Эта статья предоставлена сообществом. Автор — Чжанчи Цинь, аудитор смарт-контрактов в компании Salus Security, занимающейся комплексной безопасностью блокчейнов.
Мнения в этой статье принадлежат автору/участнику и не обязательно отражают точку зрения Binance Academy.
TLDR:
Проекты GameFi сталкиваются с различными проблемами безопасности, которые можно классифицировать как проблемы внутри цепочки и вне цепочки.
Проблемы внутрисетевой безопасности в основном связаны с управлением токенами ERC-20 и NFT, безопасностью межцепочных мостов и управлением децентрализованными автономными организациями (DAO).
С другой стороны, проблемы вне сети обычно связаны с веб-интерфейсами и серверами.
Проекты GameFi должны уделять первоочередное внимание мерам безопасности, таким как строгие проверки, сканирование уязвимостей и тестирование на проникновение, а также внедрять лучшие операционные практики и средства контроля бизнеса.
Введение
GameFi сочетает технологию блокчейна с играми для создания децентрализованных платформ с внутриигровыми активами и цифровыми валютами. Обычно он использует модель «играй, чтобы заработать» (P2E), которая позволяет игрокам получать криптовалютные вознаграждения. GameFi также дает геймерам истинное право собственности и полный контроль над своими игровыми активами.
Хотя GameFi набирает популярность, на протяжении всего своего жизненного цикла он постоянно сталкивается с серьезными угрозами взлома. Некоторые проекты могут ценить скорость выше качества и, следовательно, не иметь надежных мер безопасности, подвергая как сообщество, так и создателей риску значительных потерь.
Почему важна безопасность GameFi?
В 2021 году GameFi продемонстрировала значительный рост благодаря своей модели P2E, предлагающей игрокам новые финансовые возможности в игре. В 2022 году проекты «движение ради заработка» еще раз подчеркнули потенциал роста GameFi. GameFi был ведущим сектором криптовалют в 2022 году, на его долю приходилось примерно 9,5% от общего объема финансирования отрасли, а годовой рост составил более 118%.
GameFi отличается от традиционных игр, поскольку для пользователей на кону стоит нечто большее, и любой взлом может означать для них значительные потери. В экстремальных сценариях нарушения безопасности могут привести к прекращению проекта.
Например, злоумышленники воспользовались бэкдором в узле удаленного вызова процедур (RPC), чтобы получить подпись проекта GameFi Axie Infinity в 2022 году, что позволило злоумышленникам осуществлять несанкционированный вывод средств на общую сумму почти 600 миллионов долларов США в ETH. Любые уязвимости в проектах GameFi могут привести к огромным потерям как для инвесторов, так и для игроков, что подчеркивает критическую важность безопасности GameFi.
Проблемы безопасности в сети
Уязвимости токена ERC-20
Токены ERC-20 часто используются в проектах GameFi в качестве виртуальной валюты для внутриигровых покупок, механизмов вознаграждения игроков и средства обмена.
Неправильный выпуск и управление токенами ERC-20 может создать угрозу безопасности. В процессе чеканки может возникнуть одна распространенная уязвимость, называемая повторным входом. Атаки могут использовать логическую лазейку в контракте для многократного выполнения определенной функции, что приводит к бесконечной чеканке токенов.
Стабильность и количество токенов ERC-20, являющихся универсальными внутриигровыми валютами, определяют играбельность и устойчивость игры. Следовательно, проекты должны обеспечивать логику кодов и строго контролировать общее количество токенов ERC-20.
В 2022 году проект P2E GameFi DeFi Kingdoms подвергся атаке с помощью злонамеренной чеканки ERC-20. Некоторые игроки воспользовались логической уязвимостью для чеканки заблокированных собственных токенов игры, что впоследствии привело к резкому падению цены токена.
NFT-уязвимости
NFT в основном используются в качестве внутриигровых виртуальных активов в проектах GameFi, включая оборудование, реквизит и сувениры. Они предлагают игрокам четкое право собственности и могут поддерживать стабильную стоимость за счет контроля над инфляцией и дефицита. Однако неправильное использование NFT может привести к уязвимостям безопасности.
Ценность NFT отражается в редкости оборудования или реквизита: игроки обычно ищут самые редкие NFT. В процессе создания NFT информация, связанная с блоком, такая как временные метки, может использоваться в качестве слабого случайного источника для генерации NFT с разными уровнями редкости. Майнер может в некоторой степени манипулировать временной меткой блока, чтобы злонамеренно создавать более редкие NFT.
Даже надежный источник случайности, такой как Chainlink VRF (проверяемая случайная функция), не устраняет всех рисков. Злоумышленники могут отменить операции во время создания нежелательных идентификаторов токенов NFT и повторять этот процесс до тех пор, пока не будет создан редкий NFT.
Когда игроки обмениваются и передают NFT, могут возникнуть потенциальные уязвимости смарт-контрактов. Например, функция SafeTransferFrom() используется для передачи NFT ERC-721. Если получателем является адрес контракта, функция onERC721Received() будет запущена для обратного вызова. Кроме того, существует потенциальный риск повторных атак, в результате которых злоумышленники могут диктовать логику внутри функции ERC721Received().
Этот риск также существует среди NFT ERC-1155, где функция SafeTransferFrom() запускает функцию onERC1155Received() и позволяет злоумышленникам выполнить повторную атаку.
Уязвимости моста
В GameFi используются межцепочные мосты, позволяющие пользователям обмениваться внутриигровыми активами через разные сети. Они также имеют решающее значение для улучшения качества обслуживания и ликвидности GameFi.
Один из основных рисков межсетевых мостов в GameFi связан с несогласованностью внутриигровых активов. Контракты по обе стороны моста должны гарантировать, что одинаковое количество активов будет принято и сожжено. Однако из-за лазеек в контрактах по проверке и учету злоумышленники могут скомпрометировать их и создать из воздуха большое количество активов.
Уязвимости управления DAO
Многие проекты GameFi управляются DAO, что может создать риск централизации, если большинство токенов управления принадлежат нескольким крупным игрокам. Смарт-контракты, определяющие правила управления DAO, открывают еще одно место для потенциальных компромиссов, поскольку злоумышленники могут найти способы получить доступ к сокровищнице DAO.
Проблемы безопасности вне сети
Большинство проектов GameFi по-прежнему зависят от централизованных серверов вне сети для серверных операций, веб-интерфейсов или мобильных приложений. На этих серверах хранится важная информация, включая игровые данные и учетные записи владельцев, и они уязвимы для вредоносных атак, таких как проникновение и вредоносные программы-трояны.
Когда дело доходит до NFT, метаданные содержат важную описательную информацию и хранятся вне цепочки в виде файлов JSON. Однако многие проекты GameFi хранят свои метаданные NFT на собственных централизованных серверах вместо использования децентрализованной инфраструктуры, такой как IPFS. Это увеличивает вероятность подделки метаданных связанными сторонами или злоумышленниками, что может нарушить права игроков.
В контексте межсетевых мостов злоумышленники могут получить подписи валидаторов или закрытые ключи посредством проникновения или фишинговых атак. Они могут поставить под угрозу инфраструктуру и использовать эксплойт для контроля внутриигровых ресурсов.
Во время передачи данных злоумышленники могут перехватить сетевой пакет и внедрить в него вредоносный код. Изменив пакет данных, злоумышленники могут реализовать ложные пополнения и использовать сумму покупки единицы для получения большего количества игровых предметов.
Интерфейсы внешнего интерфейса дают злоумышленникам еще один способ злонамеренного проникновения в систему. Если в таблице лидеров одной игры происходит утечка информации, злоумышленники могут отправить утекшую информацию об адресе на сервер, чтобы получить соответствующую конфиденциальную информацию.
Способы повышения безопасности
Чтобы защитить проекты GameFi, крайне важно проявлять осторожность на каждом этапе. Обеспечение безупречных кодов смарт-контрактов является основой успешного проекта GameFi. Это включает в себя написание высококачественного кода, проведение регулярных аудитов и использование формальной проверки смарт-контрактов.
Поддержание безопасности серверов и других компонентов инфраструктуры также имеет решающее значение; Тестирование на проникновение должно проводиться для обнаружения возможных уязвимостей. Благодаря системам на основе DApp и блокчейна тестирование на проникновение приносит с собой функции Web3. Таким образом, для цифровых кошельков и децентрализованных протоколов необходимы особые меры предосторожности.
Проекты GameFi также должны соответствовать другим передовым практикам, включая безопасный процесс выполнения и полное реагирование на чрезвычайные ситуации. Первый предполагает мониторинг инициируемых событий безопасности, усиление безопасности среды и выпуск программ вознаграждения за обнаружение ошибок.
В то же время проекты должны разработать полный процесс реагирования на чрезвычайные ситуации, который включает такие аспекты, как устранение потерь, отслеживание атак и анализ проблем.
Заключительные мысли
Уязвимости безопасности GameFi выходят за рамки упомянутых в этой статье, и многие инциденты показали, что проекты игнорировали или преуменьшали риски безопасности. GameFi — это значительная часть будущего игр. Таким образом, проекты всегда должны уделять внимание вопросам безопасности и ставить интересы своих сообществ на первое место.
Дальнейшее чтение
Что такое GameFi и как он работает?
Что такое NFT-игры и как они работают?
Что такое аудит безопасности смарт-контракта?
Отказ от ответственности и предупреждение о рисках: этот контент предоставляется вам «как есть» только для общих информационных и образовательных целей, без каких-либо заявлений или гарантий. Его не следует истолковывать как финансовую, юридическую или другую профессиональную консультацию, а также не следует рекомендовать покупку какого-либо конкретного продукта или услуги. Вам следует обратиться за советом к соответствующим профессиональным консультантам. Если статья написана сторонним участником, обратите внимание, что высказанные мнения принадлежат стороннему участнику и не обязательно отражают точку зрения Binance Academy. Пожалуйста, прочитайте наш полный отказ от ответственности здесь для получения более подробной информации. Цены на цифровые активы могут быть нестабильными. Стоимость ваших инвестиций может снизиться или вырасти, и вы не сможете вернуть вложенную сумму. Вы несете единоличную ответственность за свои инвестиционные решения, и Binance Academy не несет ответственности за любые убытки, которые вы можете понести. Этот материал не следует рассматривать как финансовую, юридическую или другую профессиональную консультацию. Для получения дополнительной информации ознакомьтесь с нашими Условиями использования и Предупреждением о рисках.
