Quais são alguns problemas de segurança comuns com GameFi?

Este artigo é uma contribuição da comunidade. O autor é Zhangchi Qin, auditor de contratos inteligentes da Salus Security, uma empresa holística de segurança blockchain.
As opiniões expressas neste artigo são de responsabilidade do colaborador/autor e não refletem necessariamente as opiniões da Binance Academy.
Resumo:
Os desafios de segurança enfrentados pelo projeto GameFi podem ser classificados aproximadamente em questões dentro e fora da rede.
Os desafios de segurança na cadeia envolvem principalmente a gestão de tokens ERC-20 e NFTs, a segurança de pontes entre cadeias e a governança de organizações autônomas descentralizadas (DAOs).
Os desafios fora da cadeia geralmente estão relacionados a interfaces de rede e servidores.
Os projetos da GameFi devem priorizar medidas de proteção de segurança, como auditoria rigorosa, verificação de vulnerabilidades e testes de penetração, e implementar melhores práticas operacionais e controles de negócios.
IntroduçãoGameFi combina tecnologia blockchain com jogos para criar uma plataforma descentralizada com ativos de jogos e moedas digitais. Normalmente adota um modelo play-to-earn (P2E), permitindo aos jogadores ganhar recompensas em criptomoedas. A GameFi também oferece aos jogadores a verdadeira propriedade e controle total sobre os ativos do jogo.
Apesar da crescente popularidade da GameFi, ela enfrenta ameaças constantes e sérias de hackers ao longo de seu ciclo de vida. Alguns projetos podem valorizar a velocidade (em detrimento da qualidade) e, portanto, carecem de precauções de segurança robustas, o que muitas vezes coloca tanto a comunidade como os criadores em risco de perdas significativas.
Por que a segurança da GameFi é importante?A GameFi teve um crescimento considerável em 2021, com seu modelo P2E proporcionando aos jogadores novas oportunidades de receita no jogo. Em 2022, o movimento para ganhar destacará ainda mais o potencial de crescimento da GameFi. GameFi é a indústria de criptomoeda líder em 2022, respondendo por aproximadamente 9,5% do total de fundos da indústria, com um crescimento anual de mais de 118%.
GameFi é diferente dos jogos tradicionais porque os usuários enfrentam riscos maiores e qualquer ataque de hacker pode causar perdas significativas. Em casos extremos, uma violação de segurança pode levar ao encerramento de um projeto.
Por exemplo, em 2022, os invasores usaram um backdoor em um nó de chamada de procedimento remoto (RPC) para obter a assinatura do projeto GameFi Axie Infinity, permitindo-lhes realizar saques não autorizados e roubar um total de quase US$ 600 milhões em ETH. Quaisquer lacunas no projeto GameFi podem causar enormes perdas para investidores e jogadores, o que destaca a importância crítica da segurança da GameFi.
Desafios de segurança na cadeiaVulnerabilidade do token ERC-20No projeto GameFi, os tokens ERC-20 são frequentemente usados ​​como moeda virtual para compras no jogo, mecanismos de recompensa do jogador e meios de troca.
A cunhagem e o gerenciamento inadequados de tokens ERC-20 podem representar riscos de segurança. Uma vulnerabilidade comum chamada “reentrada” pode ocorrer durante o processo de conversão. Um invasor pode explorar vulnerabilidades lógicas no contrato para executar repetidamente funções específicas, cunhando tokens indefinidamente.
Como moeda universal do jogo, a estabilidade e a quantidade dos tokens ERC-20 determinam a jogabilidade e a sustentabilidade do jogo. Portanto, os projetos devem garantir a lógica do código e controlar rigorosamente o fornecimento total de tokens ERC-20.
O projeto P2E GameFi DeFi Kingdoms foi atacado por cunhagem maliciosa de ERC-20 em 2022. Alguns jogadores aproveitaram uma falha lógica para cunhar o token nativo bloqueado do jogo, fazendo com que o preço do token despencasse posteriormente.
Vulnerabilidade NFTO NFT é usado principalmente como ativo virtual de jogo em projetos GameFi, incluindo equipamentos, adereços e souvenirs. Eles proporcionam aos jogadores uma propriedade clara e podem manter um valor estável controlando a inflação e a escassez. No entanto, o uso indevido de NFTs pode introduzir vulnerabilidades de segurança.
A raridade do equipamento ou adereços será refletida no valor do NFT, e os jogadores frequentemente procurarão os NFTs mais raros. Durante o processo de cunhagem de NFT, informações relacionadas ao bloco, como carimbos de data e hora, podem ser usadas como uma fonte fraca de aleatoriedade para gerar NFTs de diferentes níveis de raridade. Os mineradores podem manipular carimbos de data e hora de bloco até certo ponto para cunhar NFTs mais raros de forma maliciosa.
Mesmo fontes confiáveis ​​de aleatoriedade, como Chainlink VRFs (Verifiable Random Functions), não podem eliminar todos os riscos. Um usuário mal-intencionado pode desfazer a ação quando um ID de token NFT indesejado é cunhado e continuar repetindo o processo até que um NFT raro seja cunhado.
Possíveis vulnerabilidades de contratos inteligentes podem surgir quando os jogadores negociam e transferem NFTs. Por exemplo, a função safeTransfrom() é usada para transferir ERC-721 NFT. Quando o destinatário for o endereço do contrato, a função onerc721Reaceived() será acionada para retorno de chamada. Existe também o risco potencial de ataques de reentrada, onde um invasor pode determinar a lógica da função em erc721Reaceived().​
Este risco também está presente em NFTs ERC-1155, onde a função safeTransform() aciona a função onerc1155Received() e permite que um invasor execute um ataque de reentrada.
Vulnerabilidade de ponte entre cadeiasA GameFi usará pontes entre cadeias para permitir que os usuários troquem ativos do jogo por meio de diferentes redes. Eles também são cruciais para melhorar a experiência e a liquidez da GameFi.
Um grande risco de pontes entre cadeias na GameFi vem de inconsistências entre os ativos do jogo. Os contratos em ambos os lados da ponte entre cadeias devem garantir que o número de activos aceites e destruídos seja o mesmo. No entanto, devido a vulnerabilidades na verificação e check-out do contrato, os invasores podem invadir o contrato e criar grandes quantidades de ativos do nada.
Vulnerabilidade de governança DAOMuitos projetos GameFi são governados por DAOs, o que poderia representar um risco de centralização se a maioria dos tokens de governança pertencesse a alguns grandes players. Os contratos inteligentes que definem as regras de governança do DAO abrem outra abertura para riscos potenciais, à medida que os invasores podem encontrar maneiras de acessar a biblioteca do DAO.
Desafios de segurança fora da cadeiaA maioria dos projetos GameFi ainda depende de servidores centralizados fora da cadeia para operações de back-end, interfaces de rede ou aplicativos móveis. Esses servidores armazenam informações críticas, incluindo dados de jogos e contas de proprietários, e são vulneráveis ​​a ataques maliciosos, como penetração e malware Trojan.
Os metadados do NFT contêm informações descritivas importantes e são armazenados fora da cadeia como um arquivo JSON. No entanto, muitos projetos GameFi armazenam seus metadados NFT em seus próprios servidores centralizados, em vez de usar infraestrutura descentralizada, como IPFS. Isso aumenta a possibilidade de adulteração de metadados por partes interessadas ou invasores, potencialmente violando os direitos dos jogadores.
No caso de usar uma ponte entre cadeias, um invasor pode obter a assinatura ou a chave privada do validador por meio de ataques de penetração ou phishing. Eles podem comprometer a infraestrutura e explorar vulnerabilidades para assumir o controle dos ativos do jogo.
Durante a transmissão de dados, um invasor pode sequestrar pacotes de rede e injetar código malicioso. Ao modificar o pacote de dados, o invasor pode obter recarga falsa e adulterar o valor da compra da unidade para obter mais acessórios de jogo.
As interfaces front-end também fornecem outra maneira para os invasores penetrarem maliciosamente no sistema. Se houver vazamento de informações nas classificações de um determinado jogo, o invasor poderá enviar as informações relacionadas ao endereço vazado ao servidor para obter as informações confidenciais correspondentes.
Como melhorar a segurançaPara proteger o projeto GameFi, tenha cuidado em todas as fases. Garantir um código de contrato inteligente perfeito é fundamental para o sucesso do projeto GameFi - isso envolve escrever código de alta qualidade, realizar auditorias regulares e usar verificação formal de contrato inteligente.
Manter a segurança dos servidores e outros componentes da infraestrutura também é crucial; testes de penetração devem ser realizados para detectar prontamente possíveis vulnerabilidades. Os recursos do Web3 podem ser aproveitados ao realizar testes de penetração usando DApps e sistemas baseados em blockchain. Portanto, cuidados específicos devem ser tomados com carteiras digitais e protocolos descentralizados.
Os projetos GameFi também devem seguir outras práticas recomendadas, incluindo processos de tempo de execução seguros e resposta completa a emergências. O primeiro envolve monitorar eventos de segurança acionados, fortalecer a segurança do ambiente e lançar programas de recompensa por bugs.
Ao mesmo tempo, o projeto deve desenvolver um processo completo de resposta a emergências, incluindo tratamento de stop-loss, rastreamento de ataques e análise de problemas.
ConclusãoAs vulnerabilidades de segurança da GameFi não se limitam às vulnerabilidades mencionadas neste artigo. Muitos incidentes mostram que muitos projetos ignoram ou minimizam os riscos de segurança. GameFi é uma parte importante da futura indústria de jogos. Portanto, os projetos devem sempre focar nas questões de segurança e colocar os interesses da comunidade em primeiro lugar.
Leitura adicionalO conceito de GameFi e como funciona
Uma introdução ao conceito de jogos NFT e seus princípios operacionais
O que é auditoria de segurança de contrato inteligente?

Isenção de responsabilidade e aviso de risco: O conteúdo deste artigo é fornecido "como está" apenas para fins educacionais e de informação geral e não constitui qualquer representação ou garantia. Este artigo não deve ser interpretado como aconselhamento financeiro, jurídico ou outro conselho profissional, e não é uma recomendação para que você compre qualquer produto ou serviço específico. Se precisar de aconselhamento sobre investimento, procure aconselhamento profissional. Se o artigo for fornecido por um colaborador terceirizado, observe: as opiniões são do colaborador terceirizado e não refletem necessariamente as opiniões da Binance Academy. Para obter mais informações, clique aqui para ler nosso Termo de Responsabilidade completo. Os preços dos ativos digitais podem flutuar. O valor do seu investimento pode cair ou subir e você pode não recuperar o principal investido. Você é o único responsável por suas próprias decisões de investimento e a Binance não é responsável por quaisquer perdas que você possa sofrer. Nada aqui contido constitui aconselhamento financeiro, jurídico ou outro aconselhamento profissional. Para obter informações adicionais, consulte nossos Termos de Uso e Aviso de Risco.