GameFi に関する一般的なセキュリティ問題にはどのようなものがありますか?

この記事はコミュニティへの寄稿です。著者は総合的なブロックチェーンセキュリティ企業であるSalus Securityのスマートコントラクト監査人であるZhangchi Qin氏です。
この記事で表明されている見解は寄稿者/著者の見解であり、必ずしもバイナンス アカデミーの見解を反映しているわけではありません。
まとめ：
GameFi プロジェクトが直面するセキュリティ上の課題は、オンチェーンの問題とオフチェーンの問題に大別できます。
オンチェーンのセキュリティ課題には主に、ERC-20 トークンと NFT の管理、クロスチェーン ブリッジのセキュリティ、分散型自律組織 (DAO) のガバナンスが含まれます。
オフチェーンの課題は通常、ネットワーク インターフェイスとサーバーに関連しています。
GameFi プロジェクトでは、厳格な監査、脆弱性スキャン、侵入テストなどのセキュリティ保護対策を優先し、ベストな運用慣行とビジネス管理を実装する必要があります。
導入GameFi はブロックチェーン技術とゲームを組み合わせて、ゲーム内アセットとデジタル通貨を特徴とする分散型プラットフォームを作成します。通常、Play-to-Earn (P2E) モデルを採用しており、プレイヤーは暗号通貨の報酬を獲得できます。 GameFi はまた、ゲーマーに真の所有権を与え、ゲーム内アセットを完全に制御できるようにします。
GameFi の人気は高まっていますが、そのライフサイクルを通じてハッカーによる継続的かつ深刻な脅威に直面しています。プロジェクトによっては（品質よりも）スピードを重視するため、堅牢なセキュリティ予防策が欠けている場合があり、多くの場合、コミュニティとクリエイターの両方が重大な損失の危険にさらされます。
GameFi のセキュリティが重要なのはなぜですか?GameFi は 2021 年に大幅な成長を遂げ、その P2E モデルはプレイヤーに新たなゲーム内収益の機会を提供しました。 2022 年には、Move-to-Earn によって GameFi の成長の可能性がさらに強調されるでしょう。 GameFi は 2022 年の仮想通貨業界をリードしており、業界の総資金の約 9.5% を占め、前年比 118% 以上の成長を遂げています。
GameFi は従来のゲームとは異なり、ユーザーはより大きなリスクに直面し、ハッカーの攻撃によって多大な損失が生じる可能性があります。極端な場合には、セキュリティ侵害がプロジェクトの終了につながる可能性があります。
たとえば、2022 年、攻撃者はリモート プロシージャ コール (RPC) ノードのバックドアを使用して GameFi プロジェクト Axie Infinity の署名を取得し、不正な出金を実行して合計 6 億ドル近くの ETH を盗むことができました。 GameFi プロジェクトに抜け穴があると、投資家やプレイヤーに多大な損失をもたらす可能性があり、これは GameFi のセキュリティの重要性を浮き彫りにしています。
オンチェーンのセキュリティの課題ERC-20 トークンの脆弱性GameFi プロジェクトでは、ERC-20 トークンは、ゲーム内購入、プレイヤーの報酬メカニズム、交換手段の仮想通貨としてよく使用されます。
ERC-20 トークンの不適切な鋳造と管理は、セキュリティ上のリスクを引き起こす可能性があります。 「再入性」と呼ばれる一般的な脆弱性は、鋳造プロセス中に発生する可能性があります。攻撃者はコントラクト内の論理的脆弱性を悪用して特定の機能を繰り返し実行し、それによってトークンを無期限に鋳造する可能性があります。
普遍的なゲーム内通貨として、ERC-20 トークンの安定性と量がゲームのプレイアビリティと持続可能性を決定します。したがって、プロジェクトはコード ロジックを保証し、ERC-20 トークンの総供給量を厳密に管理する必要があります。
P2E GameFi プロジェクト DeFi Kingdoms は、2022 年に悪意のある ERC-20 鋳造によって攻撃されました。一部のプレイヤーはロジックの欠陥を利用してゲームのロックされたネイティブ トークンを鋳造し、その後トークンの価格が急落しました。
NFTの脆弱性NFT は主に、GameFi プロジェクトの機器、小道具、記念品などのゲーム内仮想資産として使用されます。プレーヤーに明確な所有権を提供し、インフレと希少性を制御することで安定した価値を維持できます。ただし、NFT を不適切に使用すると、セキュリティ上の脆弱性が発生する可能性があります。
装備や小道具の希少性はNFTの価値に反映され、プレイヤーは最も珍しいNFTを探すことがよくあります。 NFT ミントプロセス中、タイムスタンプなどのブロック関連情報が、異なる希少性レベルの NFT を生成するための弱いランダム性ソースとして使用される場合があります。マイナーはブロックのタイムスタンプをある程度操作して、より希少な NFT を悪意を持って鋳造することができます。
Chainlink VRF (検証可能なランダム関数) などの信頼できるランダム性のソースであっても、すべてのリスクを排除することはできません。悪意のあるユーザーは、不要な NFT トークン ID が鋳造されたときにアクションを取り消し、まれな NFT が鋳造されるまでプロセスを繰り返し続ける可能性があります。
プレーヤーが NFT を取引および転送するときに、潜在的なスマート コントラクトの脆弱性が発生する可能性があります。たとえば、関数safeTransfrom()はERC-721 NFTの転送に使用されます。受信者が契約アドレスの場合、関数 onerc721Reaceived() がコールバックのためにトリガーされます。また、攻撃者が erc721Reaceived() の関数内のロジックを決定する可能性がある、再入攻撃の潜在的なリスクもあります。​
このリスクはERC-1155 NFTにも存在し、関数safeTransform()が関数onerc1155Received()をトリガーし、攻撃者が再入攻撃を実行できるようになります。
クロスチェーンブリッジの脆弱性GameFi はクロスチェーン ブリッジを使用して、ユーザーがさまざまなネットワークを通じてゲーム内アセットを交換できるようにします。これらは、GameFi のエクスペリエンスと流動性を向上させるためにも重要です。
GameFi におけるクロスチェーン ブリッジの主なリスクは、ゲーム内アセット間の不一致から生じます。クロスチェーンブリッジの両側の契約では、受け入れられる資産と破棄される資産の数が同じであることを保証する必要があります。ただし、契約の検証とチェックアウトに脆弱性があるため、攻撃者が契約に侵入し、何もないところから大量の資産を作成する可能性があります。
DAO ガバナンスの脆弱性多くの GameFi プロジェクトは DAO によって管理されており、ガバナンス トークンの大部分が少数の大手プレーヤーによって所有されている場合、集中化のリスクが生じる可能性があります。 DAO のガバナンス ルールを定義するスマート コントラクトは、攻撃者が DAO ライブラリにアクセスする方法を見つけることができるため、潜在的なリスクに別の入り口を開きます。
オフチェーンのセキュリティの課題ほとんどの GameFi プロジェクトは依然として、バックエンド操作、ネットワーク インターフェイス、またはモバイル アプリケーションをオフチェーンの集中サーバーに依存しています。これらのサーバーには、ゲーム データや所有者アカウントなどの重要な情報が保存されており、侵入やトロイの木馬マルウェアなどの悪意のある攻撃に対して脆弱です。
NFT のメタデータには重要な説明情報が含まれており、JSON ファイルとしてオフチェーンに保存されます。ただし、多くの GameFi プロジェクトは、IPFS などの分散インフラストラクチャを使用するのではなく、独自の集中サーバーに NFT メタデータを保存します。これにより、関係者や攻撃者によるメタデータの改ざんの可能性が高まり、プレイヤーの権利が侵害される可能性があります。
クロスチェーン ブリッジを使用する場合、攻撃者は侵入またはフィッシング攻撃を通じてバリデーターの署名または秘密キーを取得する可能性があります。インフラストラクチャを侵害し、脆弱性を悪用してゲーム内資産を制御する可能性があります。
データ送信中に、攻撃者がネットワーク パケットをハイジャックし、悪意のあるコードを挿入する可能性があります。データ パッケージを変更することで、攻撃者は不正なリチャージを実現し、ユニット購入額を改ざんしてより多くのゲームの小道具を取得することができます。
フロントエンド インターフェイスは、攻撃者が悪意を持ってシステムに侵入する別の方法も提供します。あるゲームのランキングで情報が漏洩した場合、攻撃者は漏洩したアドレス関連情報をサーバーに送信し、対応する機密情報を取得する可能性があります。
セキュリティを向上させる方法GameFi プロジェクトを保護するために、あらゆる段階で必ず注意を払ってください。完璧なスマート コントラクト コードを保証することは、GameFi プロジェクトの成功の基礎です。これには、高品質のコードの作成、定期的な監査の実施、正式なスマート コントラクト検証の使用が含まれます。
サーバーやその他のインフラストラクチャ コンポーネントのセキュリティを維持することも重要であり、潜在的な脆弱性を迅速に検出するために侵入テストを実行する必要があります。 Web3 機能は、DApp やブロックチェーン ベースのシステムを使用して侵入テストを実施するときに活用できます。したがって、デジタルウォレットと分散型プロトコルについては特別な予防措置を講じる必要があります。
GameFi プロジェクトは、安全なランタイム プロセスや完全な緊急対応など、他のベスト プラクティスにも従う必要があります。前者には、トリガーされたセキュリティ イベントの監視、環境のセキュリティの強化、バグ報奨金プログラムの開始などが含まれます。
同時に、プロジェクトはストップロスの処理、攻撃追跡、問題分析を含む完全な緊急対応プロセスを開発する必要があります。
結論GameFi のセキュリティの脆弱性は、この記事で説明した脆弱性に限定されません。多くの事件は、多くのプロジェクトがセキュリティ リスクを無視または軽視していることを示しています。 GameFi は将来のゲーム業界の重要な部分です。したがって、プロジェクトは常に安全問題に焦点を当て、コミュニティの利益を最優先する必要があります。
参考文献GameFi の概念とその仕組み
NFTゲームの概念とその動作原理の紹介
スマートコントラクトのセキュリティ監査とは何ですか?

免責事項とリスク警告: この記事の内容は、一般的な情報および教育目的のみに「現状のまま」提供されており、いかなる表明や保証も構成しません。この記事は、財務上、法律上、またはその他の専門的なアドバイスとして解釈されるべきではなく、特定の製品やサービスの購入を推奨するものでもありません。投資に関するアドバイスが必要な場合は、専門家のアドバイスを求めてください。記事が第三者寄稿者によって提供されている場合は、ご注意ください: 意見は第三者寄稿者の意見であり、必ずしもバイナンス アカデミーの見解を反映しているわけではありません。詳細については、ここをクリックして免責事項全文をお読みください。デジタル資産の価格は変動する可能性があります。投資価値は上昇することもあれば下落する可能性があり、投資元本が返還されない可能性があります。あなたは自分自身の投資決定に対して単独で責任を負い、バイナンスはあなたが被る可能性のある損失に対して責任を負いません。ここに含まれる内容は、財務上、法律上、またはその他の専門的なアドバイスを構成するものではありません。詳細については、利用規約とリスク警告をご覧ください。