Questo articolo è un contributo della comunità. L'autore è Zhangchi Qin, un revisore dei conti intelligenti presso Salus Security, una società di sicurezza olistica blockchain.
Le opinioni espresse in questo articolo sono quelle del contributore/autore e non riflettono necessariamente le opinioni di Binance Academy.
Riepilogo:
Le sfide alla sicurezza affrontate dal progetto GameFi possono essere approssimativamente classificate in problemi on-chain e off-chain.
Le sfide alla sicurezza on-chain riguardano principalmente la gestione dei token ERC-20 e degli NFT, la sicurezza dei bridge cross-chain e la governance delle organizzazioni autonome decentralizzate (DAO).
Le sfide fuori catena sono solitamente legate alle interfacce di rete e ai server.
I progetti GameFi dovrebbero dare priorità alle misure di protezione della sicurezza, come audit rigorosi, scansione delle vulnerabilità e test di penetrazione, e implementare le migliori pratiche operative e controlli aziendali.
introduzione
GameFi combina la tecnologia blockchain con i giochi per creare una piattaforma decentralizzata con risorse di gioco e valute digitali. Solitamente adotta un modello play-to-earn (P2E), consentendo ai giocatori di guadagnare premi in criptovaluta. GameFi offre inoltre ai giocatori la vera proprietà e il controllo completo sulle risorse di gioco.
Nonostante la crescente popolarità di GameFi, durante tutto il suo ciclo di vita deve affrontare minacce gravi e costanti da parte degli hacker. Alcuni progetti potrebbero privilegiare la velocità (rispetto alla qualità) e quindi mancare di solide precauzioni di sicurezza, il che spesso mette sia la comunità che i creatori a rischio di perdite significative.
Perché la sicurezza di GameFi è importante?
GameFi ha registrato una crescita considerevole nel 2021, con il suo modello P2E che offre ai giocatori nuove opportunità di guadagno in-game. Nel 2022, il movimento per guadagnare metterà ulteriormente in evidenza il potenziale di crescita di GameFi. GameFi è il settore leader delle criptovalute nel 2022, rappresentando circa il 9,5% dei fondi totali del settore, con una crescita anno su anno di oltre il 118%.
GameFi è diverso dai giochi tradizionali perché gli utenti corrono rischi maggiori e qualsiasi attacco hacker può causare perdite significative. In casi estremi, una violazione della sicurezza può portare alla chiusura di un progetto.
Ad esempio, nel 2022, gli aggressori hanno utilizzato una backdoor in un nodo RPC (Remote Procedure Call) per ottenere la firma del progetto GameFi Axie Infinity, consentendo loro di effettuare prelievi non autorizzati e rubare un totale di quasi 600 milioni di dollari in ETH. Eventuali lacune nel progetto GameFi potrebbero causare enormi perdite a investitori e giocatori, il che evidenzia l’importanza fondamentale della sicurezza di GameFi.
Sfide di sicurezza on-chain
Vulnerabilità del token ERC-20
Nel progetto GameFi, i token ERC-20 vengono spesso utilizzati come valuta virtuale per acquisti in-game, meccanismi di ricompensa dei giocatori e mezzi di scambio.
Il conio e la gestione impropria dei token ERC-20 possono comportare rischi per la sicurezza. Durante il processo di casting può verificarsi una vulnerabilità comune chiamata "rientranza". Un utente malintenzionato può sfruttare le vulnerabilità logiche del contratto per eseguire ripetutamente funzioni specifiche, coniando così token a tempo indeterminato.
Essendo una valuta di gioco universale, la stabilità e la quantità dei token ERC-20 determinano la giocabilità e la sostenibilità del gioco. Pertanto, i progetti dovrebbero garantire la logica del codice e controllare rigorosamente la fornitura totale di token ERC-20.
Il progetto P2E GameFi DeFi Kingdoms è stato attaccato dal conio dannoso ERC-20 nel 2022. Alcuni giocatori hanno approfittato di un difetto logico per coniare il token nativo bloccato del gioco, facendo successivamente crollare il prezzo del token.
Vulnerabilità NFT
NFT viene utilizzato principalmente come risorse virtuali di gioco nei progetti GameFi, tra cui attrezzature, oggetti di scena e souvenir. Forniscono ai giocatori una chiara proprietà e possono mantenere un valore stabile controllando l’inflazione e la scarsità. Tuttavia, l’uso improprio degli NFT può introdurre vulnerabilità di sicurezza.
La rarità dell'equipaggiamento o degli oggetti di scena si rifletterà nel valore dell'NFT e i giocatori spesso cercheranno gli NFT più rari. Durante il processo di conio degli NFT, le informazioni relative ai blocchi come i timestamp possono essere utilizzate come una debole fonte di casualità per generare NFT di diversi livelli di rarità. I minatori possono manipolare in una certa misura i timestamp dei blocchi per coniare maliziosamente NFT più rari.
Anche fonti affidabili di casualità, come le VRF (Funzioni casuali verificabili) di Chainlink, non possono eliminare tutti i rischi. Un utente malintenzionato potrebbe annullare l'azione quando viene coniato un ID token NFT indesiderato e continuare a ripetere il processo finché non viene coniato un NFT raro.
Potenziali vulnerabilità dei contratti intelligenti possono sorgere quando i giocatori scambiano e trasferiscono NFT. Ad esempio, la funzione safeTransfrom() viene utilizzata per trasferire NFT ERC-721. Quando il destinatario è l'indirizzo del contratto, verrà attivata la funzione onerc721Received () per la richiamata. Esiste anche il rischio potenziale di attacchi di rientro, in cui un utente malintenzionato potrebbe determinare la logica nella funzione su erc721Reaceived().
Questo rischio è presente anche negli NFT ERC-1155, dove la funzione safeTransform() attiva la funzione onerc1155Received() e consente a un utente malintenzionato di eseguire un attacco di rientro.
Vulnerabilità del ponte a catena incrociata
GameFi utilizzerà ponti a catena incrociata per consentire agli utenti di scambiare risorse di gioco attraverso reti diverse. Sono anche cruciali per migliorare l’esperienza e la liquidità di GameFi.
Uno dei maggiori rischi di ponti a catena incrociata in GameFi deriva dalle incoerenze tra le risorse di gioco. I contratti su entrambi i lati del ponte delle catene incrociate dovrebbero garantire che il numero di beni accettati e distrutti sia lo stesso. Tuttavia, a causa delle vulnerabilità nella verifica e nel checkout del contratto, gli aggressori possono invadere il contratto e creare grandi quantità di risorse dal nulla.
Vulnerabilità della governance DAO
Molti progetti GameFi sono governati da DAO, il che potrebbe rappresentare un rischio di centralizzazione se la maggior parte dei token di governance fosse di proprietà di pochi grandi attori. I contratti intelligenti che definiscono le regole di governance della DAO aprono un’altra apertura a potenziali rischi, poiché gli aggressori possono trovare modi per accedere alla libreria DAO.
Sfide di sicurezza fuori catena
La maggior parte dei progetti GameFi si basa ancora su server centralizzati fuori catena per operazioni di back-end, interfacce di rete o applicazioni mobili. Questi server memorizzano informazioni critiche, inclusi dati di gioco e account dei proprietari, e sono vulnerabili ad attacchi dannosi come penetrazione e malware trojan.
I metadati dell'NFT contengono importanti informazioni descrittive e vengono archiviati off-chain come file JSON. Tuttavia, molti progetti GameFi archiviano i propri metadati NFT sui propri server centralizzati anziché utilizzare infrastrutture decentralizzate come IPFS. Ciò aumenta la possibilità di manomissione dei metadati da parte di parti interessate o aggressori, violando potenzialmente i diritti dei giocatori.
Utilizzando un cross-chain bridge l'aggressore può impossessarsi della firma o della chiave privata del validatore attraverso attacchi di penetrazione o phishing. Possono compromettere l'infrastruttura e sfruttare le vulnerabilità per assumere il controllo delle risorse di gioco.
Durante la trasmissione dei dati, un utente malintenzionato può dirottare i pacchetti di rete e inserire codice dannoso. Modificando il pacchetto dati, l'aggressore può ottenere una falsa ricarica e manomettere l'importo di acquisto dell'unità per ottenere più oggetti di gioco.
Le interfacce front-end forniscono inoltre agli aggressori un altro modo per penetrare in modo dannoso nel sistema. Se vengono divulgate informazioni sulla classifica di un determinato gioco, l'aggressore può inviare al server le informazioni relative all'indirizzo trapelate per ottenere le corrispondenti informazioni sensibili.
Come migliorare la sicurezza
Per proteggere il progetto GameFi, assicurati di prestare attenzione in ogni fase. Garantire un codice di contratto intelligente impeccabile è fondamentale per il successo del progetto GameFi: ciò comporta la scrittura di codice di alta qualità, lo svolgimento di controlli regolari e l'utilizzo della verifica formale del contratto intelligente.
Anche il mantenimento della sicurezza dei server e degli altri componenti dell’infrastruttura è fondamentale; dovrebbero essere eseguiti test di penetrazione per rilevare tempestivamente possibili vulnerabilità. Le funzionalità Web3 possono essere sfruttate quando si conducono test di penetrazione utilizzando DApp e sistemi basati su blockchain. Pertanto, è necessario adottare precauzioni specifiche con i portafogli digitali e i protocolli decentralizzati.
I progetti GameFi dovrebbero anche seguire altre best practice, inclusi processi di runtime sicuri e una risposta completa alle emergenze. Il primo prevede il monitoraggio degli eventi di sicurezza attivati, il rafforzamento della sicurezza dell’ambiente e il lancio di programmi di bug bounty.
Allo stesso tempo, il progetto deve sviluppare un processo completo di risposta alle emergenze, compresa la gestione degli stop-loss, il monitoraggio degli attacchi e l’analisi dei problemi.
Conclusione
Le vulnerabilità della sicurezza di GameFi non si limitano alle vulnerabilità menzionate in questo articolo Molti incidenti dimostrano che molti progetti ignorano o minimizzano i rischi per la sicurezza. GameFi è una parte importante del futuro settore dei giochi. Pertanto, i progetti dovrebbero sempre concentrarsi sulle questioni di sicurezza e mettere al primo posto gli interessi della comunità.
Ulteriori letture
Il concetto di GameFi e come funziona
Un'introduzione al concetto di giochi NFT e ai loro principi operativi
Che cos'è l'audit di sicurezza del contratto intelligente?
Dichiarazione di non responsabilità e avvertenza sui rischi: il contenuto di questo articolo è fornito "così com'è" solo a scopo informativo generale e didattico e non costituisce alcuna dichiarazione o garanzia. Questo articolo non deve essere interpretato come consulenza finanziaria, legale o di altro tipo e non costituisce una raccomandazione all'acquisto di alcun prodotto o servizio specifico. Se hai bisogno di una consulenza sugli investimenti, chiedi una consulenza professionale. Se l'articolo è fornito da un contributore di terze parti, tieni presente che le opinioni sono quelle del contributore di terze parti e non riflettono necessariamente le opinioni di Binance Academy. Per ulteriori informazioni, fare clic qui per leggere il nostro Disclaimer completo. I prezzi delle risorse digitali possono variare. Il valore del vostro investimento potrebbe diminuire così come aumentare e potreste non recuperare il capitale investito. Sei l'unico responsabile delle tue decisioni di investimento e Binance non è responsabile per eventuali perdite che potresti subire. Nulla di quanto contenuto nel presente documento costituisce consulenza finanziaria, legale o di altro tipo professionale. Per ulteriori informazioni, consultare i nostri Termini di utilizzo e Avvertenza sui rischi.