Cet article est une soumission de la communauté. L'auteur est Zhangchi Qin, auditeur de contrats intelligents chez Salus Security, société de sécurité holistique de la blockchain.

Les opinions exprimées dans cet article sont celles du contributeur/auteur et ne reflètent pas nécessairement celles de Binance Academy.

TLDR :

  • Les projets GameFi sont confrontés à divers défis de sécurité qui peuvent être classés en problèmes en chaîne et hors chaîne.

  • Les défis de sécurité en chaîne concernent principalement la gestion des jetons ERC-20 et des NFT, la sécurité des ponts entre chaînes et la gouvernance des organisations autonomes décentralisées (DAO).

  • En revanche, les défis hors chaîne sont généralement liés aux interfaces Web et aux serveurs.

  • Les projets GameFi doivent donner la priorité aux mesures de sécurité, telles que des audits rigoureux, une analyse des vulnérabilités et des tests d'intrusion, ainsi que mettre en œuvre les meilleures pratiques opérationnelles et contrôles commerciaux.

Introduction

GameFi combine la technologie blockchain avec les jeux pour créer des plates-formes décentralisées proposant des actifs de jeu et des monnaies numériques. Il propose généralement un modèle de jeu pour gagner (P2E) qui permet aux joueurs de gagner des récompenses cryptographiques. GameFi donne également aux joueurs une véritable propriété et un contrôle total sur leurs actifs en jeu.

Même si GameFi gagne en popularité, il est confronté à des menaces continues et importantes de piratage tout au long de son cycle de vie. Certains projets peuvent privilégier la rapidité à la qualité et, par conséquent, manquer de mesures de sécurité robustes, exposant à la fois la communauté et les créateurs à des pertes importantes.

Pourquoi la sécurité GameFi est-elle importante ?

GameFi a connu une croissance considérable en 2021 grâce à son modèle P2E offrant aux joueurs de nouvelles opportunités financières dans le jeu. En 2022, les projets move-to-earn ont encore mis en évidence le potentiel de croissance de GameFi. GameFi était le principal secteur de la cryptographie en 2022, représentant environ 9,5 % du financement total de l’industrie et une croissance annuelle de plus de 118 %.

GameFi est différent du jeu traditionnel car les enjeux sont plus importants pour les utilisateurs et tout piratage pourrait entraîner des pertes importantes pour eux. Dans des scénarios extrêmes, des failles de sécurité pourraient mettre fin à un projet.

Par exemple, des attaquants ont exploité une porte dérobée dans un nœud RPC (Remote Procedure Call) pour obtenir une signature sur le projet GameFi Axie Infinity en 2022, permettant aux attaquants d'effectuer des retraits non autorisés totalisant près de 600 millions de dollars en ETH. Toute vulnérabilité dans les projets GameFi pourrait entraîner des pertes massives tant pour les investisseurs que pour les joueurs, soulignant l'importance cruciale de la sécurité GameFi.

Défis de sécurité en chaîne

Vulnérabilités du jeton ERC-20

Les jetons ERC-20 sont fréquemment utilisés dans les projets GameFi comme monnaie virtuelle pour les achats en jeu, mécanismes de récompense pour les joueurs et moyen d'échange.

Une frappe et une gestion inappropriées des jetons ERC-20 peuvent introduire des risques de sécurité. Une vulnérabilité courante, appelée réentrée, peut survenir pendant le processus de frappe. Les attaques peuvent exploiter la faille logique d’un contrat pour exécuter de manière répétée une fonction spécifique, ce qui entraîne la frappe infinie de jetons.

En tant que monnaie universelle du jeu, la stabilité et la quantité des jetons ERC-20 déterminent la jouabilité et la durabilité d’un jeu. Par conséquent, les projets doivent garantir la logique des codes et contrôler strictement l’offre totale de jetons ERC-20.

Le projet P2E GameFi DeFi Kingdoms a été attaqué par une frappe malveillante ERC-20 en 2022. Certains joueurs ont exploité la vulnérabilité logique pour frapper les jetons natifs verrouillés du jeu, provoquant ensuite une chute du prix des jetons.

Vulnérabilités NFT

Les NFT sont principalement utilisés comme actifs virtuels dans les projets GameFi, notamment des équipements, des accessoires et des souvenirs. Ils offrent aux joueurs une propriété claire et peuvent maintenir une valeur stable grâce au contrôle de l’inflation et à la rareté. Cependant, une utilisation inappropriée des NFT peut introduire des failles de sécurité.

La valeur des NFT se reflète dans la rareté des équipements ou des accessoires, les joueurs recherchant généralement les NFT les plus rares. Au cours du processus de création de NFT, les informations relatives aux blocs, telles que les horodatages, peuvent être utilisées comme source aléatoire faible pour générer des NFT avec différents niveaux de rareté. Un mineur peut manipuler l'horodatage du bloc dans une certaine mesure afin de créer de manière malveillante des NFT plus rares.

Même une source fiable d’aléatoire, telle que Chainlink VRF (Verifiable Random Function), ne supprime pas tous les risques. Les utilisateurs malveillants peuvent révoquer les opérations tout en créant des identifiants de jeton NFT indésirables et répéter le processus jusqu'à ce qu'un NFT rare soit créé.

Lorsque les joueurs échangent et transfèrent des NFT, des vulnérabilités potentielles des contrats intelligents peuvent survenir. Par exemple, la fonction safeTransferFrom() est utilisée pour transférer les NFT ERC-721. Lorsque le destinataire est une adresse contractuelle, la fonction onERC721Received() sera déclenchée pour un rappel. Il existe ensuite le risque potentiel d'attaques de réentrance, par lesquelles les attaquants peuvent dicter la logique au sein de la fonction sur ERC721Received().

Ce risque existe également parmi les NFT ERC-1155, dans lesquels la fonction safeTransferFrom() déclenche la fonction onERC1155Received() et permet aux attaquants de mener une attaque de réentrance.

Vulnérabilités du pont

Les ponts entre chaînes sont utilisés dans GameFi pour permettre aux utilisateurs d'échanger des actifs dans le jeu sur différents réseaux. Ils sont également essentiels pour améliorer les expériences et la liquidité de GameFi.

L'un des risques majeurs des ponts entre chaînes dans GameFi vient des incohérences entre les actifs du jeu. Les contrats des deux côtés du pont devraient garantir que la même quantité d’actifs sera acceptée et brûlée. Cependant, en raison de failles dans les contrats de vérification et de comptabilité, les attaquants peuvent les compromettre pour créer un grand nombre d'actifs à partir de rien.

Vulnérabilités de la gouvernance DAO

De nombreux projets GameFi sont régis par des DAO, ce qui peut introduire un risque de centralisation si la majorité des jetons de gouvernance appartiennent à quelques grands acteurs. Les contrats intelligents qui définissent les règles de gouvernance du DAO ouvrent une autre voie à des compromissions potentielles, car les attaquants peuvent trouver des moyens d'accéder à la trésorerie du DAO.

Défis de sécurité hors chaîne

La plupart des projets GameFi dépendent toujours de serveurs centralisés hors chaîne pour les opérations back-end, les interfaces Web ou les applications mobiles. Ces serveurs hébergent des informations critiques, notamment les données de jeu et les comptes des propriétaires, et sont vulnérables aux attaques malveillantes telles que la pénétration et les chevaux de Troie.

En ce qui concerne les NFT, les métadonnées contiennent des informations descriptives importantes et sont stockées hors chaîne sous forme de fichiers JSON. Cependant, de nombreux projets GameFi stockent leurs métadonnées NFT sur leurs propres serveurs centralisés au lieu d'utiliser une infrastructure décentralisée comme IPFS. Cela augmente la probabilité de falsification des métadonnées par des parties liées ou des attaquants, ce qui pourrait porter atteinte aux droits des joueurs.

Dans le contexte de ponts inter-chaînes, les attaquants peuvent obtenir les signatures des validateurs ou les clés privées par le biais d’attaques de pénétration ou de phishing. Ils peuvent compromettre l'infrastructure et exécuter un exploit pour contrôler les actifs du jeu.

Lors de la transmission de données, les attaquants peuvent détourner et injecter le paquet réseau avec du code malveillant. En modifiant le paquet de données, les attaquants peuvent mettre en œuvre de fausses recharges et utiliser le montant unitaire acheté pour obtenir plus d'éléments de jeu.

Les interfaces frontales offrent aux attaquants un autre moyen d’infiltrer le système de manière malveillante. Si une fuite d'informations se produit sur le classement d'un jeu, les attaquants peuvent envoyer les informations relatives à l'adresse divulguées au serveur pour obtenir les informations sensibles correspondantes.

Façons d'améliorer la sécurité

Pour sauvegarder les projets GameFi, il est crucial de faire preuve de prudence à chaque étape. Garantir des codes de contrats intelligents impeccables est la base d’un projet GameFi réussi – cela implique l’écriture de code de haute qualité, la réalisation d’audits réguliers et l’utilisation d’une vérification formelle des contrats intelligents.

Le maintien de la sécurité des serveurs et autres composants de l’infrastructure est également essentiel ; des tests d’intrusion doivent être effectués pour détecter d’éventuelles vulnérabilités. Avec les systèmes basés sur DApp et blockchain, les tests d'intrusion apportent des fonctionnalités Web3. Des précautions spécifiques sont donc nécessaires pour les portefeuilles numériques et les protocoles décentralisés.

Les projets GameFi doivent également adhérer à d'autres bonnes pratiques, notamment un processus d'exécution sécurisé et une réponse d'urgence complète. La première consiste à surveiller les événements de sécurité déclenchés, à renforcer la sécurité de l’environnement et à lancer des programmes de bug bounty.

Dans le même temps, les projets doivent développer un processus complet de réponse d'urgence qui inclut des aspects tels que l'élimination des pertes, le suivi des attaques et l'analyse des problèmes.

Pensées finales

Les vulnérabilités de sécurité de GameFi vont au-delà de celles mentionnées dans cet article et de nombreux incidents ont montré que les projets ont ignoré ou minimisé les risques de sécurité. GameFi est une partie importante de l’avenir du jeu vidéo. En tant que tels, les projets doivent toujours prêter attention aux questions de sécurité et donner la priorité aux intérêts de leurs communautés.

Lectures complémentaires

  • Qu'est-ce que GameFi et comment ça marche ?

  • Que sont les jeux NFT et comment fonctionnent-ils ?

  • Qu’est-ce qu’un audit de sécurité des contrats intelligents ?


Avis de non-responsabilité et avertissement de risque : ce contenu vous est présenté « tel quel » à titre d'information générale et à des fins éducatives uniquement, sans représentation ni garantie d'aucune sorte. Il ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel, et il n’est pas non plus destiné à recommander l’achat d’un produit ou d’un service spécifique. Vous devriez demander votre propre avis auprès de conseillers professionnels appropriés. Lorsque l'article est rédigé par un contributeur tiers, veuillez noter que les opinions exprimées appartiennent au contributeur tiers et ne reflètent pas nécessairement celles de Binance Academy. Veuillez lire notre clause de non-responsabilité complète ici pour plus de détails. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut augmenter ou diminuer et vous ne récupérerez peut-être pas le montant investi. Vous êtes seul responsable de vos décisions d'investissement et Binance Academy n'est pas responsable des pertes que vous pourriez subir. Ce matériel ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel. Pour plus d’informations, consultez nos conditions d’utilisation et nos avertissements de risque.