Este artigo é um envio da comunidade. O autor é Zhangchi Qin, auditor de contratos inteligentes da empresa holística de segurança blockchain Salus Security.

As opiniões neste artigo são do colaborador/autor e não refletem necessariamente as da Binance Academy.

TLDR:

  • Os projetos GameFi enfrentam vários desafios de segurança que podem ser classificados como problemas dentro e fora da rede.

  • Os desafios de segurança na cadeia envolvem principalmente a gestão de tokens ERC-20 e NFTs, a segurança de pontes entre cadeias e a governança de organizações autônomas descentralizadas (DAO).

  • Os desafios fora da cadeia, por outro lado, estão normalmente relacionados a interfaces e servidores web.

  • Os projetos da GameFi devem priorizar medidas de segurança, como auditorias rigorosas, verificação de vulnerabilidades e testes de penetração, bem como implementar melhores práticas operacionais e controles de negócios.

Introdução

GameFi combina tecnologia blockchain com jogos para criar plataformas descentralizadas com ativos de jogos e moedas digitais. Normalmente apresenta um modelo play-to-earn (P2E) que permite aos jogadores ganhar recompensas criptográficas. A GameFi também oferece aos jogadores verdadeira propriedade e controle total sobre seus ativos no jogo.

Embora a GameFi esteja ganhando popularidade, ela enfrenta ameaças contínuas e significativas de hacks ao longo de seu ciclo de vida. Alguns projetos podem valorizar a velocidade em detrimento da qualidade e, portanto, carecem de precauções de segurança robustas, colocando tanto a comunidade como os criadores em risco de perdas significativas.

Por que a segurança da GameFi é importante?

A GameFi experimentou um crescimento considerável em 2021 com seu modelo P2E oferecendo aos jogadores novas oportunidades financeiras no jogo. Em 2022, os projetos move-to-earn destacaram ainda mais o potencial de crescimento da GameFi. GameFi foi o principal setor de criptografia em 2022, respondendo por aproximadamente 9,5% do financiamento total da indústria e um crescimento anual de mais de 118%.

GameFi é diferente dos jogos tradicionais porque há mais em jogo para os usuários e qualquer hack pode significar perdas significativas para eles. Em cenários extremos, as violações de segurança podem encerrar um projeto.

Por exemplo, os invasores exploraram um backdoor em um nó de Chamada de Procedimento Remoto (RPC) para obter uma assinatura no projeto GameFi Axie Infinity em 2022, permitindo que os invasores realizassem retiradas não autorizadas totalizando quase US$ 600 milhões em ETH. Quaisquer vulnerabilidades nos projetos da GameFi podem resultar em perdas massivas para investidores e jogadores, ressaltando a importância crítica da segurança da GameFi.

Desafios de segurança na cadeia

Vulnerabilidades do token ERC-20

Os tokens ERC-20 são frequentemente usados ​​em projetos GameFi como moeda virtual para compras no jogo, mecanismos de recompensa para jogadores e meio de troca.

A cunhagem e o gerenciamento inadequados de tokens ERC-20 podem apresentar riscos de segurança. Uma vulnerabilidade comum, chamada reentrada, pode surgir durante o processo de cunhagem. Os ataques podem explorar a lacuna lógica de um contrato para executar repetidamente uma função específica, resultando na cunhagem infinita de tokens.

Como moedas universais no jogo, a estabilidade e a quantidade dos tokens ERC-20 determinam a jogabilidade e a sustentabilidade de um jogo. Assim, os projetos devem garantir a lógica dos códigos e controlar rigorosamente o fornecimento total de tokens ERC-20.

O projeto P2E GameFi DeFi Kingdoms foi atacado por cunhagem maliciosa de ERC-20 em 2022. Alguns jogadores aproveitaram a vulnerabilidade lógica para cunhar os tokens nativos bloqueados do jogo, fazendo com que o preço do token despencasse posteriormente.

Vulnerabilidades NFT

Os NFTs são usados ​​principalmente como ativos virtuais de jogos em projetos GameFi, incluindo equipamentos, adereços e souvenirs. Eles oferecem aos jogadores uma propriedade clara e podem manter um valor estável através do controle da inflação e da escassez. No entanto, o uso indevido de NFTs pode introduzir vulnerabilidades de segurança.

O valor dos NFTs se reflete na raridade dos equipamentos ou adereços, com os jogadores normalmente buscando os NFTs mais raros. Durante o processo de cunhagem de NFT, informações relacionadas ao bloco, como carimbos de data e hora, podem ser usadas como uma fonte aleatória fraca para gerar NFTs com diferentes níveis de raridade. Um minerador pode manipular o carimbo de data e hora do bloco até certo ponto para cunhar NFTs mais raros de forma maliciosa.

Mesmo uma fonte confiável de aleatoriedade, como o Chainlink VRF (Verifiable Random Function), não elimina todos os riscos. Usuários maliciosos podem revogar operações enquanto cunham IDs de token NFT indesejados e repetir o processo até que um NFT raro seja cunhado.

Quando os jogadores negociam e transferem NFTs, podem ocorrer vulnerabilidades potenciais de contratos inteligentes. Por exemplo, a função safeTransferFrom() é usada para transferir NFTs ERC-721. Quando o receptor for um endereço de contrato, a função onERC721Received() será acionada para um retorno de chamada. Depois, há o risco potencial de ataques de reentrada, em que os invasores podem ditar a lógica dentro da função em ERC721Received().

Este risco também existe entre os NFTs ERC-1155, em que a função safeTransferFrom() aciona a função onERC1155Received() e permite que invasores realizem um ataque de reentrada.

Vulnerabilidades de ponte

Pontes entre cadeias são usadas no GameFi para permitir que os usuários troquem ativos do jogo em diferentes redes. Eles também são essenciais para melhorar as experiências e a liquidez da GameFi.

Um grande risco de pontes entre cadeias na GameFi vem de inconsistências entre os ativos do jogo. Os contratos de ambos os lados da ponte deverão garantir que a mesma quantidade de activos será aceite e queimada. No entanto, devido a lacunas nos contratos de verificação e contabilidade, os invasores podem comprometê-los para criar um grande número de ativos do nada.

Vulnerabilidades de governança DAO

Muitos projetos GameFi são governados por DAOs, o que pode introduzir o risco de centralização se a maioria dos tokens de governança pertencer a alguns grandes atores. Os contratos inteligentes que definem as regras de governança do DAO abrem outro local para possíveis comprometimentos, à medida que os invasores podem encontrar maneiras de acessar o tesouro do DAO.

Desafios de segurança fora da cadeia

A maioria dos projetos GameFi ainda depende de servidores centralizados fora da cadeia para operações de back-end, interfaces web ou aplicativos móveis. Esses servidores armazenam informações críticas, incluindo dados de jogos e contas de proprietários, e são vulneráveis ​​a ataques maliciosos, como penetração e malware de cavalo de Tróia.

Quando se trata de NFTs, os metadados contêm informações descritivas importantes e são armazenados fora da cadeia como arquivos JSON. No entanto, muitos projetos GameFi armazenam seus metadados NFT em seus próprios servidores centralizados, em vez de usar infraestrutura descentralizada como IPFS. Isto aumenta a probabilidade de adulteração de metadados por partes relacionadas ou invasores, o que pode infringir os direitos dos jogadores.

No contexto de pontes entre cadeias, os invasores podem obter assinaturas de validadores ou chaves privadas por meio de ataques de penetração ou phishing. Eles podem comprometer a infraestrutura e executar uma exploração para controlar os ativos do jogo.

Durante a transmissão de dados, os invasores podem sequestrar e injetar código malicioso no pacote de rede. Ao modificar o pacote de dados, os invasores podem implementar recargas falsas e usar o valor da compra unitária para obter mais itens do jogo.

As interfaces front-end oferecem aos invasores outro caminho para se infiltrar maliciosamente no sistema. Se ocorrer um vazamento de informações na tabela de classificação de um jogo, os invasores podem enviar as informações relacionadas ao endereço vazado ao servidor para obter as informações confidenciais correspondentes.

Maneiras de melhorar a segurança

Para proteger os projetos GameFi, é crucial ter cautela em todas as fases. Garantir códigos de contratos inteligentes perfeitos é a base de um projeto GameFi bem-sucedido – isso envolve escrever códigos de alta qualidade, conduzir auditorias regulares e usar verificação formal de contratos inteligentes.

Manter a segurança dos servidores e outros componentes da infra-estrutura também é fundamental; testes de penetração devem ser realizados para detectar possíveis vulnerabilidades. Com sistemas baseados em DApp e blockchain, os testes de penetração trazem consigo recursos Web3. Como tal, são necessárias precauções específicas para carteiras digitais e protocolos descentralizados.

Os projetos GameFi também devem aderir a outras práticas recomendadas, incluindo um processo de tempo de execução seguro e resposta de emergência completa. O primeiro envolve monitorar eventos de segurança acionados, fortalecer a segurança do ambiente e liberar programas de recompensa por bugs.

Ao mesmo tempo, os projetos devem desenvolver um processo completo de resposta a emergências que inclua aspectos como eliminação de stop-loss, rastreamento de ataques e análise de problemas.

Considerações finais

As vulnerabilidades de segurança da GameFi vão além das mencionadas neste artigo e muitos incidentes mostraram que os projetos ignoraram ou minimizaram os riscos de segurança. GameFi é uma parte significativa do futuro dos jogos. Como tal, os projectos devem sempre prestar atenção às questões de segurança e colocar os interesses das suas comunidades em primeiro lugar.

Leitura adicional

  • O que é GameFi e como funciona?

  • O que são jogos NFT e como funcionam?

  • O que é uma auditoria de segurança de contrato inteligente?


Isenção de responsabilidade e aviso de risco: Este conteúdo é apresentado a você “como está” apenas para fins informativos gerais e educacionais, sem representação ou garantia de qualquer tipo. Não deve ser interpretado como aconselhamento financeiro, jurídico ou outro aconselhamento profissional, nem tem a intenção de recomendar a compra de qualquer produto ou serviço específico. Você deve procurar aconselhamento de consultores profissionais apropriados. Quando o artigo for contribuído por um contribuidor terceirizado, observe que as opiniões expressas pertencem ao contribuidor terceirizado e não refletem necessariamente as da Binance Academy. Por favor, leia nosso aviso completo aqui para obter mais detalhes. Os preços dos ativos digitais podem ser voláteis. O valor do seu investimento pode diminuir ou aumentar e você pode não recuperar o valor investido. Você é o único responsável por suas decisões de investimento e a Binance Academy não se responsabiliza por quaisquer perdas que você possa incorrer. Este material não deve ser interpretado como aconselhamento financeiro, jurídico ou outro aconselhamento profissional. Para obter mais informações, consulte nossos Termos de Uso e Aviso de Risco.