この記事はコミュニティ投稿です。著者は、総合的なブロックチェーン セキュリティ企業 Salus Security のスマート コントラクト監査人である Zhangchi Qin です。
この記事の見解は寄稿者/著者のものであり、必ずしも Binance Academy の見解を反映するものではありません。
TLDR:
GameFi プロジェクトは、オンチェーンの問題とオフチェーンの問題に分類できるさまざまなセキュリティ上の課題に直面しています。
オンチェーンのセキュリティ上の課題には、主にERC-20トークンとNFTの管理、クロスチェーンブリッジの安全性、分散型自律組織(DAO)のガバナンスが含まれます。
一方、オフチェーンの課題は、通常、Web インターフェースとサーバーに関連しています。
GameFi プロジェクトでは、厳格な監査、脆弱性スキャン、侵入テストなどのセキュリティ対策を優先し、ベスト オペレーション プラクティスとビジネス コントロールを実装する必要があります。
導入
GameFi は、ブロックチェーン技術とゲームを組み合わせ、ゲーム内資産とデジタル通貨を備えた分散型プラットフォームを作成します。通常、プレイヤーが暗号通貨報酬を獲得できるプレイ・トゥ・アーン (P2E) モデルを採用しています。GameFi は、ゲーマーにゲーム内資産の真の所有権と完全な制御権も提供します。
GameFi は人気が高まっていますが、そのライフサイクル全体を通じて、継続的かつ重大なハッキングの脅威に直面しています。一部のプロジェクトでは、品質よりも速度を重視しているため、強力なセキュリティ対策が欠如しており、コミュニティとクリエイターの両方が大きな損失のリスクにさらされています。
GameFi セキュリティが重要な理由
GameFiは、プレイヤーに新しいゲーム内金融機会を提供するP2Eモデルにより、2021年に大幅な成長を遂げました。2022年には、Move-to-Earnプロジェクトにより、GameFiの成長の可能性がさらに強調されました。GameFiは2022年に暗号通貨のトップセクターとなり、業界の総資金調達の約9.5%を占め、前年比118%以上の成長を記録しました。
GameFi は従来のゲームとは異なり、ユーザーにとってのリスクが高く、ハッキングはユーザーにとって大きな損失を意味する可能性があります。極端なシナリオでは、セキュリティ侵害によりプロジェクトが終了する可能性があります。
たとえば、2022年に攻撃者はリモート プロシージャ コール (RPC) ノードのバックドアを悪用して GameFi プロジェクト Axie Infinity の署名を取得し、合計で約 6 億ドル相当の ETH を不正に引き出しました。GameFi プロジェクトに脆弱性があると、投資家とプレイヤーの両方に多大な損失をもたらす可能性があり、GameFi セキュリティの重要性が強調されています。
オンチェーンセキュリティの課題
ERC-20 トークンの脆弱性
ERC-20 トークンは、ゲーム内購入用の仮想通貨、プレイヤーへの報酬メカニズム、交換手段として、GameFi プロジェクトで頻繁に使用されます。
ERC-20 トークンの不適切な鋳造と管理は、セキュリティ リスクを招く可能性があります。鋳造プロセス中に、再入性と呼ばれる一般的な脆弱性が発生する可能性があります。攻撃者は、契約のロジックの抜け穴を悪用して特定の関数を繰り返し実行し、トークンを無限に鋳造することができます。
ERC-20トークンはゲーム内通貨として、その安定性と量がゲームのプレイアビリティと持続可能性を決定します。したがって、プロジェクトはコードのロジックを確保し、ERC-20トークンの総供給量を厳密に管理する必要があります。
P2E GameFiプロジェクトDeFi Kingdomsは、2022年に悪意のあるERC-20ミント攻撃を受けました。一部のプレイヤーはロジックの脆弱性を利用して、ゲームのロックされたネイティブトークンをミントし、その後トークンの価格が急落しました。
NFT の脆弱性
NFT は主に GameFi プロジェクトで、装備、小道具、記念品などのゲーム内仮想資産として使用されます。NFT はプレイヤーに明確な所有権を提供し、インフレ制御と希少性によって安定した価値を維持できます。ただし、NFT を不適切に使用すると、セキュリティ上の脆弱性が生じる可能性があります。
NFT の価値は装備や小道具の希少性に反映されており、プレイヤーは通常、最も希少な NFT を求めています。NFT の鋳造プロセスでは、タイムスタンプなどのブロック関連情報が、希少性の異なるレベルの NFT を生成するための弱いランダム ソースとして使用されることがあります。マイナーは、ブロックのタイムスタンプをある程度操作して、悪意を持って希少性の高い NFT を鋳造することができます。
Chainlink VRF (検証可能なランダム関数) などの信頼できるランダム性のソースであっても、すべてのリスクが排除されるわけではありません。悪意のあるユーザーは、不要な NFT トークン ID を鋳造しながら操作を取り消し、希少な NFT が鋳造されるまでプロセスを繰り返すことができます。
プレイヤーが NFT を取引および転送する場合、潜在的なスマート コントラクトの脆弱性が発生する可能性があります。たとえば、関数 safeTransferFrom() は ERC-721 NFT を転送するために使用されます。受信者がコントラクト アドレスの場合、関数 onERC721Received() がコールバックのためにトリガーされます。その後、再入攻撃の潜在的なリスクがあり、攻撃者は関数 on ERC721Received() 内のロジックを指示できます。
このリスクは ERC-1155 NFT にも存在し、関数 safeTransferFrom() が関数 onERC1155Received() をトリガーし、攻撃者が再入攻撃を実行できるようになります。
ブリッジの脆弱性
クロスチェーン ブリッジは、GameFi で使用され、ユーザーが異なるネットワーク間でゲーム内資産を交換できるようにします。また、GameFi のエクスペリエンスと流動性を高めるためにも重要です。
GameFi のクロスチェーン ブリッジの大きなリスクの 1 つは、ゲーム内資産間の不一致です。ブリッジの両側の契約では、同じ量の資産が受け入れられ、バーンされることが保証される必要があります。ただし、検証と会計の契約に抜け穴があるため、攻撃者は契約を侵害して大量の資産を無から作成できます。
DAO ガバナンスの脆弱性
多くの GameFi プロジェクトは DAO によって管理されていますが、ガバナンス トークンの大部分が少数の大規模なアクターによって所有されている場合、中央集権化のリスクが生じる可能性があります。DAO ガバナンス ルールを定義するスマート コントラクトは、攻撃者が DAO の資金にアクセスする方法を見つけることができるため、潜在的な侵害の新たな場となります。
オフチェーンのセキュリティ課題
GameFi プロジェクトのほとんどは、バックエンド操作、Web インターフェース、モバイル アプリをオフチェーンの集中型サーバーに依存しています。これらのサーバーには、ゲーム データや所有者アカウントなどの重要な情報が格納されており、侵入やトロイの木馬マルウェアなどの悪意のある攻撃に対して脆弱です。
NFT の場合、メタデータには重要な説明情報が含まれており、JSON ファイルとしてオフチェーンで保存されます。ただし、多くの GameFi プロジェクトでは、IPFS などの分散インフラストラクチャを使用するのではなく、独自の集中型サーバーに NFT メタデータを保存しています。これにより、関係者や攻撃者によるメタデータの改ざんの可能性が高まり、プレイヤーの権利が侵害される可能性があります。
クロスチェーンブリッジのコンテキストでは、攻撃者は侵入攻撃やフィッシング攻撃を通じてバリデータの署名や秘密鍵を入手する可能性があります。攻撃者はインフラストラクチャを侵害し、ゲーム内資産を制御するためのエクスプロイトを実行する可能性があります。
データ送信中に、攻撃者はネットワーク パケットを乗っ取り、悪意のあるコードを挿入する可能性があります。攻撃者はデータ パッケージを変更することで、偽のトップアップを実行し、ユニット購入金額を使用してゲーム アイテムをさらに取得する可能性があります。
フロントエンド インターフェースは、攻撃者に悪意を持ってシステムに侵入する別の手段を提供します。あるゲームのリーダーボードで情報漏洩が発生した場合、攻撃者は漏洩したアドレス関連情報をサーバーに送信して、対応する機密情報を取得することができます。
セキュリティを向上させる方法
GameFi プロジェクトを保護するには、あらゆる段階で注意を払うことが重要です。完璧なスマート コントラクト コードを確保することは、GameFi プロジェクトの成功の基盤です。これには、高品質のコードの作成、定期的な監査の実施、正式なスマート コントラクト検証の使用が含まれます。
サーバーやその他のインフラストラクチャ コンポーネントのセキュリティを維持することも重要です。潜在的な脆弱性を検出するために侵入テストを実施する必要があります。DApp およびブロックチェーン ベースのシステムでは、侵入テストによって Web3 機能がもたらされます。そのため、デジタル ウォレットと分散プロトコルには特別な予防措置が必要です。
GameFi プロジェクトは、安全なランタイム プロセスや完全な緊急対応など、その他のベスト プラクティスにも準拠する必要があります。前者には、トリガーされたセキュリティ イベントの監視、環境セキュリティの強化、バグ報奨金プログラムのリリースが含まれます。
同時に、プロジェクトでは、ストップロス処理、攻撃追跡、問題分析などの側面を含む完全な緊急対応プロセスを開発する必要があります。
終わりに
GameFi のセキュリティ上の脆弱性はこの記事で言及されているものを超えており、多くのインシデントがプロジェクトがセキュリティリスクを無視または軽視していることを示しています。GameFi はゲームの未来にとって重要な部分です。そのため、プロジェクトは常にセキュリティの問題に注意を払い、コミュニティの利益を最優先にする必要があります。
参考文献
GameFi とは何ですか? どのように機能しますか?
NFT ゲームとは何ですか? どのように機能しますか?
スマートコントラクトのセキュリティ監査とは何ですか?
免責事項とリスク警告:このコンテンツは、一般的な情報と教育目的のみで「現状のまま」提供されており、いかなる表明や保証もありません。財務、法律、その他の専門的なアドバイスとして解釈されるべきではなく、特定の製品やサービスの購入を推奨することを意図したものでもありません。適切な専門アドバイザーから独自のアドバイスを求める必要があります。記事が第三者寄稿者によって寄稿されている場合、表明された見解は第三者寄稿者のものであり、必ずしもBinance Academyの見解を反映するものではないことにご注意ください。詳細については、こちらで完全な免責事項をお読みください。デジタル資産の価格は変動する可能性があります。投資の価値は下がったり上がったりする可能性があり、投資した金額が戻ってこない可能性があります。投資の決定はあなた自身の責任であり、Binance Academyはあなたが被る損失について責任を負いません。この資料は、財務、法律、その他の専門的なアドバイスとして解釈されるべきではありません。詳細については、利用規約とリスク警告をご覧ください。
