Šis raksts ir kopienas iesniegums. Autors ir Zhangchi Qin, viedais līgumu auditors holistiskā blokķēdes drošības uzņēmumā Salus Security.

Šajā rakstā sniegtie viedokļi ir līdzautora/autora skatījumi, un tie ne vienmēr atspoguļo Binance Academy skatījumus.

TLDR:

  • GameFi projekti saskaras ar dažādām drošības problēmām, kuras var klasificēt kā ķēdes un ārpus ķēdes problēmas.

  • Ķēdes drošības izaicinājumi galvenokārt ir saistīti ar ERC-20 marķieru un NFT pārvaldību, pārrobežu ķēžu tiltu drošību un decentralizētas autonomas organizācijas (DAO) pārvaldību.

  • No otras puses, izaicinājumi ārpus ķēdes parasti ir saistīti ar tīmekļa saskarnēm un serveriem.

  • GameFi projektos par prioritāti jānosaka drošības pasākumi, piemēram, stingras pārbaudes, ievainojamības skenēšana un iespiešanās pārbaude, kā arī jāievieš labākā darbības prakse un uzņēmējdarbības kontrole.

Ievads

GameFi apvieno blokķēdes tehnoloģiju ar spēlēm, lai izveidotu decentralizētas platformas, kurās ir iekļauti spēļu līdzekļi un digitālās valūtas. Tajā parasti ir spēlēšanas, lai nopelnītu (P2E) modelis, kas ļauj spēlētājiem nopelnīt kriptovalūtas balvas. GameFi arī sniedz spēlētājiem patiesas īpašumtiesības un pilnīgu kontroli pār saviem spēles īpašumiem.

Kamēr GameFi kļūst arvien populārāks, tas saskaras ar pastāvīgiem un ievērojamiem uzlaušanas draudiem visā tā dzīves ciklā. Dažos projektos ātrums var būt augstāks par kvalitāti, un tāpēc tiem trūkst stingru drošības pasākumu, tādējādi radot ievērojamu zaudējumu risku gan sabiedrībai, gan satura veidotājiem.

Kāpēc GameFi drošība ir svarīga?

GameFi 2021. gadā piedzīvoja ievērojamu izaugsmi ar savu P2E modeli, kas spēlētājiem piedāvā jaunas finanšu iespējas spēlē. 2022. gadā projekti, lai gūtu peļņu, vēl vairāk izcēla GameFi izaugsmes potenciālu. GameFi 2022. gadā bija kriptovalūtu populārākais sektors, veidojot aptuveni 9,5% no nozares kopējā finansējuma un gada griezumā pieaugot par vairāk nekā 118%.

GameFi atšķiras no tradicionālajām spēlēm, jo ​​uz spēles ir likts vairāk lietotāju, un jebkura uzlaušana viņiem var nozīmēt ievērojamus zaudējumus. Ārkārtējos gadījumos drošības pārkāpumi var izbeigt projektu.

Piemēram, uzbrucēji izmantoja aizmugures durvis attālās procedūras izsaukuma (RPC) mezglā, lai iegūtu parakstu GameFi projektā Axie Infinity 2022. gadā, ļaujot uzbrucējiem veikt nesankcionētu līdzekļu izņemšanu par kopējo summu gandrīz 600 miljoni USD ETH. Jebkura GameFi projektu ievainojamība var radīt milzīgus zaudējumus gan investoriem, gan spēlētājiem, uzsverot GameFi drošības kritisko nozīmi.

Ķēdes drošības izaicinājumi

ERC-20 marķiera ievainojamības

ERC-20 marķieri GameFi projektos bieži tiek izmantoti kā virtuāla valūta pirkumiem spēlē, atlīdzības mehānismi spēlētājiem un apmaiņas līdzeklis.

Nepareiza ERC-20 marķieru kalšana un pārvaldība var radīt drošības riskus. Kalšanas procesā var rasties viena izplatīta ievainojamība, ko sauc par atkārtotu ievadīšanu. Uzbrukumi var izmantot loģikas nepilnības līgumā, lai atkārtoti izpildītu noteiktu funkciju, kā rezultātā bezgalīgi tiek kaltas žetonus.

Kā universālas spēļu valūtas ERC-20 žetonu stabilitāte un daudzums nosaka spēles spēlējamību un ilgtspējību. Tādējādi projektiem ir jānodrošina kodu loģika un stingri jākontrolē kopējais ERC-20 marķieru piedāvājums.

P2E GameFi projektam DeFi Kingdoms 2022. gadā uzbruka ļaunprātīga ERC-20 kalšana. Daži spēlētāji izmantoja loģisko ievainojamību, lai izveidotu spēles bloķētos vietējos marķierus, izraisot marķiera cenas kritumu pēc tam.

NFT ievainojamības

NFT galvenokārt tiek izmantoti kā spēļu virtuālie aktīvi GameFi projektos, tostarp aprīkojums, rekvizīti un suvenīri. Tie piedāvā spēlētājiem skaidras īpašumtiesības un var uzturēt stabilu vērtību, kontrolējot inflāciju un trūkumu. Tomēr nepareiza NFT izmantošana var radīt drošības ievainojamības.

NFT vērtība ir atspoguļota aprīkojuma vai rekvizītu retumā, spēlētājiem parasti meklējot retākos NFT. NFT kalšanas procesa laikā ar blokiem saistītu informāciju, piemēram, laikspiedolus, var izmantot kā vāju nejaušu avotu, lai ģenerētu NFT ar dažādu retuma līmeni. Kalnracis var zināmā mērā manipulēt ar bloka laikspiedolu, lai ļaunprātīgi izveidotu retākus NFT.

Pat uzticams nejaušības avots, piemēram, Chainlink VRF (pārbaudāma nejaušības funkcija), nenovērš visus riskus. Ļaunprātīgi lietotāji var atsaukt darbības, kaljot nevēlamus NFT marķiera ID, un atkārtot procesu, līdz tiek izveidots rets NFT.

Kad spēlētāji tirgo un nodod NFT, var rasties potenciāla viedo līgumu ievainojamība. Piemēram, funkcija safeTransferFrom() tiek izmantota, lai pārsūtītu ERC-721 NFT. Ja saņēmējs ir līguma adrese, funkcija onERC721Received() tiks aktivizēta atzvanīšanai. Tad pastāv potenciāls atkārtotas ienākšanas uzbrukumu risks, kad uzbrucēji var diktēt loģiku funkcijā ERC721Received().

Šis risks pastāv arī starp ERC-1155 NFT, kur funkcija safeTransferFrom() aktivizē funkciju onERC1155Received() un ļauj uzbrucējiem veikt atkārtotas ieejas uzbrukumu.

Tiltu ievainojamības

Pārrobežu ķēdes tilti tiek izmantoti GameFi, lai lietotāji varētu apmainīties ar spēles līdzekļiem dažādos tīklos. Tie ir arī ļoti svarīgi, lai uzlabotu GameFi pieredzi un likviditāti.

Viens no lielākajiem pārrobežu ķēžu tiltu riskiem GameFi ir saistīts ar neatbilstībām starp spēles aktīviem. Līgumiem abās tilta pusēs jāgarantē, ka tiks pieņemts un sadedzināts vienāds līdzekļu apjoms. Tomēr, ņemot vērā nepilnības pārbaudes un uzskaites līgumos, uzbrucēji var tos apdraudēt, lai no zila gaisa izveidotu lielu skaitu aktīvu.

DAO pārvaldības ievainojamības

Daudzus GameFi projektus pārvalda DAO, kas var radīt centralizācijas risku, ja lielākā daļa pārvaldības pilnvaru pieder dažiem lieliem dalībniekiem. Viedie līgumi, kas nosaka DAO pārvaldības noteikumus, paver vēl vienu vietu iespējamiem kompromisiem, jo ​​uzbrucēji var atrast veidus, kā piekļūt DAO kasei.

Ārpus ķēdes drošības izaicinājumi

Lielākā daļa GameFi projektu joprojām ir atkarīgi no ārpus ķēdes centralizētiem serveriem aizmugures operācijām, tīmekļa saskarnēm vai mobilajām lietotnēm. Šajos serveros ir svarīga informācija, tostarp spēļu dati un īpašnieku konti, un tie ir neaizsargāti pret ļaunprātīgiem uzbrukumiem, piemēram, iespiešanos un Trojas zirga ļaunprātīgu programmatūru.

Runājot par NFT, metadati satur svarīgu aprakstošu informāciju un tiek glabāti ārpus ķēdes kā JSON faili. Tomēr daudzi GameFi projekti glabā savus NFT metadatus savos centralizētajos serveros, nevis izmanto decentralizētu infrastruktūru, piemēram, IPFS. Tas palielina iespējamību, ka saistītās puses vai uzbrucēji varētu manipulēt ar metadatiem, tādējādi pārkāpjot spēlētāju tiesības.

Pārrobežu ķēžu tiltu kontekstā uzbrucēji var iegūt pārbaudītāju parakstus vai privātās atslēgas, izmantojot iespiešanās vai pikšķerēšanas uzbrukumus. Viņi var apdraudēt infrastruktūru un veikt ekspluatāciju, lai kontrolētu spēles aktīvus.

Datu pārraides laikā uzbrucēji var nolaupīt un ievadīt tīkla paketi ar ļaunprātīgu kodu. Pārveidojot datu paketi, uzbrucēji var veikt viltus papildinājumus un izmantot vienības pirkuma summu, lai iegūtu vairāk spēles priekšmetu.

Priekšgala saskarnes sniedz uzbrucējiem vēl vienu iespēju ļaunprātīgi iefiltrēties sistēmā. Ja vienas spēles līderu sarakstā notiek informācijas noplūde, uzbrucēji var nosūtīt nopludināto ar adresi saistīto informāciju serverim, lai iegūtu atbilstošu sensitīvu informāciju.

Drošības uzlabošanas veidi

Lai aizsargātu GameFi projektus, ir ļoti svarīgi ievērot piesardzību katrā posmā. Nevainojamu viedo līgumu kodu nodrošināšana ir veiksmīga GameFi projekta pamats — tas ietver augstas kvalitātes koda rakstīšanu, regulāru auditu veikšanu un formālas viedā līguma verifikācijas izmantošanu.

Svarīga ir arī serveru un citu infrastruktūras komponentu drošības uzturēšana; Lai atklātu iespējamās ievainojamības, ir jāveic iespiešanās pārbaude. Izmantojot uz DApp un blokķēdi balstītas sistēmas, iespiešanās pārbaude nodrošina Web3 funkcijas. Tāpēc digitālajiem makiem un decentralizētajiem protokoliem ir nepieciešami īpaši piesardzības pasākumi.

GameFi projektiem ir jāievēro arī cita labākā prakse, tostarp drošs izpildlaika process un pilnīga ārkārtas reaģēšana. Pirmais ietver aktivizēto drošības notikumu uzraudzību, vides drošības nostiprināšanu un kļūdu novēršanas programmu izlaišanu.

Tajā pašā laikā projektiem ir jāizstrādā pilnīgs reaģēšanas process ārkārtas situācijās, kas ietver tādus aspektus kā apturēšana un zaudēšana, uzbrukumu izsekošana un problēmu analīze.

Noslēguma domas

GameFi drošības ievainojamības pārsniedz šajā rakstā minētās, un daudzi incidenti ir parādījuši, ka projekti ir ignorējuši vai mazinājuši drošības riskus. GameFi ir nozīmīga spēļu nākotnes sastāvdaļa. Tādējādi projektos vienmēr jāpievērš uzmanība drošības jautājumiem un pirmajā vietā jāizvirza savas kopienas intereses.

Tālāka lasīšana

  • Kas ir GameFi un kā tas darbojas?

  • Kas ir NFT spēles un kā tās darbojas?

  • Kas ir viedā līguma drošības audits?


Atruna un brīdinājums par risku: šis saturs jums tiek piedāvāts “tāds, kāds ir” tikai vispārīgas informācijas un izglītošanas nolūkos, bez jebkāda veida pārstāvniecības vai garantijas. To nevajadzētu interpretēt kā finansiālu, juridisku vai citu profesionālu padomu, kā arī tas nav paredzēts, lai ieteiktu iegādāties kādu konkrētu produktu vai pakalpojumu. Jums jālūdz savs padoms pie atbilstošiem profesionāliem konsultantiem. Ja rakstu ir pievienojis trešās puses līdzautors, lūdzu, ņemiet vērā, ka izteiktie viedokļi pieder trešās puses līdzautoram un ne vienmēr atspoguļo Binance Academy uzskatus. Lūdzu, izlasiet mūsu pilno atrunu šeit, lai iegūtu sīkāku informāciju. Digitālo aktīvu cenas var būt nepastāvīgas. Jūsu ieguldījuma vērtība var samazināties vai pieaugt, un jūs, iespējams, neatgūsit ieguldīto summu. Jūs esat pilnībā atbildīgs par saviem ieguldījumu lēmumiem, un Binance Academy nav atbildīgs par jebkādiem zaudējumiem, kas jums var rasties. Šo materiālu nevajadzētu uzskatīt par finansiālu, juridisku vai citu profesionālu padomu. Lai iegūtu papildinformāciju, skatiet mūsu lietošanas noteikumus un brīdinājumu par risku.