GameFi 常見的安全問題有哪些？

本文是社區提交的文章。作者是區塊鏈安全公司Salus Security的智慧合約審計師Zhangchiqin。
本文中的觀點屬於貢獻者/作者，不一定反映幣安學院的觀點。
總而言之：
GameFi 專案面臨各種安全挑戰，可分為鏈上和鏈下問題。
鏈上安全挑戰主要涉及ERC-20代幣和NFT的管理、跨鏈橋的安全以及去中心化自治組織（DAO）治理。
另一方面，鏈下挑戰通常與網路介面和伺服器有關。
GameFi 專案應優先考慮安全措施，例如嚴格的稽核、漏洞掃描和滲透測試，並實施最佳營運實務和業務控制。
介紹GameFi 將區塊鏈技術與遊戲結合，創建以遊戲內資產和數位貨幣為特色的去中心化平台。它通常採用邊玩邊賺 (P2E) 模式，允許玩家賺取加密貨幣獎勵。 GameFi 還為遊戲玩家提供了對其遊戲內資產的真正所有權和完全控制權。
雖然 GameFi 越來越受歡迎，但它在整個生命週期中都面臨著來自駭客的持續而重大的威脅。有些項目可能更重視速度而不是質量，因此缺乏強有力的安全預防措施，使社區和創作者面臨重大損失的風險。
為什麼 GameFi 安全很重要？GameFi 在 2021 年經歷了可觀的成長，其 P2E 模式為玩家提供了新穎的遊戲內金融機會。 2022年，行動賺錢計畫進一步凸顯了GameFi的成長潛力。 GameFi 是 2022 年加密貨幣的第一大板塊，約佔業界總融資額的 9.5%，年成長超過 118%。
GameFi 與傳統遊戲不同，因為用戶面臨的風險更大，任何駭客攻擊都可能為他們帶來重大損失。在極端情況下，安全漏洞可能會終止專案。
例如，攻擊者在 2022 年利用遠端過程呼叫 (RPC) 節點中的後門獲取 GameFi 專案 Axie Infinity 的簽名，允許攻擊者在未經授權的情況下提取總計近 6 億美元的 ETH。 GameFi 專案中的任何漏洞都可能為投資者和玩家帶來巨大損失，這凸顯了 GameFi 安全的至關重要性。
鏈上安全挑戰ERC-20 代幣漏洞ERC-20 代幣在 GameFi 專案中經常用作遊戲內購買的虛擬貨幣、玩家的獎勵機制和交換手段。
ERC-20 代幣的鑄造和管理不當可能會帶來安全風險。在鑄造過程中可能會出現常見的漏洞，稱為重入性。攻擊者可以利用合約中的邏輯漏洞重複執行特定功能，從而導致代幣的無限鑄造。
ERC-20代幣作為遊戲內通用貨幣，其穩定性和數量決定了遊戲的可玩性和可持續性。因此，專案方應保證代碼的邏輯性，嚴格控制ERC-20代幣的供應總量。
P2E GameFi 專案 DeFi Kingdoms 在 2022 年遭到惡意 ERC-20 鑄造攻擊，部分玩家利用邏輯漏洞鑄造遊戲鎖定的原生代幣，導致隨後代幣價格暴跌。
NFT 漏洞NFT 主要用作 GameFi 專案中的遊戲內虛擬資產，包括裝備、道具和紀念品。它們為玩家提供明確的所有權，並可以透過​​通貨膨脹控制和稀缺性來維持穩定的價值。然而，NFT 使用不當可能會帶來安全漏洞。
NFT 的價值體現在裝備或道具的稀有性上，玩家通常會尋求最稀有的 NFT。在 NFT 鑄造過程中，時間戳等區塊相關資訊可以作為弱隨機來源，產生不同稀有度的 NFT。
即使是可靠的隨機來源，例如 Chainlink VRF（可驗證隨機函數），也不能消除所有風險。惡意用戶可以在鑄造不需要的 NFT 代幣 ID 的同時撤銷操作，並重複該過程，直到鑄造出稀有的 NFT。
當玩家交易和轉讓 NFT 時，可能會出現潛在的智能合約漏洞。例如，函數 safeTransferFrom() 用於傳輸 ERC-721 NFT。當接收者為合約位址時，會觸發onERC721Received()函數進行回呼。然後存在重入攻擊的潛在風險，攻擊者可以在 ERC721Received() 上的函數內指定邏輯。
ERC-1155 NFT 中也存在這種風險，其中函數 safeTransferFrom() 會觸發函數 onERC1155Received() 並允許攻擊者進行重入攻擊。
橋樑漏洞GameFi 使用跨鏈橋來允許用戶跨不同網路交換遊戲內資產。它們對於增強 GameFi 的體驗和流動性也至關重要。
GameFi跨鏈橋的一大風險來自於遊戲內資產的不一致。橋樑兩側的合約應保證接受和銷毀相同數量的資產。然而，由於合約在驗證和記帳方面存在漏洞，攻擊者可以對其進行破壞，並憑空創造大量資產。
DAO 治理漏洞許多 GameFi 專案均由 DAO 治理，如果大多數治理代幣由少數大型參與者擁有，則可能會帶來中心化風險。定義 DAO 治理規則的智慧合約為潛在的妥協開闢了另一個場所，因為攻擊者可以找到存取 DAO 金庫的方法。
鏈下安全挑戰大多數 GameFi 專案仍然依賴鏈下集中式伺服器進行後端操作、Web 介面或行動應用程式。這些伺服器保存關鍵訊息，包括遊戲數據和所有者帳戶，並且容易受到滲透和特洛伊木馬惡意軟體等惡意攻擊。
對於 NFT，元資料包含重要的描述訊息，並以 JSON 檔案的形式儲存在鏈下。然而，許多 GameFi 專案將其 NFT 元資料儲存在自己的集中式伺服器上，而不是使用 IPFS 等去中心化基礎架構。這增加了相關方或攻擊者篡改元資料的可能性，從而可能侵犯玩家的權利。
在跨鏈橋的背景下，攻擊者可能透過滲透或網路釣魚攻擊來獲取驗證者的簽章或私鑰。他們可以破壞基礎設施並執行漏洞來控制遊戲內資產。
在資料傳輸過程中，攻擊者可能會劫持網路資料包並注入惡意程式碼。攻擊者透過修改資料包，可以實現虛假充值，利用單位購買金額來獲取更多遊戲道具。
前端介面為攻擊者提供了另一種惡意滲透系統的途徑。如果一款遊戲的排行榜發生資訊洩露，攻擊者可以將洩露的地址相關資訊傳送到伺服器，從而獲取相應的敏感資訊。
提高安全性的方法為了保護 GameFi 項目，在每個階段保持謹慎至關重要。確保完美的智能合約程式碼是 GameFi 專案成功的基礎——這包括編寫高品質的程式碼、進行定期審計以及使用正式的智能合約驗證。
維護伺服器和其他基礎設施元件的安全性也至關重要；應進行滲透測試以檢測可能的漏洞。對於基於 DApp 和區塊鏈的系統，滲透測試帶來了 Web3 功能。因此，數位錢包和去中心化協議需要採取特定的預防措施。
GameFi 專案還應遵守其他最佳實踐，包括安全的運行時流程和完整的緊急應變。前者涉及監控觸發的安全事件、強化環境安全、發布錯誤賞金計畫。
同時，專案必須制定完整的緊急應變流程，包括停損處置、攻擊追蹤、問題分析等面向。
結束語GameFi的安全漏洞超出了本文提到的範圍，許多事件顯示專案忽略或淡化了安全風險。 GameFi 是遊戲未來的重要組成部分。因此，專案應隨時關注安全問題，並將社區利益放在首位。
進一步閱讀什麼是 GameFi 及其工作原理？
什麼是 NFT 遊戲以及它們如何運作？
什麼是智能合約安全審計？

免責聲明和風險警告：此內容以「原樣」提供給您，僅供一般資訊和教育目的，不作任何形式的陳述或保證。它不應被視為財務、法律或其他專業建議，也無意建議購買任何特定產品或服務。您應該向適當的專業顧問尋求自己的建議。如果文章由第三方貢獻者貢獻，請注意，所表達的觀點屬於第三方貢獻者，並不一定反映幣安學院的觀點。請在此處閱讀我們的完整免責聲明以了解更多詳細資訊。數位資產價格可能會波動。您的投資價值可能會下降或上升，並且您可能無法收回投資金額。您對自己的投資決定承擔全部責任，幣安學院對您可能遭受的任何損失不承擔任何責任。本資料不應被視為財務、法律或其他專業建議。有關更多信息，請參閱我們的使用條款和風險警告。