¿Cuáles son algunos problemas de seguridad comunes con GameFi?

Este artículo es una contribución de la comunidad. El autor es Zhangchi Qin, auditor de contratos inteligentes de Salus Security, una empresa holística de seguridad blockchain.
Las opiniones expresadas en este artículo son las del colaborador/autor y no reflejan necesariamente las opiniones de Binance Academy.
Resumen:
Los desafíos de seguridad que enfrenta el proyecto GameFi se pueden clasificar a grandes rasgos en problemas dentro y fuera de la cadena.
Los desafíos de seguridad en cadena involucran principalmente la gestión de tokens ERC-20 y NFT, la seguridad de puentes entre cadenas y la gobernanza de organizaciones autónomas descentralizadas (DAO).
Los desafíos fuera de la cadena suelen estar relacionados con servidores e interfaces de red.
Los proyectos de GameFi deben priorizar las medidas de protección de seguridad, como auditorías estrictas, escaneo de vulnerabilidades y pruebas de penetración, e implementar mejores prácticas operativas y controles comerciales.
IntroducciónGameFi combina la tecnología blockchain con juegos para crear una plataforma descentralizada con activos del juego y monedas digitales. Por lo general, adopta un modelo de jugar para ganar (P2E), que permite a los jugadores ganar recompensas en criptomonedas. GameFi también brinda a los jugadores una verdadera propiedad y control total sobre los activos del juego.
A pesar de la creciente popularidad de GameFi, se enfrenta a amenazas constantes y graves por parte de piratas informáticos durante todo su ciclo de vida. Algunos proyectos pueden valorar la velocidad (más que la calidad) y, por lo tanto, carecen de precauciones de seguridad sólidas, lo que a menudo pone tanto a la comunidad como a los creadores en riesgo de sufrir pérdidas significativas.
¿Por qué es importante la seguridad de GameFi?GameFi ha experimentado un crecimiento considerable en 2021, y su modelo P2E brinda a los jugadores nuevas oportunidades de ingresos dentro del juego. En 2022, mover para ganar resaltará aún más el potencial de crecimiento de GameFi. GameFi es la industria de criptomonedas líder en 2022 y representa aproximadamente el 9,5% de los fondos totales de la industria, con un crecimiento interanual de más del 118%.
GameFi se diferencia de los juegos tradicionales porque los usuarios enfrentan mayores riesgos y cualquier ataque de piratas informáticos puede causar pérdidas importantes. En casos extremos, una brecha de seguridad puede provocar la terminación de un proyecto.
Por ejemplo, en 2022, los atacantes utilizaron una puerta trasera en un nodo de llamada a procedimiento remoto (RPC) para obtener la firma del proyecto GameFi Axie Infinity, lo que les permitió realizar retiros no autorizados y robar un total de casi 600 millones de dólares en ETH. Cualquier laguna en el proyecto GameFi puede causar enormes pérdidas a inversores y jugadores, lo que resalta la importancia crítica de la seguridad de GameFi.
Desafíos de seguridad en cadenaVulnerabilidad del token ERC-20En el proyecto GameFi, los tokens ERC-20 se utilizan a menudo como moneda virtual para compras dentro del juego, mecanismos de recompensa para jugadores y medios de intercambio.
La acuñación y gestión inadecuadas de tokens ERC-20 pueden plantear riesgos de seguridad. Una vulnerabilidad común llamada "reentrada" puede ocurrir durante el proceso de conversión. Un atacante puede explotar las vulnerabilidades lógicas del contrato para realizar repetidamente funciones específicas, acuñando así tokens de forma indefinida.
Como moneda universal del juego, la estabilidad y cantidad de tokens ERC-20 determinan la jugabilidad y sostenibilidad del juego. Por lo tanto, los proyectos deben garantizar la lógica del código y controlar estrictamente el suministro total de tokens ERC-20.
El proyecto P2E GameFi DeFi Kingdoms fue atacado mediante acuñación maliciosa de ERC-20 en 2022. Algunos jugadores aprovecharon una falla lógica para acuñar el token nativo bloqueado del juego, lo que provocó que el precio del token cayera en picado.
Vulnerabilidad NFTNFT se utiliza principalmente como activos virtuales dentro del juego en proyectos GameFi, incluidos equipos, accesorios y recuerdos. Proporcionan a los jugadores una propiedad clara y pueden mantener un valor estable controlando la inflación y la escasez. Sin embargo, el uso inadecuado de las NFT puede introducir vulnerabilidades de seguridad.
La rareza del equipo o los accesorios se reflejará en el valor del NFT, y los jugadores a menudo buscarán los NFT más raros. Durante el proceso de acuñación de NFT, la información relacionada con el bloque, como las marcas de tiempo, puede usarse como una fuente débil de aleatoriedad para generar NFT de diferentes niveles de rareza. Los mineros pueden manipular las marcas de tiempo de los bloques hasta cierto punto para crear maliciosamente NFT más raros.
Incluso las fuentes confiables de aleatoriedad, como las VRF (funciones aleatorias verificables) de Chainlink, no pueden eliminar todos los riesgos. Un usuario malintencionado podría deshacer la acción cuando se acuñe un ID de token NFT no deseado y seguir repitiendo el proceso hasta que se acuñe un NFT raro.
Pueden surgir posibles vulnerabilidades en los contratos inteligentes cuando los jugadores intercambian y transfieren NFT. Por ejemplo, la función safeTransfrom() se utiliza para transferir ERC-721 NFT. Cuando el destinatario es la dirección del contrato, se activará la función onerc721Reaceived () para la devolución de llamada. También existe el riesgo potencial de ataques de reentrada, donde un atacante podría determinar la lógica en la función en erc721Reaceived().​
También existe este riesgo en los NFT ERC-1155, donde la función safeTransform() activa la función onerc1155Received() y permite a un atacante realizar un ataque de reentrada.
Vulnerabilidad del puente entre cadenasGameFi utilizará puentes entre cadenas para permitir a los usuarios intercambiar activos del juego a través de diferentes redes. También son cruciales para mejorar la experiencia y la liquidez de GameFi.
Un riesgo importante de puentes entre cadenas en GameFi proviene de inconsistencias entre los activos del juego. Los contratos en ambos lados del puente entre cadenas deben garantizar que la cantidad de activos aceptados y destruidos sea la misma. Sin embargo, debido a las vulnerabilidades en la verificación y el pago del contrato, los atacantes pueden invadir el contrato y crear grandes cantidades de activos de la nada.
Vulnerabilidad de gobernanza de DAOMuchos proyectos de GameFi están gobernados por DAO, lo que podría representar un riesgo de centralización si la mayoría de los tokens de gobernanza son propiedad de unos pocos jugadores grandes. Los contratos inteligentes que definen las reglas de gobernanza de DAO abren otra puerta a riesgos potenciales, ya que los atacantes pueden encontrar formas de acceder a la biblioteca de DAO.
Desafíos de seguridad fuera de la cadenaLa mayoría de los proyectos de GameFi todavía dependen de servidores centralizados fuera de la cadena para operaciones de back-end, interfaces de red o aplicaciones móviles. Estos servidores almacenan información crítica, incluidos datos de juegos y cuentas de propietarios, y son vulnerables a ataques maliciosos como penetración y malware troyano.
Los metadatos de NFT contienen información descriptiva importante y se almacenan fuera de la cadena como un archivo JSON. Sin embargo, muchos proyectos de GameFi almacenan sus metadatos NFT en sus propios servidores centralizados en lugar de utilizar una infraestructura descentralizada como IPFS. Esto aumenta la posibilidad de que partes interesadas o atacantes alteren los metadatos, lo que podría violar los derechos de los jugadores.
En el caso de utilizar un puente entre cadenas, un atacante puede obtener la firma del validador o la clave privada mediante ataques de penetración o phishing. Pueden comprometer la infraestructura y explotar vulnerabilidades para tomar el control de los activos del juego.
Durante la transmisión de datos, un atacante puede secuestrar paquetes de red e inyectar código malicioso. Al modificar el paquete de datos, el atacante puede lograr una recarga falsa y alterar el monto de compra de la unidad para obtener más accesorios del juego.
Las interfaces frontales también proporcionan otra forma para que los atacantes penetren maliciosamente en el sistema. Si se filtra información en las clasificaciones de un determinado juego, el atacante puede enviar la información relacionada con la dirección filtrada al servidor para obtener la información confidencial correspondiente.
Cómo mejorar la seguridadPara proteger el proyecto GameFi, asegúrese de tener cuidado en cada etapa. Garantizar un código de contrato inteligente impecable es fundamental para el éxito del proyecto GameFi; esto implica escribir código de alta calidad, realizar auditorías periódicas y utilizar una verificación formal de contrato inteligente.
Mantener la seguridad de los servidores y otros componentes de la infraestructura también es crucial; se deben realizar pruebas de penetración para detectar posibles vulnerabilidades con prontitud. Las capacidades de Web3 se pueden aprovechar al realizar pruebas de penetración utilizando DApps y sistemas basados ​​en blockchain. Por tanto, se deben tomar precauciones específicas con las billeteras digitales y los protocolos descentralizados.
Los proyectos de GameFi también deben seguir otras mejores prácticas, incluidos procesos de ejecución seguros y una respuesta de emergencia completa. El primero implica monitorear los eventos de seguridad desencadenados, reforzar la seguridad del entorno y lanzar programas de recompensas por errores.
Al mismo tiempo, el proyecto debe desarrollar un proceso completo de respuesta a emergencias, incluido el manejo de pérdidas, seguimiento de ataques y análisis de problemas.
ConclusiónLas vulnerabilidades de seguridad de GameFi no se limitan a las vulnerabilidades mencionadas en este artículo. Muchos incidentes muestran que muchos proyectos ignoran o minimizan los riesgos de seguridad. GameFi es una parte importante de la futura industria del juego. Por lo tanto, los proyectos siempre deben centrarse en cuestiones de seguridad y anteponer los intereses de la comunidad.
Otras lecturasEl concepto de GameFi y cómo funciona
Una introducción al concepto de juegos NFT y sus principios operativos.
¿Qué es la auditoría de seguridad de contratos inteligentes?

Descargo de responsabilidad y advertencia de riesgo: el contenido de este artículo se proporciona "tal cual" solo para información general y fines educativos y no constituye ninguna representación o garantía. Este artículo no debe interpretarse como asesoramiento financiero, legal ni de otro tipo profesional, y no es una recomendación para que compre ningún producto o servicio específico. Si necesita asesoramiento sobre inversiones, busque asesoramiento profesional. Si el artículo es proporcionado por un colaborador externo, tenga en cuenta: las opiniones son las del colaborador externo y no reflejan necesariamente los puntos de vista de Binance Academy. Para obtener más información, haga clic aquí para leer nuestro descargo de responsabilidad completo. Los precios de los activos digitales pueden fluctuar. El valor de su inversión puede aumentar o disminuir y es posible que no recupere el capital invertido. Usted es el único responsable de sus propias decisiones de inversión y Binance no es responsable de las pérdidas que pueda sufrir. Nada de lo contenido en este documento constituye asesoramiento financiero, legal o profesional. Para obtener información adicional, consulte nuestros Términos de uso y Advertencia de riesgos.