Dieser Artikel ist ein Community-Beitrag. Der Autor ist Zhangchi Qin, ein Smart-Contract-Auditor beim ganzheitlichen Blockchain-Sicherheitsunternehmen Salus Security.
Die Ansichten in diesem Artikel sind die des Beitragenden/Autors und spiegeln nicht unbedingt die Ansichten der Binance Academy wider.
TLDR:
GameFi-Projekte stehen vor verschiedenen Sicherheitsherausforderungen, die als On-Chain- und Off-Chain-Probleme klassifiziert werden können.
Zu den Herausforderungen der On-Chain-Sicherheit gehören vor allem die Verwaltung von ERC-20-Token und NFTs, die Sicherheit von Cross-Chain-Brücken und die Governance dezentraler autonomer Organisationen (DAO).
Off-Chain-Herausforderungen hingegen beziehen sich normalerweise auf Webschnittstellen und Server.
GameFi-Projekte sollten Sicherheitsmaßnahmen wie strenge Audits, Schwachstellenscans und Penetrationstests priorisieren sowie bewährte Betriebspraktiken und Geschäftskontrollen implementieren.
Einführung
GameFi kombiniert Blockchain-Technologie mit Gaming, um dezentrale Plattformen mit In-Game-Assets und digitalen Währungen zu erstellen. Es verfügt normalerweise über ein Play-to-Earn-Modell (P2E), mit dem Spieler Krypto-Belohnungen verdienen können. GameFi gibt Spielern außerdem echtes Eigentum und vollständige Kontrolle über ihre In-Game-Assets.
Obwohl GameFi immer beliebter wird, ist es während seines gesamten Lebenszyklus ständigen und erheblichen Bedrohungen durch Hacker ausgesetzt. Einige Projekte legen möglicherweise Wert auf Geschwindigkeit statt auf Qualität und verfügen daher nicht über robuste Sicherheitsvorkehrungen, wodurch sowohl die Community als auch die Entwickler einem erheblichen Verlustrisiko ausgesetzt sind.
Warum ist GameFi-Sicherheit wichtig?
GameFi verzeichnete 2021 ein beträchtliches Wachstum mit seinem P2E-Modell, das Spielern neuartige finanzielle Möglichkeiten im Spiel bietet. Im Jahr 2022 unterstrichen Move-to-Earn-Projekte das Wachstumspotenzial von GameFi noch weiter. GameFi war 2022 der Top-Sektor der Kryptowährungen und machte etwa 9,5 % der gesamten Finanzierung der Branche aus und verzeichnete ein Wachstum von über 118 % gegenüber dem Vorjahr.
GameFi unterscheidet sich vom herkömmlichen Gaming, da für die Benutzer mehr auf dem Spiel steht und jeder Hack für sie erhebliche Verluste bedeuten könnte. Im Extremfall könnten Sicherheitsverletzungen das Ende eines Projekts bedeuten.
So nutzten Angreifer beispielsweise 2022 eine Hintertür in einem Remote Procedure Call (RPC)-Knoten, um eine Signatur für das GameFi-Projekt Axie Infinity zu erhalten, wodurch Angreifer unbefugte Abhebungen in Höhe von insgesamt fast 600 Millionen US-Dollar in ETH durchführen konnten. Jede Schwachstelle in GameFi-Projekten könnte zu massiven Verlusten für Investoren und Spieler führen, was die entscheidende Bedeutung der GameFi-Sicherheit unterstreicht.
On-Chain-Sicherheitsherausforderungen
Schwachstellen beim ERC-20-Token
ERC-20-Token werden in GameFi-Projekten häufig als virtuelle Währung für In-Game-Käufe, Belohnungsmechanismen für Spieler und als Tauschmittel verwendet.
Unsachgemäßes Prägen und Verwalten von ERC-20-Token kann Sicherheitsrisiken mit sich bringen. Eine häufige Schwachstelle, die sogenannte Reentrancy, kann während des Prägevorgangs auftreten. Angriffe können die Logiklücke in einem Vertrag ausnutzen, um eine bestimmte Funktion wiederholt auszuführen, was zu einer unendlichen Prägung von Token führt.
Als universelle Spielwährungen bestimmen Stabilität und Menge der ERC-20-Token die Spielbarkeit und Nachhaltigkeit eines Spiels. Daher sollten Projekte die Logik der Codes sicherstellen und die Gesamtmenge an ERC-20-Token streng kontrollieren.
Das P2E-GameFi-Projekt DeFi Kingdoms wurde 2022 durch böswillige ERC-20-Prägung angegriffen. Einige Spieler nutzten die logische Schwachstelle aus, um die gesperrten nativen Token des Spiels zu prägen, was anschließend zu einem starken Absturz des Token-Preises führte.
NFT-Schwachstellen
NFTs werden hauptsächlich als virtuelle Vermögenswerte in GameFi-Projekten verwendet, darunter Ausrüstung, Requisiten und Souvenirs. Sie bieten den Spielern klare Eigentumsverhältnisse und können durch Inflationskontrolle und Knappheit einen stabilen Wert behalten. Der unsachgemäße Gebrauch von NFTs kann jedoch Sicherheitslücken mit sich bringen.
Der Wert von NFTs spiegelt sich in der Seltenheit von Ausrüstung oder Requisiten wider, wobei Spieler normalerweise nach den seltensten NFTs suchen. Während des NFT-Prägeprozesses können blockbezogene Informationen wie Zeitstempel als schwache Zufallsquelle zum Generieren von NFTs mit unterschiedlichen Seltenheitsgraden verwendet werden. Ein Miner kann den Blockzeitstempel bis zu einem gewissen Grad manipulieren, um in böswilliger Absicht seltenere NFTs zu prägen.
Selbst eine zuverlässige Zufallsquelle wie Chainlink VRF (Verifiable Random Function) beseitigt nicht alle Risiken. Böswillige Benutzer können Vorgänge beim Prägen unerwünschter NFT-Token-IDs widerrufen und den Vorgang wiederholen, bis ein seltenes NFT geprägt ist.
Wenn Spieler NFTs handeln und übertragen, können potenzielle Schwachstellen bei Smart Contracts auftreten. Beispielsweise wird die Funktion safeTransferFrom() zum Übertragen von ERC-721 NFTs verwendet. Wenn der Empfänger eine Vertragsadresse ist, wird die Funktion onERC721Received() für einen Rückruf ausgelöst. Dann besteht das potenzielle Risiko von Reentrancy-Angriffen, bei denen Angreifer die Logik innerhalb der Funktion on ERC721Received() diktieren können.
Dieses Risiko besteht auch bei ERC-1155 NFTs, wobei die Funktion safeTransferFrom() die Funktion onERC1155Received() auslöst und Angreifern einen Reentrancy-Angriff ermöglicht.
Schwachstellen überbrücken
Cross-Chain-Brücken werden in GameFi verwendet, um Benutzern den Austausch von In-Game-Assets über verschiedene Netzwerke hinweg zu ermöglichen. Sie sind auch von entscheidender Bedeutung für die Verbesserung der Erfahrungen und Liquidität von GameFi.
Ein großes Risiko von Cross-Chain-Brücken in GameFi sind Inkonsistenzen zwischen den In-Game-Assets. Die Verträge auf beiden Seiten der Brücke sollten garantieren, dass die gleiche Menge an Assets akzeptiert und verbrannt wird. Aufgrund von Schlupflöchern in den Verträgen zur Überprüfung und Abrechnung können Angreifer diese jedoch kompromittieren, um aus dem Nichts eine große Anzahl von Assets zu erstellen.
Schwachstellen in der DAO-Governance
Viele GameFi-Projekte werden von DAOs verwaltet, was das Risiko einer Zentralisierung mit sich bringen kann, wenn die Mehrheit der Governance-Token im Besitz einiger weniger großer Akteure ist. Smart Contracts, die DAO-Governance-Regeln definieren, eröffnen einen weiteren Weg für potenzielle Kompromisse, da Angreifer Wege finden können, auf die DAO-Schatzkammer zuzugreifen.
Off-Chain-Sicherheitsherausforderungen
Die meisten GameFi-Projekte sind für Back-End-Operationen, Weboberflächen oder mobile Apps immer noch auf zentralisierte Off-Chain-Server angewiesen. Diese Server enthalten wichtige Informationen, darunter Spieldaten und Besitzerkonten, und sind anfällig für bösartige Angriffe wie Penetrationsangriffe und Trojaner-Malware.
Bei NFTs enthalten Metadaten wichtige beschreibende Informationen und werden außerhalb der Blockchain als JSON-Dateien gespeichert. Viele GameFi-Projekte speichern ihre NFT-Metadaten jedoch auf ihren eigenen zentralen Servern, anstatt eine dezentrale Infrastruktur wie IPFS zu verwenden. Dies erhöht die Wahrscheinlichkeit einer Manipulation der Metadaten durch verbundene Parteien oder Angreifer, was die Rechte der Spieler verletzen könnte.
Im Zusammenhang mit Cross-Chain-Brücken können Angreifer durch Penetrations- oder Phishing-Angriffe Signaturen oder private Schlüssel von Validierern erlangen. Sie können die Infrastruktur kompromittieren und einen Exploit ausführen, um In-Game-Assets zu kontrollieren.
Während der Datenübertragung können Angreifer das Netzwerkpaket kapern und Schadcode einschleusen. Durch die Änderung des Datenpakets können Angreifer falsche Aufladungen durchführen und den Einheitskaufbetrag verwenden, um weitere Spielgegenstände zu erhalten.
Front-End-Schnittstellen bieten Angreifern einen weiteren Weg, das System böswillig zu infiltrieren. Wenn es bei der Bestenliste eines Spiels zu einem Informationsleck kommt, können Angreifer die durchgesickerten Adressinformationen an den Server senden, um entsprechende vertrauliche Informationen zu erhalten.
Möglichkeiten zur Verbesserung der Sicherheit
Um GameFi-Projekte zu schützen, ist es entscheidend, in jeder Phase Vorsicht walten zu lassen. Die Gewährleistung fehlerfreier Smart-Contract-Codes ist die Grundlage eines erfolgreichen GameFi-Projekts – dazu gehört das Schreiben von qualitativ hochwertigem Code, die Durchführung regelmäßiger Audits und die Verwendung einer formalen Smart-Contract-Verifizierung.
Die Aufrechterhaltung der Sicherheit von Servern und anderen Infrastrukturkomponenten ist ebenfalls von entscheidender Bedeutung. Es sollten Penetrationstests durchgeführt werden, um mögliche Schwachstellen zu erkennen. Bei DApp- und Blockchain-basierten Systemen bringen Penetrationstests Web3-Funktionen mit sich. Daher sind für digitale Geldbörsen und dezentrale Protokolle besondere Vorsichtsmaßnahmen erforderlich.
GameFi-Projekte sollten sich auch an andere Best Practices halten, darunter einen sicheren Laufzeitprozess und eine umfassende Notfallreaktion. Ersteres umfasst die Überwachung ausgelöster Sicherheitsereignisse, die Stärkung der Umgebungssicherheit und die Veröffentlichung von Bug-Bounty-Programmen.
Gleichzeitig müssen Projekte einen vollständigen Notfallreaktionsprozess entwickeln, der Aspekte wie Stop-Loss-Beseitigung, Angriffsverfolgung und Problemanalyse umfasst.
Abschließende Gedanken
Die Sicherheitslücken von GameFi gehen über die in diesem Artikel genannten hinaus und viele Vorfälle haben gezeigt, dass Projekte Sicherheitsrisiken ignoriert oder heruntergespielt haben. GameFi ist ein wesentlicher Teil der Zukunft des Gamings. Daher sollten Projekte immer auf Sicherheitsprobleme achten und die Interessen ihrer Communitys in den Vordergrund stellen.
Weitere Informationen
Was ist GameFi und wie funktioniert es?
Was sind NFT-Spiele und wie funktionieren sie?
Was ist ein Smart Contract-Sicherheitsaudit?
Haftungsausschluss und Risikowarnung: Dieser Inhalt wird Ihnen „wie besehen“ nur zu allgemeinen Informations- und Bildungszwecken präsentiert, ohne Zusicherung oder Gewährleistung jeglicher Art. Er sollte nicht als finanzieller, rechtlicher oder sonstiger professioneller Rat ausgelegt werden, noch ist er als Kaufempfehlung für ein bestimmtes Produkt oder eine bestimmte Dienstleistung gedacht. Sie sollten Ihren eigenen Rat bei geeigneten professionellen Beratern einholen. Wenn der Artikel von einem externen Beitragsautor beigesteuert wurde, beachten Sie bitte, dass die geäußerten Ansichten dem externen Beitragsautor gehören und nicht unbedingt denen von Binance Academy entsprechen. Bitte lesen Sie hier unseren vollständigen Haftungsausschluss für weitere Einzelheiten. Die Preise für digitale Vermögenswerte können volatil sein. Der Wert Ihrer Investition kann fallen oder steigen, und Sie erhalten möglicherweise nicht den investierten Betrag zurück. Sie sind allein für Ihre Investitionsentscheidungen verantwortlich, und Binance Academy haftet nicht für etwaige Verluste, die Ihnen entstehen können. Dieses Material sollte nicht als finanzieller, rechtlicher oder sonstiger professioneller Rat ausgelegt werden. Weitere Informationen finden Sie in unseren Nutzungsbedingungen und Risikowarnungen.
