Acest articol este o contribuție a comunității. Autorul este Zhangchi Qin, un auditor de contract inteligent la Salus Security, o companie holistică de securitate blockchain.
Părerile exprimate în acest articol sunt cele ale contribuitorului/autorului și nu reflectă neapărat punctele de vedere ale Academiei Binance.
Rezumat:
Provocările de securitate cu care se confruntă proiectul GameFi pot fi clasificate în general în probleme în lanț și în afara lanțului.
Provocările de securitate în lanț implică în principal gestionarea jetoanelor ERC-20 și a NFT-urilor, securitatea punților încrucișate și guvernarea organizațiilor autonome descentralizate (DAO).
Provocările în afara lanțului sunt de obicei legate de interfețele și serverele de rețea.
Proiectele GameFi ar trebui să acorde prioritate măsurilor de protecție a securității, cum ar fi auditarea strictă, scanarea vulnerabilităților și testarea de penetrare și să implementeze cele mai bune practici operaționale și controale de afaceri.
Introducere
GameFi combină tehnologia blockchain cu jocurile pentru a crea o platformă descentralizată cu active din joc și monede digitale. De obicei, adoptă un model play-to-earn (P2E), permițând jucătorilor să câștige recompense în criptomonede. GameFi oferă, de asemenea, jucătorilor proprietate reală și control deplin asupra activelor din joc.
În ciuda popularității sale crescânde, GameFi se confruntă cu o amenințare constantă și serioasă din partea hackerilor pe tot parcursul ciclului său de viață. Unele proiecte pot aprecia viteza în detrimentul calității și, prin urmare, nu au măsuri de securitate robuste, ceea ce pune adesea atât comunitatea, cât și creatorii în pericol de pierderi semnificative.
De ce este importantă securitatea GameFi?
GameFi a înregistrat o creștere semnificativă în 2021, modelul său P2E oferind jucătorilor noi oportunități de venituri în joc. În 2022, metoda „move-to-earn” a evidențiat și mai mult potențialul de creștere al GameFi. GameFi a fost principala industrie în domeniul criptomonedelor în 2022, reprezentând aproximativ 9,5% din finanțarea totală a industriei, o creștere de peste 118% față de anul precedent.
GameFi este diferit de jocurile tradiționale deoarece riscul pentru utilizatori este mai mare, iar orice atac al unui hacker ar putea duce la pierderi semnificative. În cazuri extreme, încălcările de securitate ar putea duce la încetarea proiectului.
De exemplu, în 2022, atacatorii au exploatat un backdoor în nodul de apelare a procedurii la distanță (RPC) pentru a obține semnătura proiectului GameFi Axie Infinity, permițând retrageri neautorizate și furând un total de aproape 600 de milioane de dolari în ETH. Orice vulnerabilitate din proiectul GameFi ar putea cauza pierderi uriașe investitorilor și jucătorilor, ceea ce subliniază și mai mult importanța securității GameFi.
Provocări de securitate on-chain
Vulnerabilități ale token-ului ERC-20
În proiectul GameFi, token-urile ERC-20 sunt adesea folosite ca monedă virtuală pentru achiziții în joc, mecanisme de recompensare a jucătorilor și mijloace de schimb.
Generarea și gestionarea necorespunzătoare a token-urilor ERC-20 pot prezenta riscuri de securitate. O vulnerabilitate comună numită „reintrare” poate apărea în timpul procesului de generare. Un atacator poate exploata o vulnerabilitate logică din contract pentru a executa în mod repetat o funcție specifică, generând astfel token-uri la nesfârșit.
Fiind o monedă universală în joc, stabilitatea și cantitatea de token-uri ERC-20 determină jucabilitatea și sustenabilitatea jocului. Prin urmare, proiectul ar trebui să asigure logica codului și să controleze strict oferta totală de token-uri ERC-20.
Proiectul P2E GameFi, DeFi Kingdoms, a fost atacat de o operațiune malițioasă ERC-20 în 2022. Unii jucători au exploatat o vulnerabilitate logică pentru a crea token-uri native blocate ale jocului, ceea ce a dus la scăderea ulterioară a prețului token-urilor.
Vulnerabilități NFT
NFT-urile sunt utilizate în principal ca active virtuale în jocuri, în proiectele GameFi, inclusiv echipamente, recuzită și suveniruri. Acestea oferă jucătorilor o proprietate clară și pot menține o valoare stabilă prin controlul inflației și al rarității. Cu toate acestea, utilizarea necorespunzătoare a NFT-urilor poate introduce vulnerabilități de securitate.
Raritatea echipamentelor sau a obiectelor se reflectă în valoarea NFT-urilor, iar jucătorii caută de obicei cele mai rare NFT-uri. În timpul procesului de generare a NFT-urilor, informațiile legate de blocuri, cum ar fi timestamp-urile, pot fi utilizate ca o sursă aleatorie slabă pentru a genera NFT-uri cu diferite niveluri de raritate. Minerii pot manipula timestamp-urile de blocuri într-o oarecare măsură pentru a crea în mod rău intenționat NFT-uri mai rare.
Chiar și o sursă fiabilă de aleatorietate, cum ar fi Chainlink VRF (Funcție Aleatoare Verificabilă), nu elimină toate riscurile. Un utilizator rău intenționat ar putea inversa operațiunea atunci când este creat un ID de token NFT nedorit și apoi ar putea repeta procesul până când este creat un NFT rar.
Pot apărea potențiale vulnerabilități ale contractelor inteligente atunci când jucătorii tranzacționează și transferă NFT-uri. De exemplu, funcția safeTransfrom() este utilizată pentru a transfera NFT-uri ERC-721. Când destinatarul este o adresă de contract, funcția onerc721Received() va fi declanșată pentru un callback. Există, de asemenea, un risc potențial de atacuri de reintrare, unde un atacator poate determina logica din funcția erc721Received().
Acest risc există și în NFT-urile ERC-1155, unde funcția safeTransform() declanșează funcția onerc1155Received() și permite unui atacator să efectueze un atac de reintrare.
Vulnerabilitatea punții încrucișate
În GameFi se utilizează punți cross-chain pentru a permite utilizatorilor să facă schimb de resurse din joc pe diferite rețele. De asemenea, acestea sunt esențiale pentru îmbunătățirea experienței și a lichidității GameFi.
Un risc major al punții cross-chain în GameFi provine din inconsecvențele dintre activele din joc. Contractele de ambele părți ale punții cross-chain ar trebui să asigure că aceeași cantitate de active este acceptată și distrusă. Cu toate acestea, din cauza vulnerabilităților în verificarea și decontarea contractului, atacatorii pot pirata contractul și crea o cantitate mare de active din senin.
Vulnerabilitatea guvernanței DAO
Multe proiecte GameFi sunt guvernate de DAO-uri, ceea ce poate prezenta riscuri de centralizare dacă majoritatea token-urilor de guvernanță sunt deținute de câțiva jucători mari. Contractele inteligente care definesc regulile de guvernanță ale DAO-urilor deschid o altă lacună pentru riscurile potențiale, deoarece atacatorii pot găsi modalități de a accesa seiful DAO-urilor.
Provocări de securitate în afara lanțului
Majoritatea proiectelor GameFi se bazează încă pe servere centralizate off-chain pentru operațiuni backend, interfețe web sau aplicații mobile. Aceste servere stochează informații critice, inclusiv date despre jocuri și conturi de proprietar, și sunt vulnerabile la atacuri rău intenționate, cum ar fi penetrarea și malware-ul troian.
Metadatele NFT conțin informații descriptive importante și sunt stocate în afara lanțului de dispozitive ca fișier JSON. Cu toate acestea, multe proiecte GameFi își stochează metadatele NFT pe propriile servere centralizate, în loc să utilizeze infrastructură descentralizată, cum ar fi IPFS. Acest lucru crește posibilitatea ca părțile afiliate sau atacatorii să modifice metadatele, ceea ce poate încălca drepturile jucătorilor.
În cazul punților cross-chain, atacatorii pot obține semnătura sau cheia privată a validatorului prin penetrare sau atacuri de tip phishing. Aceștia pot compromite infrastructura și exploata vulnerabilitățile pentru a controla activele din joc.
În timpul transmiterii datelor, atacatorii pot deturna pachetele de date din rețea și pot injecta cod malițios. Prin modificarea pachetelor de date, atacatorii pot realiza reîncărcări false și pot manipula sumele achiziționate de unități pentru a obține mai multe obiecte de joc.
Interfața front-end oferă, de asemenea, o altă modalitate prin care atacatorii pot pătrunde în mod rău intenționat în sistem. Dacă un clasament al unui joc este divulgat, atacatorul poate trimite informațiile de adresă divulgate către server pentru a obține informațiile sensibile corespunzătoare.
Cum să îmbunătățești securitatea
Pentru a proteja proiectul GameFi, este important să se dea dovadă de prudență în fiecare etapă. Asigurarea unui cod impecabil pentru contractele inteligente este fundamentală pentru succesul proiectului GameFi - aceasta implică scrierea de cod de înaltă calitate, efectuarea de audituri regulate și utilizarea verificării formale a contractelor inteligente.
De asemenea, este crucial să se mențină securitatea serverelor și a altor componente ale infrastructurii; testele de penetrare ar trebui efectuate pentru a detecta posibilele vulnerabilități în timp util. Atunci când se efectuează teste de penetrare cu DApp-uri și sisteme bazate pe blockchain, se pot exploata capabilitățile Web3. Prin urmare, trebuie luate măsuri de precauție specifice cu portofelele digitale și protocoalele descentralizate.
Proiectele GameFi ar trebui să respecte și alte bune practici, inclusiv procese de execuție securizate și răspuns complet la situații de urgență, care implică monitorizarea evenimentelor de securitate declanșate, consolidarea mediului și lansarea unui program de recompense pentru erori.
În același timp, proiectul trebuie să dezvolte un proces complet de răspuns la situații de urgență, inclusiv prevenirea pierderilor, urmărirea atacurilor și analiza problemelor.
Concluzie
Vulnerabilitățile de securitate ale GameFi nu se limitează la vulnerabilitățile menționate în acest articol. Numeroase incidente au arătat că multe proiecte au ignorat sau au minimalizat riscurile de securitate. GameFi este o parte importantă a industriei jocurilor de noroc din viitor. Prin urmare, fiecare proiect ar trebui să acorde întotdeauna atenție problemelor de securitate și să pună interesele comunității pe primul loc.
Lectură suplimentară
Ce este GameFi și cum funcționează
Introducere în conceptul de jocuri NFT și principiile lor de funcționare
Ce este un audit de securitate al unui contract inteligent?
Exonerare de răspundere și avertisment privind riscurile: Conținutul acestui articol este furnizat „ca atare” doar cu titlu informativ general și în scopuri educaționale și nu constituie nicio declarație sau garanție. Acest articol nu trebuie interpretat ca sfat financiar, juridic sau de altă natură profesională și nu recomandă achiziționarea vreunui produs sau serviciu specific. Pentru sfaturi de investiții, vă rugăm să solicitați sfatul unui profesionist. Dacă articolul este furnizat de un contribuitor terț, vă rugăm să rețineți: Aceste opinii aparțin contribuitorului terț și nu reflectă neapărat opiniile Binance Academy. Pentru mai multe informații, vă rugăm să faceți clic aici pentru a consulta (Exonerarea de răspundere) completă. Prețurile criptomonedelor pot fluctua. Valoarea investiției dvs. poate scădea sau crește și este posibil să nu vă recuperați investiția inițială. Sunteți singurul responsabil pentru deciziile dvs. de investiții, iar Binance nu este responsabilă pentru nicio pierdere pe care ați putea-o suferi. Nimic din acest articol nu constituie sfat financiar, juridic sau de altă natură profesională. Pentru informații suplimentare, vă rugăm să consultați (Termenii de utilizare) și (Avertismentul privind riscurile).