Эта статья является вкладом сообщества. Автор — Чжанчи Цинь, аудитор смарт-контрактов в Salus Security, компании, занимающейся комплексной безопасностью блокчейнов.

Мнения, выраженные в этой статье, принадлежат автору/участнику и не обязательно отражают точку зрения Binance Academy.

Краткое содержание:

  • Проблемы безопасности, с которыми сталкивается проект GameFi, можно грубо разделить на проблемы внутри цепочки и вне цепочки.

  • Проблемы внутрисетевой безопасности в основном связаны с управлением токенами ERC-20 и NFT, безопасностью межцепочных мостов и управлением децентрализованными автономными организациями (DAO).

  • Проблемы вне сети обычно связаны с сетевыми интерфейсами и серверами.

  • Проекты GameFi должны уделять приоритетное внимание мерам защиты, таким как строгий аудит, сканирование уязвимостей и тестирование на проникновение, а также внедрять лучшие операционные практики и бизнес-контроль.

Введение

GameFi объединяет технологию блокчейна с играми для создания децентрализованной платформы с внутриигровыми активами и цифровыми валютами. Обычно он использует модель «играй, чтобы заработать» (P2E), позволяющую игрокам зарабатывать вознаграждения в криптовалюте. GameFi также дает геймерам истинное право собственности и полный контроль над игровыми активами.

Несмотря на растущую популярность GameFi, на протяжении всего своего жизненного цикла он сталкивается с постоянными и серьезными угрозами со стороны хакеров. Некоторые проекты могут ценить скорость (а не качество) и, следовательно, не иметь надежных мер безопасности, что часто подвергает как сообщество, так и создателей риску значительных потерь.

Почему безопасность GameFi важна?

В 2021 году GameFi продемонстрировала значительный рост благодаря своей модели P2E, предоставляющей игрокам новые возможности получения дохода в игре. В 2022 году программа «Двигай, чтобы зарабатывать» еще больше подчеркнет потенциал роста GameFi. GameFi станет ведущей криптовалютной индустрией в 2022 году, на ее долю будет приходиться примерно 9,5% от общего объема средств отрасли, а годовой рост составит более 118%.

GameFi отличается от традиционных игр тем, что пользователи сталкиваются с большим риском, а любая хакерская атака может привести к значительным потерям. В крайних случаях нарушение безопасности может привести к прекращению проекта.

Например, в 2022 году злоумышленники воспользовались бэкдором в узле удаленного вызова процедур (RPC), чтобы получить подпись проекта GameFi Axie Infinity, что позволило им провести несанкционированный вывод средств и украсть в общей сложности почти 600 миллионов долларов в ETH. Любые лазейки в проекте GameFi могут нанести огромные убытки инвесторам и игрокам, что подчеркивает критическую важность безопасности GameFi.

Проблемы безопасности в сети

Уязвимость токена ERC-20

В проекте GameFi токены ERC-20 часто используются в качестве виртуальной валюты для внутриигровых покупок, механизмов вознаграждения игроков и средств обмена.

Неправильная чеканка и управление токенами ERC-20 может представлять угрозу безопасности. В процессе приведения может возникнуть распространенная уязвимость, называемая «повторным входом». Злоумышленник может использовать логические уязвимости в контракте для многократного выполнения определенных функций, тем самым создавая токены на неопределенный срок.

Как универсальная внутриигровая валюта, стабильность и количество токенов ERC-20 определяют играбельность и устойчивость игры. Поэтому проекты должны обеспечивать логику кода и строго контролировать общее количество токенов ERC-20.

Проект P2E GameFi DeFi Kingdoms подвергся атаке вредоносной программы ERC-20 в 2022 году. Некоторые игроки воспользовались логической ошибкой, чтобы выпустить заблокированный собственный токен игры, в результате чего цена токена впоследствии резко упала.

NFT-уязвимость

NFT в основном используется в качестве внутриигровых виртуальных активов в проектах GameFi, включая оборудование, реквизит и сувениры. Они предоставляют игрокам четкое право собственности и могут поддерживать стабильную стоимость, контролируя инфляцию и дефицит. Однако неправильное использование NFT может привести к уязвимостям безопасности.

Редкость оборудования или реквизита будет отражаться на ценности NFT, и игроки часто будут искать самые редкие NFT. В процессе создания NFT информация, связанная с блоками, такая как временные метки, может использоваться в качестве слабого источника случайности для генерации NFT различных уровней редкости. Майнеры могут в некоторой степени манипулировать временными метками блоков, чтобы злонамеренно создавать более редкие NFT.

Даже надежные источники случайности, такие как Chainlink VRF (проверяемые случайные функции), не могут устранить весь риск. Злоумышленник может отменить действие при создании нежелательного идентификатора токена NFT и продолжать повторять процесс до тех пор, пока не будет создан редкий идентификатор NFT.

Потенциальные уязвимости смарт-контрактов могут возникнуть, когда игроки торгуют и передают NFT. Например, функция SafeTransfrom() используется для передачи NFT ERC-721. Когда получателем является адрес контракта, для обратного вызова будет запущена функция onerc721Reaceived(). Существует также потенциальный риск повторного входа, когда злоумышленник может определить логику функции erc721Reaceived().​

Этот риск также присутствует в NFT ERC-1155, где функция SafeTransform() запускает функцию onerc1155Received() и позволяет злоумышленнику выполнить повторную атаку.

Уязвимость межцепочного моста

GameFi будет использовать межсетевые мосты, чтобы пользователи могли обмениваться внутриигровыми активами через разные сети. Они также имеют решающее значение для улучшения опыта и ликвидности GameFi.

Основной риск межсетевых мостов в GameFi связан с несогласованностью между внутриигровыми активами. Контракты по обе стороны перекрестного моста должны гарантировать, что количество принятых и уничтоженных активов будет одинаковым. Однако из-за уязвимостей в проверке и проверке контракта злоумышленники могут вторгнуться в контракт и создать большие объемы активов из воздуха.

Уязвимость управления DAO

Многие проекты GameFi управляются DAO, что может представлять риск централизации, если большинство токенов управления принадлежат нескольким крупным игрокам. Смарт-контракты, определяющие правила управления DAO, открывают еще одну возможность для потенциальных рисков, поскольку злоумышленники могут найти способы получить доступ к библиотеке DAO.

Проблемы безопасности вне сети

Большинство проектов GameFi по-прежнему полагаются на автономные централизованные серверы для серверных операций, сетевых интерфейсов или мобильных приложений. На этих серверах хранится критическая информация, включая игровые данные и учетные записи владельцев, и они уязвимы для вредоносных атак, таких как проникновение и вредоносные трояны.

Метаданные NFT содержат важную описательную информацию и хранятся вне цепочки в виде файла JSON. Однако многие проекты GameFi хранят свои метаданные NFT на собственных централизованных серверах, а не используют децентрализованную инфраструктуру, такую ​​​​как IPFS. Это увеличивает вероятность подделки метаданных заинтересованными сторонами или злоумышленниками, что потенциально нарушает права игроков.

В случае использования межцепочного моста злоумышленник может получить подпись валидатора или закрытый ключ посредством проникновения или фишинговых атак. Они могут поставить под угрозу инфраструктуру и использовать уязвимости, чтобы получить контроль над игровыми активами.

Во время передачи данных злоумышленник может перехватить сетевые пакеты и внедрить вредоносный код. Изменяя пакет данных, злоумышленник может добиться ложного пополнения счета и подделать сумму покупки единицы, чтобы получить больше игровых предметов.

Интерфейсы внешнего интерфейса также предоставляют злоумышленникам еще один способ злонамеренного проникновения в систему. Если происходит утечка информации в рейтингах определенной игры, злоумышленник может отправить утечку информации, связанной с адресом, на сервер, чтобы получить соответствующую конфиденциальную информацию.

Как улучшить безопасность

Чтобы защитить проект GameFi, будьте осторожны на каждом этапе. Обеспечение безупречного кода смарт-контракта имеет основополагающее значение для успеха проекта GameFi — это включает в себя написание высококачественного кода, проведение регулярных аудитов и использование формальной проверки смарт-контракта.

Поддержание безопасности серверов и других компонентов инфраструктуры также имеет решающее значение для оперативного обнаружения возможных уязвимостей. Возможности Web3 можно использовать при проведении тестирования на проникновение с использованием DApps и систем на основе блокчейна. Поэтому при использовании цифровых кошельков и децентрализованных протоколов необходимо принимать особые меры предосторожности.

Проекты GameFi также должны следовать другим передовым практикам, включая безопасные процессы выполнения и полное реагирование на чрезвычайные ситуации. Первый предполагает мониторинг инициируемых событий безопасности, усиление безопасности среды и запуск программ вознаграждения за обнаружение ошибок.

В то же время проект должен разработать полный процесс реагирования на чрезвычайные ситуации, включая обработку стоп-лоссов, отслеживание атак и анализ проблем.

Заключение

Уязвимости безопасности GameFi не ограничиваются уязвимостями, упомянутыми в этой статье. Многие инциденты показывают, что многие проекты игнорируют или преуменьшают риски безопасности. GameFi — важная часть будущей игровой индустрии. Поэтому проекты всегда должны фокусироваться на вопросах безопасности и ставить интересы общества на первое место.

Дальнейшее чтение

  • Концепция GameFi и как она работает

  • Введение в концепцию NFT-игр и принципы их работы.

  • Что такое аудит безопасности смарт-контрактов?


Отказ от ответственности и предупреждение о рисках. Содержание этой статьи предоставляется «как есть» только для общей информации и образовательных целей и не представляет собой каких-либо заверений или гарантий. Эту статью не следует рассматривать как финансовую, юридическую или другую профессиональную консультацию и не является рекомендацией приобрести какой-либо конкретный продукт или услугу. Если вам нужен инвестиционный совет, обратитесь за профессиональной консультацией. Если статья предоставлена ​​сторонним участником, обратите внимание: мнения принадлежат стороннему участнику и не обязательно отражают точку зрения Binance Academy. Для получения дополнительной информации нажмите здесь, чтобы прочитать полный текст заявления об отказе от ответственности. Цены на цифровые активы могут колебаться. Стоимость ваших инвестиций может как упасть, так и вырасти, и вы не сможете вернуть вложенную основную сумму. Вы несете единоличную ответственность за свои инвестиционные решения, и Binance не несет ответственности за любые убытки, которые вы можете понести. Ничто из содержащегося здесь не является финансовой, юридической или другой профессиональной консультацией. Для получения дополнительной информации ознакомьтесь с нашими Условиями использования и Предупреждением о рисках.