe ser un paso esencial para lograr el éxito a largo plazo del proyecto. Cada proyecto de GameFi debería buscar activamente socios de seguridad confiables para realizar auditorías de seguridad, donde los profesionales identificarían posibles puntos de falla desde el principio y los solucionarían antes de llegar al mercado. En el espacio de la ciberseguridad blockchain, existen algunas empresas de seguridad profesionales y confiables como Salus Security, Trail of Bits, OpenZeppelin y ConsenSys Diligence, que se especializan en salvaguardar proyectos criptográficos y tienen una amplia experiencia en la seguridad de proyectos GameFi. Elegir un socio de seguridad confiable y ser auditado en cada paso esencial no solo puede interesar mucho a la comunidad y aumentar su fe en el proyecto, sino que también puede reducir al máximo la posibilidad de ataques.
Además, las billeteras y dApps relacionadas deben someterse a un análisis de vulnerabilidades para detectar cualquier deficiencia que pueda causar problemas potenciales. Y finalmente, al someter el proyecto a pruebas integrales de penetración Web3, los profesionales de la seguridad pueden simular vulnerabilidades en un entorno controlado y recomendar medidas preventivas adecuadas. Las pruebas de penetración Web3 son tan importantes como la auditoría de contratos inteligentes, si no más, ya que las vulnerabilidades fuera de la cadena suelen ser más explotadas. Sugerimos a los usuarios buscar socios de seguridad que se especialicen en pentest Web3 cuando se trata de salvaguardar la seguridad fuera de la cadena.
Pensamientos finales
Las vulnerabilidades de seguridad de GameFi van más allá de las mencionadas anteriormente. Los protocolos deben reconocer la importancia crítica de la seguridad de los activos del juego en GameFi. A diferencia de los juegos tradicionales, descuidar los riesgos de seguridad puede tener importantes consecuencias financieras y de reputación para los usuarios y proyectos de GameFi.
