Cet article est une contribution de la communauté. L'auteur est Zhangchi Qin, auditeur de contrats intelligents chez Salus Security, une société de sécurité holistique de la blockchain.

Les opinions exprimées dans cet article sont celles du contributeur/auteur et ne reflètent pas nécessairement les opinions de Binance Academy.

Résumé:

  • Les défis de sécurité auxquels est confronté le projet GameFi peuvent être grossièrement classés en problèmes en chaîne et hors chaîne.

  • Les défis de sécurité en chaîne concernent principalement la gestion des jetons ERC-20 et des NFT, la sécurité des ponts inter-chaînes et la gouvernance des organisations autonomes décentralisées (DAO).

  • Les défis hors chaîne sont généralement liés aux interfaces réseau et aux serveurs.

  • Les projets GameFi doivent donner la priorité aux mesures de protection de sécurité, telles qu'un audit strict, l'analyse des vulnérabilités et les tests d'intrusion, et mettre en œuvre les meilleures pratiques opérationnelles et contrôles commerciaux.

Introduction

GameFi combine la technologie blockchain et les jeux pour créer une plateforme décentralisée caractérisée par des actifs de jeu et des monnaies numériques. Il adopte généralement un modèle de jouer pour gagner (P2E) qui permet aux joueurs de recevoir des récompenses en cryptomonnaie. GameFi permet également aux joueurs de jouir d'une véritable propriété et d'un contrôle total sur les actifs du jeu.

Bien que GameFi gagne en popularité, il fait face à des menaces continues et sérieuses de la part des pirates tout au long de son cycle de vie. Certains projets peuvent privilégier la vitesse (plutôt que la qualité), ce qui entraîne un manque de mesures de sécurité solides, ce qui expose souvent la communauté et les créateurs à des risques de pertes importantes.

Pourquoi la sécurité de GameFi est-elle importante ?

GameFi a connu une croissance considérable en 2021, avec son modèle P2E offrant aux joueurs de nouvelles opportunités de revenus en jeu. En 2022, le modèle 'move-to-earn' a encore mis en lumière le potentiel de croissance de GameFi. GameFi est devenu l'un des principaux secteurs de la cryptomonnaie en 2022, représentant environ 9,5 % du financement total du secteur, avec une croissance de plus de 118 % d'une année sur l'autre.

GameFi diffère des jeux traditionnels car les utilisateurs sont confrontés à des risques plus importants, et toute attaque de pirate peut entraîner des pertes significatives. Dans des cas extrêmes, les vulnérabilités de sécurité peuvent entraîner la fin d'un projet.

Par exemple, en 2022, des attaquants ont exploité une porte dérobée dans un nœud d'appel de procédure distante (RPC) pour obtenir la signature du projet GameFi Axie Infinity, permettant ainsi des retraits non autorisés, volant près de 600 millions de dollars d'ETH. Toute vulnérabilité dans un projet GameFi peut entraîner d'énormes pertes pour les investisseurs et les joueurs, ce qui souligne davantage l'importance cruciale de la sécurité de GameFi.

Défis de sécurité en chaîne

Vulnérabilités des jetons ERC-20

Dans les projets GameFi, les jetons ERC-20 sont souvent utilisés comme monnaie virtuelle pour les achats en jeu, les mécanismes de récompense des joueurs et les moyens d'échange.

Une mauvaise gestion et un mauvais minting des jetons ERC-20 peuvent entraîner des risques de sécurité. Pendant le processus de minting, il peut exister une vulnérabilité courante appelée 'réentrance'. Les attaquants peuvent exploiter des failles logiques dans le contrat pour exécuter à plusieurs reprises certaines fonctions, ce qui leur permet de mint un nombre illimité de jetons.

En tant que monnaie de jeu universelle, la stabilité et le nombre de jetons ERC-20 déterminent la jouabilité et la durabilité du jeu. Par conséquent, le projet doit garantir la logique du code et contrôler strictement l'offre totale de jetons ERC-20.

Le projet GameFi P2E DeFi Kingdoms a été attaqué en 2022 par un minting malveillant de jetons ERC-20. Certains joueurs ont exploité des failles logiques pour mint les jetons natifs verrouillés du jeu, provoquant une chute subséquente du prix des jetons.

Vulnérabilités des NFT

Les NFT sont principalement utilisés comme actifs virtuels dans les projets GameFi, y compris des équipements, des objets et des souvenirs. Ils peuvent offrir une propriété claire aux joueurs et maintenir une valeur stable en contrôlant l'inflation et la rareté. Cependant, une utilisation inappropriée des NFT peut introduire des vulnérabilités de sécurité.

La rareté des équipements ou des objets se reflète dans la valeur des NFT, et les joueurs recherchent souvent les NFT les plus rares. Au cours du processus de minting des NFT, des informations liées à des blocs, telles que des horodatages, peuvent être utilisées comme source aléatoire faible pour générer différents niveaux de rareté de NFT. Les mineurs peuvent manipuler dans une certaine mesure l'horodatage des blocs pour mint des NFT plus rares de manière malveillante.

Même des sources de randomité fiables, telles que Chainlink VRF (fonction aléatoire vérifiable), ne peuvent éliminer tous les risques. Les utilisateurs malveillants peuvent annuler l'opération lorsqu'ils mint un ID de jeton NFT non désiré, puis répéter ce processus jusqu'à mint un NFT rare.

Lorsqu'un joueur échange et transfère un NFT, des vulnérabilités potentielles du contrat intelligent peuvent apparaître. Par exemple, la fonction safeTransfrom() est utilisée pour transférer un NFT ERC-721. Lorsque le destinataire est une adresse de contrat, cela déclenche la fonction onerc721Reaceived() pour un rappel. Il existe également un risque potentiel de réentrance, où les attaquants peuvent décider de la logique dans la fonction sur erc721Reaceived().

Il existe également ce risque dans les NFT ERC-1155, où la fonction safeTransform() déclenche la fonction onerc1155Received() et permet aux attaquants de procéder à une attaque par réentrance.

Vulnérabilités des ponts inter-chaînes

Les ponts inter-chaînes sont utilisés dans GameFi pour permettre aux utilisateurs d'échanger des actifs en jeu à travers différents réseaux. Ils sont également cruciaux pour améliorer l'expérience et la liquidité de GameFi.

Un des principaux risques des ponts inter-chaînes dans GameFi provient de l'incohérence entre les actifs au sein du jeu. Les contrats de chaque côté du pont inter-chaînes doivent garantir que la quantité d'actifs acceptés et détruits est la même. Cependant, en raison des vulnérabilités dans la vérification des contrats et le règlement, les attaquants peuvent infiltrer le contrat et créer de grandes quantités d'actifs de manière illégitime.

Vulnérabilités de gouvernance DAO

De nombreux projets GameFi sont gérés par des DAO. Si la majorité des jetons de gouvernance appartiennent à un petit nombre de grands participants, cela peut entraîner des risques de centralisation. Les contrats intelligents définissant les règles de gouvernance des DAO ouvrent une autre brèche potentielle, car les attaquants peuvent trouver des moyens d'accéder à la bibliothèque DAO.

Défis de sécurité hors chaîne

La plupart des projets GameFi dépendent encore de serveurs centralisés hors chaîne pour leurs opérations backend, interfaces réseau ou applications mobiles. Ces serveurs stockent des informations critiques, y compris les données de jeu et les comptes des propriétaires, et sont vulnérables à des attaques malveillantes telles que l'infiltration et les logiciels malveillants.

Les métadonnées des NFT contiennent des informations descriptives importantes et sont stockées en tant que fichiers JSON hors chaîne. Cependant, de nombreux projets GameFi conservent leurs métadonnées NFT sur leurs propres serveurs centralisés, plutôt que d'utiliser des infrastructures décentralisées comme IPFS. Cela augmente la probabilité que les parties concernées ou les attaquants falsifient les métadonnées, ce qui pourrait porter atteinte aux droits des joueurs.

Dans le cas de l'utilisation des ponts inter-chaînes, les attaquants peuvent obtenir la signature ou la clé privée d'un validateur par infiltration ou attaque de phishing. Ils peuvent compromettre l'infrastructure et exploiter les vulnérabilités pour contrôler les actifs dans le jeu.

Lors du transfert de données, les attaquants peuvent intercepter des paquets de données réseau et injecter du code malveillant. En modifiant les paquets, les attaquants peuvent réaliser des recharges frauduleuses et falsifier le montant d'achat d'unités pour obtenir plus d'objets de jeu.

Les interfaces frontales offrent également aux attaquants une autre voie pour infiltrer le système de manière malveillante. Si le classement d'un jeu présente une fuite d'informations, les attaquants peuvent envoyer les informations d'adresse divulguées au serveur pour obtenir les informations sensibles correspondantes.

Comment améliorer la sécurité

Pour protéger les projets GameFi, il est essentiel d'agir avec prudence à chaque étape. S'assurer que le code des contrats intelligents est impeccable est la base du succès d'un projet GameFi - cela implique d'écrire un code de haute qualité, de réaliser des audits réguliers et d'utiliser des vérifications formelles des contrats intelligents.

Maintenir la sécurité des serveurs et d'autres composants d'infrastructure est également essentiel ; des tests de pénétration doivent être effectués pour détecter rapidement les vulnérabilités potentielles. Lors de tests de pénétration avec des DApps et des systèmes basés sur la blockchain, les fonctionnalités Web3 peuvent être exploitées. Il est donc nécessaire de prendre des mesures préventives spécifiques concernant les portefeuilles numériques et les protocoles décentralisés.

Les projets GameFi doivent également suivre d'autres meilleures pratiques, y compris des processus d'exécution sécurisés et une réponse d'urgence complète. Ce dernier implique de surveiller les événements de sécurité déclenchés, de renforcer la sécurité de l'environnement et de publier des programmes de primes pour les vulnérabilités.

En même temps, les projets doivent élaborer des processus de réponse d'urgence complets, y compris la gestion des pertes, le suivi des attaques et l'analyse des problèmes.

Conclusion

Les vulnérabilités de sécurité de GameFi ne se limitent pas à celles mentionnées dans cet article. De nombreux événements montrent que de nombreux projets ignorent ou minimisent les risques de sécurité. GameFi est une partie importante de l'avenir de l'industrie du jeu. Par conséquent, chaque projet doit toujours se concentrer sur les problèmes de sécurité et placer les intérêts de la communauté au premier plan.

Lectures complémentaires

  • Concept et fonctionnement de GameFi

  • Introduction au concept de jeux NFT et à leur fonctionnement

  • Qu'est-ce qu'un audit de sécurité des contrats intelligents ?


Avertissement et mise en garde sur les risques : Le contenu de cet article est fourni 'tel quel' uniquement à des fins d'information générale et d'éducation, et ne constitue aucune déclaration ni garantie. Cet article ne doit pas être compris comme des conseils financiers, juridiques ou professionnels, et ne vous recommande pas d'acheter des produits ou services spécifiques. Pour des conseils d'investissement, veuillez demander l'avis d'un professionnel. Si l'article a été fourni par des contributeurs tiers, veuillez noter que ces opinions appartiennent aux contributeurs tiers et ne reflètent pas nécessairement celles de Binance Academy. Pour plus de détails, veuillez cliquer ici pour consulter notre (avis de non-responsabilité) complet. Les prix des actifs numériques peuvent fluctuer. La valeur de votre investissement peut diminuer ou augmenter, et vous pourriez ne pas être en mesure de récupérer votre capital investi. Vous êtes entièrement responsable de vos décisions d'investissement, et Binance ne sera pas responsable des pertes que vous pourriez subir. Tout le contenu de cet article ne constitue pas des conseils financiers, juridiques ou professionnels. Pour plus d'informations, veuillez consulter nos (conditions d'utilisation) et notre (mise en garde sur les risques).