Šis raksts ir kopienas ieguldījums. Autors ir Džanči Cjiņs, viedlīgumu auditors uzņēmumā Salus Security, kas ir holistisks blokķēdes drošības uzņēmums.
Šajā rakstā paustais viedoklis ir tā autoru/autoru viedoklis un ne vienmēr atspoguļo Binance Academy viedokli.
kopsavilkums:
GameFi projekta drošības problēmas var aptuveni iedalīt ķēdē un ārpus tās esošajās problēmās.
Ķēdes drošības izaicinājumi galvenokārt ir saistīti ar ERC-20 žetonu un NFT pārvaldību, starpķēžu tiltu drošību un decentralizētu autonomu organizāciju (DAO) pārvaldību.
Ārpus ķēdes problēmas parasti ir saistītas ar tīkla saskarnēm un serveriem.
GameFi projektiem vajadzētu prioritāri piemērot drošības pasākumus, piemēram, stingras revīzijas, ievainojamību skenēšanu un ielaušanās testēšanu, kā arī ieviest labāko darbības praksi un biznesa kontroli.
Ievads
GameFi apvieno blokķēdes tehnoloģiju ar spēlēm, lai izveidotu decentralizētu platformu, kas piedāvā spēles resursus un digitālās valūtas. Tā parasti izmanto maksas par spēlēšanu (P2E) modeli, kas ļauj spēlētājiem nopelnīt kriptovalūtas atlīdzības. GameFi arī piešķir spēlētājiem patiesas īpašumtiesības un pilnīgu kontroli pār saviem spēles resursiem.
Neskatoties uz pieaugošo popularitāti, GameFi visā tā dzīves ciklā saskaras ar pastāvīgiem un nopietniem hakeru apdraudējumiem. Daži projekti var dot priekšroku ātrumam, nevis kvalitātei, un tiem trūkst spēcīgu drošības pasākumu, kas bieži vien pakļauj gan kopienu, gan veidotājus ievērojamu zaudējumu riskam.
Kāpēc GameFi drošība ir svarīga?
GameFi 2021. gadā piedzīvoja ievērojamu izaugsmi, un tā vienādranga (P2E) modelis spēlētājiem sniedza jaunas ieņēmumu gūšanas iespējas spēlē. 2022. gadā “move-to-earn” modelis vēl vairāk izcēla GameFi izaugsmes potenciālu. GameFi bija vadošais kriptovalūtu sektors 2022. gadā, veidojot aptuveni 9,5% no kopējā nozares finansējuma, kas ir pieaugums par vairāk nekā 118% salīdzinājumā ar iepriekšējo gadu.
GameFi atšķiras no tradicionālajām spēlēm, jo lietotājiem ir lielāks risks, un jebkurš hakeru uzbrukums var radīt ievērojamus zaudējumus. Ārkārtējos gadījumos drošības pārkāpumi var izraisīt projekta pārtraukšanu.
Piemēram, 2022. gadā uzbrucēji izmantoja attālās procedūras izsaukuma (RPC) mezgla aizmugurējās durvis, lai iegūtu parakstus no GameFi Axie Infinity projekta, nodrošinot neatļautas izmaksas un nozogot gandrīz 600 miljonus ASV dolāru ETH. Jebkura GameFi projekta ievainojamība varētu radīt ievērojamus zaudējumus investoriem un spēlētājiem, uzsverot GameFi drošības kritisko nozīmi.
Ķēdes drošības izaicinājumi
ERC-20 marķieru ievainojamības
GameFi projektā ERC-20 žetoni bieži tiek izmantoti kā virtuālā valūta pirkumiem spēlē, spēlētāju atlīdzības mehānismiem un apmaiņas līdzekļiem.
Nepareiza ERC-20 žetonu kalšana un pārvaldība var radīt drošības riskus. Kalšanas procesā var rasties izplatīta ievainojamība, kas pazīstama kā atkārtota ienākšana (re-entrancy). Uzbrucēji var izmantot loģiskās ievainojamības līgumā, lai atkārtoti izpildītu noteiktas funkcijas, kā rezultātā tiek kalsts bezgalīgs žetonu skaits.
Tā kā ERC-20 žetoni ir universāla spēles valūta, to stabilitāte un daudzums nosaka spēles spēlējamību un ilgtspējību. Tāpēc projektiem jānodrošina koda loģika un stingri jākontrolē kopējais ERC-20 žetonu piedāvājums.
P2E GameFi projekts DeFi Kingdoms 2022. gadā tika pakļauts ļaunprātīgas ERC-20 kalšanas uzbrukumam. Daži spēlētāji izmantoja loģikas ievainojamību, lai kalētu spēles bloķētos vietējos žetonus, izraisot žetona cenas strauju kritumu.
NFT ievainojamības
NFT galvenokārt tiek izmantoti kā spēles virtuālie aktīvi GameFi projektos, tostarp aprīkojums, priekšmeti un piemiņas lietas. Tie nodrošina spēlētājiem skaidras īpašumtiesības un var saglabāt stabilu vērtību, kontrolējot inflāciju un trūkumu. Tomēr NFT nepareiza izmantošana var radīt drošības ievainojamības.
Iekārtu vai priekšmetu retums atspoguļojas NFT vērtībā, un spēlētāji parasti meklē retākos NFT. NFT veidošanas procesā ar blokiem saistīta informācija, piemēram, laika zīmogi, var tikt izmantota kā vājš nejaušības avots, lai ģenerētu dažādas retuma NFT. Kalnrači varētu manipulēt ar bloku laika zīmogiem, lai ļaunprātīgi veidotu retākus NFT.
Pat uzticami nejaušības avoti, piemēram, Chainlink VRF (pārbaudāma nejauša funkcija), nevar pilnībā novērst risku. Ļaunprātīgs lietotājs varētu mainīt darbību, kad tiek ģenerēts nevēlams NFT žetona ID, un pēc tam atkārtot procesu, līdz tiek ģenerēts rets NFT.
Potenciālas viedlīgumu ievainojamības var rasties, spēlētājiem tirgojoties un pārsūtot NFT. Piemēram, funkcija safeTransfrom() tiek izmantota ERC-721 NFT pārsūtīšanai. Ja saņēmējs ir līguma adrese, funkcija onerc721Reaceived() tiks aktivizēta atzvanīšanai. Pastāv arī potenciāls atkārtotas ieejas uzbrukumu risks, kur uzbrucējs var noteikt funkcijas loģiku erc721Reaceived() funkcijai.
Šis risks pastāv arī ERC-1155 NFT, kur funkcija safeTransform() aktivizē funkciju onerc1155Received() un ļauj uzbrucējam veikt atkārtotas ienākšanas uzbrukumu.
Šķērsķēdes tilta ievainojamība
GameFi izmanto starpķēžu tiltus, lai lietotāji varētu apmainīties ar spēles resursiem dažādos tīklos. Tie ir arī ļoti svarīgi GameFi pieredzes un likviditātes uzlabošanai.
Viens no galvenajiem GameFi starpķēžu tilta riskiem rodas no neatbilstībām starp spēles aktīviem. Līgumiem abās tilta pusēs ir jānodrošina, ka tiek pieņemts un iznīcināts vienāds aktīvu apjoms. Tomēr līguma verifikācijas un norēķinu procesu ievainojamību dēļ uzbrucējs varētu apdraudēt līgumu un no zila gaisa izveidot lielu aktīvu apjomu.
DAO pārvaldības ievainojamības
Daudzus GameFi projektus pārvalda DAO, kas var radīt centralizācijas riskus, ja lielākā daļa pārvaldības žetonu pieder nelielam skaitam lielu dalībnieku. Viedie līgumi, kas nosaka DAO pārvaldības noteikumus, rada vēl vienu potenciālu risku, jo uzbrucēji varētu atrast veidus, kā piekļūt DAO glabātuvei.
Drošības izaicinājumi ārpus ķēdes
Lielākā daļa GameFi projektu joprojām izmanto centralizētus serverus ārpus ķēdes operācijām, tīmekļa saskarnēm vai mobilajām lietojumprogrammām. Šie serveri glabā kritisku informāciju, tostarp spēļu datus un īpašnieku kontus, un ir neaizsargāti pret ļaunprātīgiem uzbrukumiem, piemēram, ielaušanās testēšanu un Trojas zirgu ļaunprogrammatūru.
NFT metadati satur svarīgu aprakstošu informāciju un tiek glabāti ārpus ķēdes kā JSON fails. Tomēr daudzi GameFi projekti glabā savus NFT metadatus savos centralizētos serveros, nevis izmantojot decentralizētu infrastruktūru, piemēram, IPFS. Tas palielina iespēju, ka ļaunprātīgas puses vai uzbrucēji var manipulēt ar metadatiem, potenciāli pārkāpjot spēlētāju tiesības.
Starpķēžu tiltu gadījumā uzbrucēji var iegūt validatora parakstu vai privāto atslēgu, izmantojot ielaušanās vai pikšķerēšanas uzbrukumus. Pēc tam viņi var apdraudēt infrastruktūru un izmantot ievainojamības, lai kontrolētu spēles resursus.
Datu pārraides laikā uzbrucēji var nolaupīt tīkla datu paketes un ievadīt ļaunprātīgu kodu. Modificējot datu paketes, uzbrucēji var panākt viltus papildinājumus un manipulēt ar vienību pirkuma summām, lai iegūtu vairāk spēles rekvizītu.
Priekšējā saskarne uzbrucējiem nodrošina arī vēl vienu veidu, kā ļaunprātīgi iekļūt sistēmā. Ja spēles līderu saraksts tiek nopludināts, uzbrucējs var nosūtīt nopludināto adreses informāciju serverim, lai iegūtu atbilstošo sensitīvo informāciju.
Kā uzlabot drošību
Lai aizsargātu GameFi projektu, katrā posmā jāievēro piesardzība. Nevainojama viedlīguma koda nodrošināšana ir GameFi projekta panākumu pamatā — tas ietver augstas kvalitātes koda rakstīšanu, regulāru auditu veikšanu un oficiālas viedlīguma verifikācijas izmantošanu.
Svarīgi ir arī uzturēt serveru un citu infrastruktūras komponentu drošību; jāveic iekļūšanas testēšana, lai nekavējoties atklātu iespējamās ievainojamības. Iekļūšanas testēšana ar DApp un blokķēdes sistēmām var izmantot Web3 iespējas. Tāpēc, izmantojot digitālos makus un decentralizētus protokolus, jāveic īpaši piesardzības pasākumi.
GameFi projektiem jāievēro arī cita labākā prakse, tostarp droši izpildlaika procesi un visaptveroša incidentu reaģēšana, tostarp aktivizētu drošības incidentu uzraudzība, vides nostiprināšana un kļūdu meklēšanas programmas palaišana.
Vienlaikus projektam ir jāizstrādā pilnīgs ārkārtas reaģēšanas process, tostarp zaudējumu novēršana, uzbrukumu izsekošana un problēmu analīze.
Secinājums
GameFi drošības ievainojamības neaprobežojas tikai ar šajā rakstā minētajām. Neskaitāmi incidenti ir parādījuši, ka daudzi projekti ir ignorējuši vai noniecinājuši drošības riskus. GameFi ir būtiska spēļu nākotnes sastāvdaļa. Tāpēc visiem projektiem vienmēr jāpiešķir prioritāte drošībai un kopienas interesēm.
Papildu lasāmviela
Kas ir GameFi un kā tas darbojas?
Ievads NFT spēļu koncepcijā un to darbības principos
Kas ir viedlīguma drošības audits?
Atruna un riska brīdinājums: Šī raksta saturs tiek sniegts “tādā stāvoklī, kādā tas ir”, tikai vispārīgas informācijas un izglītības nolūkos, un tas neietver nekādas garantijas vai apliecinājumus. Šo rakstu nevajadzētu interpretēt kā finansiālu, juridisku vai cita veida profesionālu padomu, un tas nav ieteikums iegādāties konkrētu produktu vai pakalpojumu. Lai saņemtu ieguldījumu padomu, lūdzu, meklējiet profesionālu padomu. Ja rakstu sniedz trešās puses līdzstrādnieks, lūdzu, ņemiet vērā, ka šie viedokļi ir trešās puses līdzstrādnieka viedokļi un ne vienmēr atspoguļo Binance Academy viedokli. Lai iegūtu plašāku informāciju, lūdzu, skatiet mūsu pilno atrunu šeit. Digitālo aktīvu cenas var svārstīties. Jūsu ieguldījuma vērtība var gan kristies, gan pieaugt, un jūs, iespējams, neatgūsiet savu pamatieguldījumu. Jūs esat pilnībā atbildīgs par saviem ieguldījumu lēmumiem, un Binance nav atbildīgs par jebkādiem zaudējumiem, kas jums var rasties. Nekas šajā rakstā nav finansiāls, juridisks vai cita veida profesionāls padoms. Lai iegūtu plašāku informāciju, lūdzu, skatiet mūsu Lietošanas noteikumus un riska brīdinājumu.