Questo articolo è un contributo della community. L'autore è Zhangchi Qin, un revisore dei contratti intelligenti presso la società di sicurezza olistica blockchain Salus Security.
Le visualizzazioni in questo articolo appartengono al contributore/autore e non riflettono necessariamente quelle di Binance Academy.
TLDR:
I progetti GameFi devono affrontare varie sfide di sicurezza che possono essere classificate come problemi on-chain e off-chain.
Le sfide alla sicurezza on-chain riguardano principalmente la gestione dei token ERC-20 e degli NFT, la sicurezza dei bridge cross-chain e la governance dell'organizzazione autonoma decentralizzata (DAO).
Le sfide fuori catena, invece, sono tipicamente legate alle interfacce web e ai server.
I progetti GameFi dovrebbero dare priorità alle misure di sicurezza, come audit rigorosi, scansione delle vulnerabilità e test di penetrazione, nonché implementare le migliori pratiche operative e controlli aziendali.
introduzione
GameFi combina la tecnologia blockchain con i giochi per creare piattaforme decentralizzate con risorse di gioco e valute digitali. In genere presenta un modello play-to-earn (P2E) che consente ai giocatori di guadagnare premi crittografici. GameFi offre inoltre ai giocatori la vera proprietà e il controllo completo sulle proprie risorse di gioco.
Sebbene GameFi stia guadagnando popolarità, deve affrontare minacce continue e significative da parte degli hacker durante tutto il suo ciclo di vita. Alcuni progetti potrebbero privilegiare la velocità rispetto alla qualità e, pertanto, mancano di solide precauzioni di sicurezza, mettendo sia la comunità che i creatori a rischio di perdite significative.
Perché la sicurezza di GameFi è importante?
GameFi ha registrato una crescita considerevole nel 2021 con il suo modello P2E che offre ai giocatori nuove opportunità finanziarie all'interno del gioco. Nel 2022, i progetti move-to-earn hanno evidenziato ulteriormente il potenziale di crescita di GameFi. GameFi è stato il settore principale delle criptovalute nel 2022, rappresentando circa il 9,5% del finanziamento totale del settore e una crescita anno su anno di oltre il 118%.
GameFi è diverso dai giochi tradizionali perché la posta in gioco per gli utenti è maggiore e qualsiasi hack potrebbe significare perdite significative per loro. In scenari estremi, le violazioni della sicurezza potrebbero porre fine a un progetto.
Ad esempio, gli aggressori hanno sfruttato una backdoor in un nodo RPC (Remote Procedure Call) per ottenere una firma sul progetto GameFi Axie Infinity nel 2022, consentendo agli aggressori di effettuare prelievi non autorizzati per un totale di quasi 600 milioni di dollari in ETH. Qualsiasi vulnerabilità nei progetti GameFi potrebbe comportare ingenti perdite sia per gli investitori che per i giocatori, sottolineando l’importanza fondamentale della sicurezza di GameFi.
Sfide di sicurezza on-chain
Vulnerabilità dei token ERC-20
I token ERC-20 vengono spesso utilizzati nei progetti GameFi come valuta virtuale per acquisti in-game, meccanismi di ricompensa per i giocatori e mezzo di scambio.
Il conio e la gestione impropria dei token ERC-20 possono introdurre rischi per la sicurezza. Una vulnerabilità comune, chiamata rientro, può sorgere durante il processo di conio. Gli attacchi possono sfruttare la scappatoia logica di un contratto per eseguire ripetutamente una funzione specifica, determinando il conio infinito di token.
Essendo valute di gioco universali, la stabilità e la quantità dei token ERC-20 determinano la giocabilità e la sostenibilità di un gioco. Pertanto, i progetti dovrebbero garantire la logica dei codici e controllare rigorosamente la fornitura totale di token ERC-20.
Il progetto P2E GameFi DeFi Kingdoms è stato attaccato dal conio dannoso di ERC-20 nel 2022. Alcuni giocatori hanno sfruttato la vulnerabilità logica per coniare i token nativi bloccati del gioco, provocando successivamente il crollo del prezzo dei token.
Vulnerabilità dell'NFT
Gli NFT vengono utilizzati principalmente come risorse virtuali di gioco nei progetti GameFi, tra cui attrezzature, oggetti di scena e souvenir. Offrono ai giocatori una chiara proprietà e possono mantenere un valore stabile attraverso il controllo dell’inflazione e la scarsità. Tuttavia, l’uso improprio degli NFT può introdurre vulnerabilità di sicurezza.
Il valore degli NFT si riflette nella rarità dell'equipaggiamento o degli oggetti di scena, con i giocatori che in genere cercano gli NFT più rari. Durante il processo di conio di NFT, le informazioni relative ai blocchi come i timestamp possono essere utilizzate come una debole fonte casuale per generare NFT con diversi livelli di rarità. Un minatore può manipolare in una certa misura il timestamp del blocco per coniare maliziosamente NFT più rari.
Anche una fonte affidabile di casualità, come Chainlink VRF (Verifying Random Function), non elimina tutti i rischi. Gli utenti malintenzionati possono revocare le operazioni mentre coniano ID token NFT indesiderati e ripetere il processo finché non viene coniato un NFT raro.
Quando i giocatori scambiano e trasferiscono NFT, potrebbero verificarsi potenziali vulnerabilità dei contratti intelligenti. Ad esempio, la funzione safeTransferFrom() viene utilizzata per trasferire NFT ERC-721. Quando il destinatario è un indirizzo di contratto, la funzione onERC721Received() verrà attivata per una richiamata. Poi c'è il rischio potenziale di attacchi di rientro, in cui gli aggressori possono dettare la logica all'interno della funzione su ERC721Received().
Questo rischio esiste anche tra gli NFT ERC-1155, in cui la funzione safeTransferFrom() attiva la funzione onERC1155Received() e consente agli aggressori di effettuare un attacco di rientro.
Vulnerabilità del ponte
I bridge a catena incrociata vengono utilizzati in GameFi per consentire agli utenti di scambiare risorse di gioco su reti diverse. Sono anche fondamentali per migliorare l’esperienza e la liquidità di GameFi.
Uno dei principali rischi di ponti a catena incrociata in GameFi deriva dalle incoerenze tra le risorse di gioco. I contratti su entrambi i lati del ponte dovrebbero garantire che la stessa quantità di beni sarà accettata e bruciata. Tuttavia, a causa delle lacune nei contratti di verifica e contabilità, gli aggressori possono comprometterli per creare un gran numero di risorse dal nulla.
Vulnerabilità della governance DAO
Molti progetti GameFi sono governati da DAO, il che potrebbe introdurre il rischio di centralizzazione se la maggior parte dei token di governance è di proprietà di pochi grandi attori. I contratti intelligenti che definiscono le regole di governance della DAO aprono un’altra sede per potenziali compromessi, poiché gli aggressori possono trovare modi per accedere al tesoro della DAO.
Sfide di sicurezza fuori catena
La maggior parte dei progetti GameFi dipende ancora da server centralizzati fuori catena per operazioni di back-end, interfacce web o app mobili. Questi server ospitano informazioni critiche, inclusi dati di gioco e account dei proprietari, e sono vulnerabili ad attacchi dannosi come penetrazione e malware cavallo di Troia.
Quando si tratta di NFT, i metadati contengono importanti informazioni descrittive e vengono archiviati off-chain come file JSON. Tuttavia, molti progetti GameFi archiviano i propri metadati NFT sui propri server centralizzati invece di utilizzare infrastrutture decentralizzate come IPFS. Ciò aumenta la probabilità di manomissione dei metadati da parte di parti correlate o aggressori, che potrebbero violare i diritti dei giocatori.
Nel contesto dei cross-chain bridge gli aggressori possono ottenere le firme dei validatori o le chiavi private attraverso attacchi di penetrazione o phishing. Possono compromettere l'infrastruttura ed eseguire un exploit per controllare le risorse di gioco.
Durante la trasmissione dei dati, gli aggressori possono dirottare e iniettare codice dannoso nel pacchetto di rete. Modificando il pacchetto dati, gli aggressori possono implementare false ricariche e utilizzare l'importo dell'acquisto dell'unità per ottenere più oggetti di gioco.
Le interfacce front-end offrono agli aggressori un'altra strada per infiltrarsi in modo dannoso nel sistema. Se si verifica una fuga di informazioni nella classifica di un gioco, gli aggressori possono inviare le informazioni relative all'indirizzo trapelate al server per ottenere le informazioni sensibili corrispondenti.
Modi per migliorare la sicurezza
Per salvaguardare i progetti GameFi, è fondamentale prestare attenzione in ogni fase. Garantire codici di contratto intelligente impeccabili è il fondamento di un progetto GameFi di successo: ciò comporta la scrittura di codice di alta qualità, lo svolgimento di controlli regolari e l'utilizzo della verifica formale del contratto intelligente.
Anche il mantenimento della sicurezza dei server e degli altri componenti dell'infrastruttura è fondamentale; Dovrebbero essere condotti test di penetrazione per rilevare possibili vulnerabilità. Con i sistemi basati su DApp e blockchain, i test di penetrazione portano con sé funzionalità Web3. Pertanto, sono necessarie precauzioni specifiche per i portafogli digitali e i protocolli decentralizzati.
I progetti GameFi dovrebbero anche aderire ad altre migliori pratiche, tra cui un processo di runtime sicuro e una risposta completa alle emergenze. Il primo prevede il monitoraggio degli eventi di sicurezza attivati, il rafforzamento della sicurezza ambientale e il rilascio di programmi di bug bounty.
Allo stesso tempo, i progetti devono sviluppare un processo completo di risposta alle emergenze che includa aspetti quali l’eliminazione degli stop-loss, il monitoraggio degli attacchi e l’analisi dei problemi.
Pensieri conclusivi
Le vulnerabilità di sicurezza di GameFi vanno oltre quelle menzionate in questo articolo e molti incidenti hanno dimostrato che i progetti hanno ignorato o minimizzato i rischi per la sicurezza. GameFi è una parte significativa del futuro dei giochi. Pertanto, i progetti dovrebbero sempre prestare attenzione alle questioni di sicurezza e mettere al primo posto gli interessi delle loro comunità.
Ulteriori letture
Cos'è GameFi e come funziona?
Cosa sono i giochi NFT e come funzionano?
Che cos'è un audit di sicurezza del contratto intelligente?
Dichiarazione di non responsabilità e avviso di rischio: questo contenuto viene presentato "così com'è" solo a scopo informativo generale e didattico, senza dichiarazioni o garanzie di alcun tipo. Non deve essere interpretato come consulenza finanziaria, legale o di altro tipo, né è inteso a raccomandare l'acquisto di alcun prodotto o servizio specifico. Dovresti chiedere il tuo consiglio a consulenti professionali appropriati. Laddove l'articolo sia fornito da un collaboratore di terze parti, tieni presente che le opinioni espresse appartengono al contributore di terze parti e non riflettono necessariamente quelle di Binance Academy. Si prega di leggere il nostro disclaimer completo qui per ulteriori dettagli. I prezzi degli asset digitali possono essere volatili. Il valore del tuo investimento potrebbe diminuire o aumentare e potresti non recuperare l'importo investito. Sei l'unico responsabile delle tue decisioni di investimento e Binance Academy non è responsabile per eventuali perdite che potresti subire. Questo materiale non deve essere interpretato come consulenza finanziaria, legale o di altro tipo. Per ulteriori informazioni, consultare i nostri Termini di utilizzo e Avvertenza sui rischi.
