Acest articol este o trimitere a comunității. Autorul este Zhangchi Qin, un auditor de contract inteligent la compania holistică de securitate blockchain Salus Security.

Opiniile din acest articol sunt ale contributorului/autorului și nu reflectă neapărat cele ale Academiei Binance.

TLDR:

  • Proiectele GameFi se confruntă cu diverse provocări de securitate care pot fi clasificate ca probleme în lanț și în afara lanțului.

  • Provocările de securitate în lanț implică în principal gestionarea jetoanelor ERC-20 și a NFT-urilor, siguranța punților încrucișate și guvernarea organizațiilor autonome descentralizate (DAO).

  • Provocările în afara lanțului, pe de altă parte, sunt de obicei legate de interfețele web și serverele.

  • Proiectele GameFi ar trebui să acorde prioritate măsurilor de securitate, cum ar fi audituri riguroase, scanarea vulnerabilităților și testarea de penetrare, precum și să implementeze cele mai bune practici operaționale și controale de afaceri.

Introducere

GameFi combină tehnologia blockchain cu jocurile pentru a crea platforme descentralizate cu active în joc și monede digitale. De obicei, prezintă un model play-to-earn (P2E) care permite jucătorilor să câștige recompense cripto. De asemenea, GameFi oferă jucătorilor dreptul de proprietate și control complet asupra activelor lor din joc.

În timp ce GameFi câștigă popularitate, se confruntă cu amenințări continue și semnificative din partea hackurilor pe tot parcursul ciclului său de viață. Unele proiecte pot pune în valoare viteza în detrimentul calității și, prin urmare, le lipsesc măsuri de siguranță solide, punând atât comunitatea, cât și creatorii la riscul unor pierderi semnificative.

De ce este importantă securitatea GameFi?

GameFi a cunoscut o creștere considerabilă în 2021, modelul său P2E care oferă jucătorilor oportunități financiare noi în joc. În 2022, proiectele de mutare pentru a câștiga au evidențiat și mai mult potențialul de creștere al GameFi. GameFi a fost cel mai important sector al cripto-ului în 2022, reprezentând aproximativ 9,5% din finanțarea totală a industriei și o creștere de la an la an de peste 118%.

GameFi este diferit de jocurile tradiționale, deoarece este mai mult în joc pentru utilizatori și orice hack ar putea însemna pierderi semnificative pentru ei. În scenarii extreme, breșele de securitate ar putea pune capăt unui proiect.

De exemplu, atacatorii au exploatat o ușă din spate într-un nod Remote Procedure Call (RPC) pentru a obține o semnătură pentru proiectul GameFi Axie Infinity în 2022, permițând atacatorilor să efectueze retrageri neautorizate în valoare totală de aproape 600 de milioane de dolari în ETH. Orice vulnerabilități în proiectele GameFi ar putea duce la pierderi masive atât pentru investitori, cât și pentru jucători, subliniind importanța critică a securității GameFi.

Provocări de securitate în lanț

Vulnerabilitatea jetonului ERC-20

Jetoanele ERC-20 sunt folosite frecvent în proiectele GameFi ca monedă virtuală pentru achizițiile în joc, mecanisme de recompensă pentru jucători și mijloc de schimb.

Acordarea și gestionarea necorespunzătoare a jetoanelor ERC-20 pot introduce riscuri de securitate. O vulnerabilitate comună, numită reintrare, poate apărea în timpul procesului de batere. Atacurile pot exploata lacuna logică dintr-un contract pentru a executa în mod repetat o anumită funcție, ducând la baterea infinită de jetoane.

Ca monede universale în joc, stabilitatea și cantitatea jetoanelor ERC-20 determină capacitatea de joc și sustenabilitatea unui joc. Prin urmare, proiectele ar trebui să asigure logica codurilor și să controleze strict oferta totală de jetoane ERC-20.

Proiectul P2E GameFi DeFi Kingdoms a fost atacat de baterea rău intenționată a ERC-20 în 2022. Unii jucători au profitat de vulnerabilitatea logică pentru a bate jetoanele native blocate ale jocului, ceea ce a făcut ca prețul jetonului să scadă ulterior.

Vulnerabilități NFT

NFT-urile sunt utilizate în principal ca active virtuale în joc în proiectele GameFi, inclusiv echipamente, recuzită și suveniruri. Ele oferă jucătorilor o proprietate clară și pot menține o valoare stabilă prin controlul inflației și deficit. Cu toate acestea, utilizarea necorespunzătoare a NFT-urilor poate introduce vulnerabilități de securitate.

Valoarea NFT-urilor se reflectă în raritatea echipamentelor sau a elementelor de recuzită, jucătorii căutând de obicei cele mai rare NFT. În timpul procesului de batere a NFT, informațiile legate de bloc, cum ar fi marcajele de timp, pot fi folosite ca o sursă aleatorie slabă pentru generarea de NFT-uri cu diferite niveluri de raritate. Un miner poate manipula într-o oarecare măsură marcajul de timp al blocului pentru a bate cu răutate NFT-uri mai rare.

Chiar și o sursă fiabilă de aleatorie, cum ar fi Chainlink VRF (Funcția aleatorie verificabilă), nu înlătură toate riscurile. Utilizatorii rău intenționați pot revoca operațiunile în timp ce bate ID-uri de token NFT nedorite și pot repeta procesul până când este bătut un NFT rar.

Atunci când jucătorii tranzacționează și transferă NFT-uri, pot apărea potențiale vulnerabilități ale contractelor inteligente. De exemplu, funcția safeTransferFrom() este utilizată pentru a transfera NFT-uri ERC-721. Când receptorul este o adresă de contract, funcția onERC721Received() va fi declanșată pentru un apel invers. Apoi, există riscul potențial al atacurilor de reintrare, prin care atacatorii pot dicta logica în cadrul funcției pe ERC721Received().

Acest risc există și printre NFT-urile ERC-1155, prin care funcția safeTransferFrom() declanșează funcția onERC1155Received() și permite atacatorilor să efectueze un atac de reintrare.

Punte de vulnerabilitate

Punțile încrucișate sunt folosite în GameFi pentru a permite utilizatorilor să facă schimb de active în joc în diferite rețele. Ele sunt, de asemenea, esențiale pentru îmbunătățirea experiențelor și lichidității GameFi.

Un risc major al punților încrucișate în GameFi vine din inconsecvențele dintre activele din joc. Contractele de pe ambele părți ale podului ar trebui să garanteze că aceeași cantitate de active va fi acceptată și arse. Cu toate acestea, din cauza lacunelor din contractele de verificare și contabilitate, atacatorii le pot compromite pentru a crea un număr mare de active din aer.

Vulnerabilitatea guvernării DAO

Multe proiecte GameFi sunt guvernate de DAO, ceea ce poate introduce riscul centralizării dacă majoritatea token-urilor de guvernare sunt deținute de câțiva actori mari. Contractele inteligente care definesc regulile de guvernare DAO deschid un alt loc pentru potențiale compromisuri, deoarece atacatorii pot găsi modalități de a accesa trezoreria DAO.

Provocări de securitate în afara lanțului

Majoritatea proiectelor GameFi depind încă de servere centralizate off-chain pentru operațiuni back-end, interfețe web sau aplicații mobile. Aceste servere găzduiesc informații critice, inclusiv date de joc și conturi de proprietar, și sunt vulnerabile la atacuri rău intenționate, cum ar fi penetrarea și malware-ul cal troian.

Când vine vorba de NFT, metadatele conțin informații descriptive importante și sunt stocate în afara lanțului ca fișiere JSON. Cu toate acestea, multe proiecte GameFi își stochează metadatele NFT pe propriile servere centralizate în loc să utilizeze infrastructura descentralizată precum IPFS. Acest lucru crește probabilitatea falsificării metadatelor de către părți afiliate sau atacatori, care ar putea încălca drepturile jucătorilor.

În contextul punților încrucișate, atacatorii pot obține semnăturile validatorilor sau cheile private prin atacuri de penetrare sau phishing. Ei pot compromite infrastructura și pot executa un exploit pentru a controla activele din joc.

În timpul transmiterii datelor, atacatorii pot deturna și injecta pachetul de rețea cu cod rău intenționat. Prin modificarea pachetului de date, atacatorii pot implementa reîncărcări false și pot folosi suma unității de achiziție pentru a obține mai multe articole de joc.

Interfețele front-end oferă atacatorilor o altă cale de a se infiltra în mod rău intenționat în sistem. Dacă are loc o scurgere de informații pe clasamentul unui joc, atacatorii pot trimite informațiile scurse legate de adrese către server pentru a obține informațiile sensibile corespunzătoare.

Modalități de îmbunătățire a securității

Pentru a proteja proiectele GameFi, este esențial să fii prudent în fiecare etapă. Asigurarea unor coduri de contract inteligente impecabile este fundamentul unui proiect GameFi de succes - aceasta implică scrierea unui cod de înaltă calitate, efectuarea de audituri regulate și utilizarea verificării oficiale a contractului inteligent.

Menținerea securității serverelor și a altor componente ale infrastructurii este, de asemenea, critică; trebuie efectuate teste de penetrare pentru a detecta posibile vulnerabilități. Cu sistemele bazate pe DApp și blockchain, testarea de penetrare aduce cu sine caracteristici Web3. Ca atare, sunt necesare precauții specifice pentru portofelele digitale și protocoalele descentralizate.

Proiectele GameFi ar trebui să respecte și alte bune practici, inclusiv un proces de rulare sigur și răspuns complet în caz de urgență. Primul implică monitorizarea evenimentelor de securitate declanșate, întărirea securității mediului și eliberarea de programe de recompensă pentru erori.

În același timp, proiectele trebuie să dezvolte un proces complet de răspuns în caz de urgență, care să includă aspecte precum eliminarea stop-loss, urmărirea atacurilor și analiza problemelor.

Gânduri de închidere

Vulnerabilitățile de securitate ale GameFi depășesc cele menționate în acest articol și multe incidente au arătat că proiectele au ignorat sau au minimizat riscurile de securitate. GameFi este o parte semnificativă a viitorului jocurilor de noroc. Ca atare, proiectele ar trebui să acorde întotdeauna atenție problemelor de securitate și să pună pe primul loc interesele comunităților lor.

Lectură suplimentară

  • Ce este GameFi și cum funcționează?

  • Ce sunt jocurile NFT și cum funcționează?

  • Ce este un audit de securitate al unui contract inteligent?


Disclaimer and Risk Warning: This content is presented to you on an “as is'' basis for general information and educational purposes only, without representation or warranty of any kind. It should not be construed as financial, legal, or other professional advice, nor is it intended to recommend the purchase of any specific product or service. You should seek your own advice from appropriate professional advisors. Where the article is contributed by a third-party contributor, please note that those views expressed belong to the third-party contributor and do not necessarily reflect those of Binance Academy. Please read our full disclaimer here for further details. Digital asset prices can be volatile. The value of your investment may go down or up, and you may not get back the amount invested. You are solely responsible for your investment decisions, and Binance Academy is not liable for any losses you may incur. This material should not be construed as financial, legal, or other professional advice. For more information, see our Terms of Use and Risk Warning.