Ten artykuł jest zgłoszeniem społeczności. Autorem jest Zhangchi Qin, audytor inteligentnych kontraktów w firmie Salus Security, zajmującej się holistycznym bezpieczeństwem blockchain.
Poglądy zawarte w tym artykule są poglądami współautora/autora i niekoniecznie odzwierciedlają poglądy Binance Academy.
TDR:
Projekty GameFi stoją w obliczu różnych wyzwań związanych z bezpieczeństwem, które można sklasyfikować jako problemy w łańcuchu i poza łańcuchem.
Wyzwania związane z bezpieczeństwem w łańcuchu obejmują głównie zarządzanie tokenami ERC-20 i NFT, bezpieczeństwo mostów międzyłańcuchowych oraz zarządzanie zdecentralizowaną organizacją autonomiczną (DAO).
Z drugiej strony wyzwania poza łańcuchem są zazwyczaj związane z interfejsami internetowymi i serwerami.
Projekty GameFi powinny priorytetowo traktować środki bezpieczeństwa, takie jak rygorystyczne audyty, skanowanie podatności i testy penetracyjne, a także wdrażać najlepsze praktyki operacyjne i kontrole biznesowe.
Wstęp
GameFi łączy technologię blockchain z grami, aby stworzyć zdecentralizowane platformy zawierające zasoby w grach i waluty cyfrowe. Zwykle oferuje model gry, aby zarobić (P2E), który pozwala graczom zdobywać nagrody kryptograficzne. GameFi zapewnia także graczom prawdziwą własność i pełną kontrolę nad zasobami w grach.
Chociaż GameFi zyskuje na popularności, w całym cyklu życia staje w obliczu ciągłych i znaczących zagrożeń ze strony hakerów. Niektóre projekty mogą cenić szybkość ponad jakość i dlatego brakuje im solidnych środków bezpieczeństwa, narażając zarówno społeczność, jak i twórców na ryzyko znacznych strat.
Dlaczego bezpieczeństwo GameFi jest ważne?
GameFi odnotowało znaczny wzrost w 2021 roku dzięki modelowi P2E oferującemu graczom nowatorskie możliwości finansowe w grach. W 2022 r. projekty typu „przejdź do zysku” jeszcze bardziej podkreśliły potencjał wzrostu GameFi. GameFi było najważniejszym sektorem kryptowalut w 2022 r., odpowiadając za około 9,5% całkowitego finansowania branży i osiągając wzrost o ponad 118% rok do roku.
GameFi różni się od tradycyjnych gier, ponieważ stawka dla użytkowników jest większa, a każde hackowanie może oznaczać dla nich znaczne straty. W skrajnych scenariuszach naruszenia bezpieczeństwa mogą zakończyć projekt.
Na przykład napastnicy wykorzystali backdoora w węźle zdalnego wywoływania procedur (RPC), aby uzyskać podpis w projekcie GameFi Axie Infinity w 2022 r., umożliwiając atakującym dokonywanie nieautoryzowanych wypłat na łączną kwotę prawie 600 milionów dolarów w ETH. Wszelkie luki w projektach GameFi mogą skutkować ogromnymi stratami zarówno dla inwestorów, jak i graczy, co podkreśla krytyczne znaczenie bezpieczeństwa GameFi.
Wyzwania związane z bezpieczeństwem w łańcuchu
Luki w tokenie ERC-20
Tokeny ERC-20 są często wykorzystywane w projektach GameFi jako wirtualna waluta do zakupów w grach, mechanizmy nagradzania graczy i środek wymiany.
Niewłaściwe bicie i zarządzanie tokenami ERC-20 może spowodować zagrożenie bezpieczeństwa. Podczas procesu bicia może pojawić się jedna typowa luka, zwana ponownym wejściem. Ataki mogą wykorzystywać lukę logiczną w umowie w celu wielokrotnego wykonywania określonej funkcji, co skutkuje nieskończoną generacją tokenów.
Jako uniwersalne waluty w grach, stabilność i ilość tokenów ERC-20 decyduje o grywalności i trwałości gry. Dlatego projekty powinny zapewniać logikę kodów i ściśle kontrolować całkowitą podaż tokenów ERC-20.
Projekt P2E GameFi DeFi Kingdoms został zaatakowany przez złośliwe bicie ERC-20 w 2022 r. Niektórzy gracze wykorzystali lukę w zabezpieczeniach logicznych, aby wybić zablokowane natywne tokeny gry, powodując później gwałtowny spadek ceny tokena.
Luki w zabezpieczeniach NFT
NFT są używane głównie jako wirtualne zasoby w grach w projektach GameFi, w tym sprzęt, rekwizyty i pamiątki. Oferują graczom wyraźną własność i mogą utrzymać stabilną wartość poprzez kontrolę inflacji i niedoborów. Jednak niewłaściwe użycie NFT może spowodować powstanie luk w zabezpieczeniach.
Wartość NFT znajduje odzwierciedlenie w rzadkości wyposażenia i rekwizytów, a gracze zazwyczaj poszukują najrzadszych NFT. Podczas procesu tworzenia NFT informacje związane z blokami, takie jak znaczniki czasu, mogą zostać wykorzystane jako słabe losowe źródło do generowania NFT o różnych poziomach rzadkości. Górnik może w pewnym stopniu manipulować znacznikiem czasu bloku, aby złośliwie wybić rzadsze NFT.
Nawet wiarygodne źródło losowości, takie jak Chainlink VRF (weryfikowalna funkcja losowa), nie eliminuje wszystkich zagrożeń. Złośliwi użytkownicy mogą odwołać operacje podczas wybijania niechcianych identyfikatorów tokenów NFT i powtarzać ten proces, aż do wybicia rzadkiego NFT.
Kiedy gracze handlują i przesyłają NFT, mogą wystąpić potencjalne luki w zabezpieczeniach inteligentnych kontraktów. Na przykład funkcja SafeTransferFrom() służy do przesyłania plików NFT ERC-721. Gdy odbiorcą jest adres kontraktowy, funkcja onERC721Received() zostanie uruchomiona w celu wywołania zwrotnego. Istnieje wówczas potencjalne ryzyko ataków polegających na ponownym wejściu, w wyniku których atakujący mogą narzucić logikę w ramach funkcji ERC721Received().
Ryzyko to występuje również w przypadku NFT ERC-1155, gdzie funkcja SafeTransferFrom() wyzwala funkcję onERC1155Received() i umożliwia atakującym przeprowadzenie ataku ponownego wejścia.
Luki w mostach
Mosty międzyłańcuchowe są używane w GameFi, aby umożliwić użytkownikom wymianę zasobów w grach w różnych sieciach. Mają także kluczowe znaczenie dla poprawy wrażeń i płynności GameFi.
Jednym z głównych zagrożeń związanych z mostami międzyłańcuchowymi w GameFi jest niespójność zasobów w grze. Kontrakty po obu stronach mostu powinny gwarantować przyjęcie i spalenie tej samej ilości majątku. Jednak ze względu na luki w umowach dotyczących weryfikacji i rozliczania osoby atakujące mogą je złamać, aby utworzyć dużą liczbę zasobów z powietrza.
Luki w zabezpieczeniach zarządzania DAO
Wiele projektów GameFi jest zarządzanych przez DAO, co może wprowadzić ryzyko centralizacji, jeśli większość tokenów zarządzania będzie w posiadaniu kilku dużych aktorów. Inteligentne kontrakty definiujące zasady zarządzania DAO otwierają kolejne miejsce na potencjalne kompromisy, ponieważ osoby atakujące mogą znaleźć sposoby uzyskania dostępu do skarbca DAO.
Wyzwania związane z bezpieczeństwem poza łańcuchem
Większość projektów GameFi nadal opiera się na scentralizowanych serwerach poza łańcuchem do obsługi zaplecza, interfejsów internetowych lub aplikacji mobilnych. Serwery te przechowują najważniejsze informacje, w tym dane gier i konta właścicieli, i są podatne na złośliwe ataki, takie jak penetracja i złośliwe oprogramowanie typu koń trojański.
Jeśli chodzi o NFT, metadane zawierają ważne informacje opisowe i są przechowywane poza łańcuchem jako pliki JSON. Jednak wiele projektów GameFi przechowuje metadane NFT na własnych scentralizowanych serwerach, zamiast korzystać ze zdecentralizowanej infrastruktury, takiej jak IPFS. Zwiększa to prawdopodobieństwo manipulowania metadanymi przez powiązane strony lub osoby atakujące, co może naruszyć prawa graczy.
W kontekście mostów międzyłańcuchowych osoby atakujące mogą uzyskać podpisy walidatorów lub klucze prywatne w drodze ataków penetracyjnych lub phishingu. Mogą naruszyć infrastrukturę i wykonać exploit w celu kontrolowania zasobów w grze.
Podczas transmisji danych osoby atakujące mogą przejąć kontrolę i wprowadzić do pakietu sieciowego złośliwy kod. Modyfikując pakiet danych, napastnicy mogą zastosować fałszywe doładowania i wykorzystać kwotę zakupu jednostkowego, aby zdobyć więcej elementów gry.
Interfejsy front-end dają atakującym kolejną możliwość złośliwej infiltracji systemu. Jeśli w tabeli liderów jednej gry nastąpi wyciek informacji, osoby atakujące mogą wysłać ujawnione informacje dotyczące adresu na serwer w celu uzyskania odpowiednich poufnych informacji.
Sposoby poprawy bezpieczeństwa
Aby zabezpieczyć projekty GameFi, należy zachować ostrożność na każdym etapie. Zapewnienie bezbłędnych inteligentnych kodów kontraktów jest podstawą udanego projektu GameFi — obejmuje to pisanie wysokiej jakości kodu, przeprowadzanie regularnych audytów i stosowanie formalnej weryfikacji inteligentnych kontraktów.
Utrzymanie bezpieczeństwa serwerów i innych elementów infrastruktury jest również niezwykle istotne; należy przeprowadzić testy penetracyjne w celu wykrycia ewentualnych luk w zabezpieczeniach. W przypadku systemów opartych na DApp i blockchain testy penetracyjne niosą ze sobą funkcje Web3. W związku z tym w przypadku portfeli cyfrowych i zdecentralizowanych protokołów konieczne są szczególne środki ostrożności.
Projekty GameFi powinny również stosować się do innych najlepszych praktyk, w tym bezpiecznego procesu wykonawczego i pełnego reagowania w sytuacjach awaryjnych. Pierwsza polega na monitorowaniu wyzwalanych zdarzeń związanych z bezpieczeństwem, wzmacnianiu bezpieczeństwa środowiska i udostępnianiu programów nagradzania błędów.
Jednocześnie w ramach projektów należy opracować kompletny proces reagowania kryzysowego, który obejmuje takie aspekty, jak usuwanie strat typu stop-loss, śledzenie ataków i analiza problemów.
Zamykające myśli
Luki w zabezpieczeniach GameFi wykraczają poza te wymienione w tym artykule, a wiele incydentów pokazało, że projekty zignorowały lub bagatelizowały zagrożenia bezpieczeństwa. GameFi stanowi znaczącą część przyszłości gier. W związku z tym w projektach należy zawsze zwracać uwagę na kwestie bezpieczeństwa i stawiać interesy społeczności na pierwszym miejscu.
Dalsze czytanie
Co to jest GameFi i jak działa?
Czym są gry NFT i jak działają?
Co to jest audyt bezpieczeństwa inteligentnych kontraktów?
Zastrzeżenie i ostrzeżenie o ryzyku: Niniejsza treść jest prezentowana użytkownikowi w stanie „takim, jakim jest”, wyłącznie w celach informacyjnych i edukacyjnych, bez jakichkolwiek oświadczeń lub gwarancji. Nie należy jej interpretować jako porady finansowej, prawnej lub innej profesjonalnej, ani też nie ma na celu rekomendowania zakupu jakiegokolwiek konkretnego produktu lub usługi. Powinieneś zasięgnąć porady u odpowiednich profesjonalnych doradców. Jeśli artykuł został napisany przez osobę trzecią, pamiętaj, że wyrażone poglądy należą do osoby trzeciej i niekoniecznie odzwierciedlają poglądy Binance Academy. Aby uzyskać więcej informacji, prosimy o zapoznanie się z naszym pełnym zastrzeżeniem tutaj. Ceny aktywów cyfrowych mogą być zmienne. Wartość Twojej inwestycji może spaść lub wzrosnąć, a zainwestowana kwota może nie zostać zwrócona. Ponosisz wyłączną odpowiedzialność za swoje decyzje inwestycyjne, a Binance Academy nie ponosi odpowiedzialności za jakiekolwiek straty, które możesz ponieść. Materiał ten nie powinien być interpretowany jako porada finansowa, prawna lub inna profesjonalna porada. Aby uzyskać więcej informacji, zapoznaj się z naszymi Warunkami użytkowania i Ostrzeżeniem o ryzyku.
