Tento článek je příspěvek komunity. Autorem je Zhangchi Qin, auditor chytrých smluv ve společnosti Salus Security pro holistické blockchainové zabezpečení.
Názory v tomto článku pocházejí od přispěvatele/autora a nemusí nutně odrážet názory Binance Academy.
TLDR:
Projekty GameFi čelí různým bezpečnostním problémům, které lze klasifikovat jako problémy v řetězci a mimo něj.
Bezpečnostní výzvy v řetězci zahrnují především správu tokenů ERC-20 a NFT, bezpečnost cross-chain bridge a decentralizované řízení autonomní organizace (DAO).
Na druhou stranu mimořetězové výzvy se obvykle týkají webových rozhraní a serverů.
Projekty GameFi by měly upřednostňovat bezpečnostní opatření, jako jsou přísné audity, skenování zranitelnosti a penetrační testování, stejně jako implementovat nejlepší provozní postupy a obchodní kontroly.
Úvod
GameFi kombinuje blockchainovou technologii s hraním a vytváří decentralizované platformy obsahující herní aktiva a digitální měny. Obvykle obsahuje model play-to-earn (P2E), který hráčům umožňuje získávat krypto odměny. GameFi také dává hráčům skutečné vlastnictví a úplnou kontrolu nad jejich herními aktivy.
Zatímco GameFi získává na popularitě, během svého životního cyklu čelí neustálým a významným hrozbám ze strany hacků. Některé projekty mohou upřednostňovat rychlost před kvalitou, a proto postrádají robustní bezpečnostní opatření, což vystavuje komunitu i tvůrce riziku značných ztrát.
Proč je zabezpečení GameFi důležité?
GameFi zaznamenala v roce 2021 značný růst se svým modelem P2E, který hráčům nabízí nové finanční příležitosti ve hře. V roce 2022 projekty typu move-to-earn dále zdůraznily růstový potenciál GameFi. GameFi byl v roce 2022 top sektorem kryptoměn, který představoval přibližně 9,5 % celkových finančních prostředků tohoto odvětví a meziroční růst o více než 118 %.
GameFi se liší od tradičního hraní, protože pro uživatele je v sázce více a jakýkoli hack by pro ně mohl znamenat značné ztráty. V extrémních scénářích může narušení bezpečnosti ukončit projekt.
Útočníci například využili zadní vrátka v uzlu Remote Procedure Call (RPC) k získání podpisu na projektu GameFi Axie Infinity v roce 2022, což útočníkům umožnilo provádět neoprávněné výběry v celkové výši téměř 600 milionů $ v ETH. Jakákoli zranitelnost v projektech GameFi by mohla vést k masivním ztrátám pro investory i hráče, což podtrhuje zásadní význam zabezpečení GameFi.
Bezpečnostní výzvy v řetězci
Chyby zabezpečení tokenu ERC-20
Tokeny ERC-20 se často používají v projektech GameFi jako virtuální měna pro nákupy ve hře, mechanismy odměn pro hráče a prostředek směny.
Nesprávná ražba a správa tokenů ERC-20 může představovat bezpečnostní rizika. Jedna běžná zranitelnost, nazývaná reentrancy, může vzniknout během procesu ražby. Útoky mohou využívat logickou mezeru ve smlouvě k opakovanému provádění konkrétní funkce, což vede k nekonečnému ražení tokenů.
Jako univerzální herní měny určuje stabilita a množství tokenů ERC-20 hratelnost a udržitelnost hry. Projekty by proto měly zajistit logiku kódů a přísně kontrolovat celkovou zásobu ERC-20 tokenů.
Projekt P2E GameFi DeFi Kingdoms byl napaden škodlivou ražbou ERC-20 v roce 2022. Někteří hráči využili zranitelnosti logiky k ražení uzamčených nativních tokenů hry, což následně způsobilo, že cena tokenu prudce klesla.
zranitelnosti NFT
NFT se primárně používají jako virtuální aktiva ve hře v projektech GameFi, včetně vybavení, rekvizit a suvenýrů. Nabízejí hráčům jasné vlastnictví a mohou udržovat stabilní hodnotu prostřednictvím kontroly inflace a nedostatku. Nesprávné použití NFT však může způsobit zranitelnosti zabezpečení.
Hodnota NFT se odráží ve vzácnosti vybavení nebo rekvizit, přičemž hráči obvykle hledají ty nejvzácnější NFT. Během procesu ražby NFT mohou být informace související s bloky, jako jsou časová razítka, použity jako slabý náhodný zdroj pro generování NFT s různou úrovní vzácnosti. Těžař může do určité míry manipulovat s časovým razítkem bloku, aby zlomyslně razil vzácnější NFT.
Ani spolehlivý zdroj náhodnosti, jako je Chainlink VRF (Verifiable Random Function), neodstraní všechna rizika. Uživatelé se zlými úmysly mohou odvolat operace při ražení nežádoucích ID tokenů NFT a opakovat proces, dokud nebude vyražen vzácný NFT.
Když hráči obchodují a převádějí NFT, mohou se objevit potenciální zranitelnosti inteligentních smluv. Například funkce safeTransferFrom() se používá k přenosu ERC-721 NFT. Když je příjemcem smluvní adresa, funkce onERC721Received() bude spuštěna pro zpětné volání. Pak existuje potenciální riziko reentrancy útoků, kdy útočníci mohou diktovat logiku funkce na ERC721Received().
Toto riziko existuje také mezi ERC-1155 NFT, kdy funkce safeTransferFrom() spouští funkci onERC1155Received() a umožňuje útočníkům provést reentrancy útok.
Slabiny mostu
Cross-chain bridges se používají v GameFi, aby umožnily uživatelům vyměňovat si herní aktiva napříč různými sítěmi. Jsou také důležité pro zlepšení zkušeností a likvidity GameFi.
Jedno velké riziko křížových mostů v GameFi pochází z nekonzistencí mezi aktivy ve hře. Smlouvy na obou stranách mostu by měly zaručit, že bude přijato a spáleno stejné množství aktiv. Kvůli mezerám ve smlouvách o ověřování a účtování je však útočníci mohou kompromitovat, aby z ničeho nic vytvořili velké množství aktiv.
Chyby ve správě DAO
Mnoho projektů GameFi je řízeno DAO, což může představovat riziko centralizace, pokud většinu tokenů řízení vlastní několik velkých hráčů. Chytré smlouvy, které definují pravidla správy DAO, otevírají další místo pro potenciální kompromisy, protože útočníci mohou najít způsoby, jak získat přístup k pokladně DAO.
Mimořetězové bezpečnostní výzvy
Většina projektů GameFi stále závisí na off-chain centralizovaných serverech pro back-end operace, webová rozhraní nebo mobilní aplikace. Tyto servery obsahují důležité informace, včetně herních dat a účtů vlastníků, a jsou zranitelné vůči škodlivým útokům, jako je penetrace a malware trojského koně.
Pokud jde o NFT, metadata obsahují důležité popisné informace a jsou uložena mimo řetězec jako soubory JSON. Mnoho projektů GameFi však ukládá svá metadata NFT na své vlastní centralizované servery namísto použití decentralizované infrastruktury, jako je IPFS. To zvyšuje pravděpodobnost manipulace s metadaty spřízněnými stranami nebo útočníky, což by mohlo porušit práva hráčů.
V kontextu cross-chain bridge mohou útočníci získat podpisy validátorů nebo soukromé klíče prostřednictvím penetračních nebo phishingových útoků. Mohou ohrozit infrastrukturu a provést exploit k ovládání herních aktiv.
Během přenosu dat mohou útočníci unést a vložit do síťového paketu škodlivý kód. Úpravou datového balíčku mohou útočníci implementovat falešné dobíjení a použít částku zakoupenou za jednotku k získání dalších herních předmětů.
Front-end rozhraní poskytují útočníkům další cestu, jak se zlomyslně infiltrovat systém. Pokud dojde k úniku informací na žebříčku jedné hry, útočníci mohou poslat uniklé informace související s adresou na server, aby získali odpovídající citlivé informace.
Způsoby, jak zlepšit bezpečnost
Pro ochranu projektů GameFi je důležité dbát opatrnosti v každé fázi. Zajištění bezchybných kódů inteligentních smluv je základem úspěšného projektu GameFi – to zahrnuje psaní vysoce kvalitního kódu, provádění pravidelných auditů a používání formálního ověřování inteligentních smluv.
Udržování bezpečnosti serverů a dalších komponent infrastruktury je rovněž zásadní; penetrační testování by mělo být provedeno k odhalení možných zranitelností. U systémů založených na DApp a blockchainu s sebou penetrační testování přináší funkce Web3. Proto jsou pro digitální peněženky a decentralizované protokoly nezbytná zvláštní opatření.
Projekty GameFi by také měly dodržovat další osvědčené postupy, včetně bezpečného běhového procesu a kompletní reakce na mimořádné události. První z nich zahrnuje monitorování spuštěných bezpečnostních událostí, posílení zabezpečení prostředí a uvolnění programů odměny za chyby.
Současně musí projekty vyvinout kompletní proces reakce na mimořádné události, který zahrnuje aspekty, jako je likvidace stop-loss, sledování útoků a analýza problémů.
Závěrečné myšlenky
Bezpečnostní zranitelnosti GameFi přesahují ty, které jsou uvedeny v tomto článku, a mnoho incidentů ukázalo, že projekty ignorovaly nebo bagatelizovaly bezpečnostní rizika. GameFi je významnou součástí budoucnosti her. Projekty by proto měly vždy věnovat pozornost bezpečnostním otázkám a klást na první místo zájmy svých komunit.
Další čtení
Co je GameFi a jak funguje?
Co jsou hry NFT a jak fungují?
Co je audit zabezpečení inteligentní smlouvy?
Zřeknutí se odpovědnosti a varování před rizikem: Tento obsah je vám prezentován „tak, jak je“, pouze pro obecné informační a vzdělávací účely, bez zastoupení nebo záruky jakéhokoli druhu. Nemělo by být vykládáno jako finanční, právní nebo jiné odborné poradenství, ani není určeno k doporučení nákupu jakéhokoli konkrétního produktu nebo služby. Měli byste vyhledat vlastní radu od příslušných profesionálních poradců. V případě, že článek přispěl přispěvatelem třetí strany, vezměte prosím na vědomí, že vyjádřené názory patří přispěvateli třetí strany a nemusí nutně odrážet názory Binance Academy. Pro další podrobnosti si prosím přečtěte naše úplné prohlášení o vyloučení odpovědnosti zde. Ceny digitálních aktiv mohou být kolísavé. Hodnota vaší investice může klesat nebo stoupat a investovaná částka se vám nemusí vrátit. Jste výhradně odpovědní za svá investiční rozhodnutí a Binance Academy nenese odpovědnost za jakékoli ztráty, které vám mohou vzniknout. Tento materiál by neměl být vykládán jako finanční, právní nebo jiné odborné poradenství. Další informace naleznete v našich podmínkách použití a varování před riziky.
