ما هي المشكلات الأمنية الشائعة في GameFi؟

تواجه مشاريع GameFi تحديات أمنية يمكن تصنيفها بشكل رئيسي إلى مشكلات على السلسلة وخارج السلسلة.

تتعلق التحديات الأمنية على السلسلة بشكل رئيسي بإدارة رموز ERC-20 وNFT، وأمان الجسور عبر السلاسل، وحوكمة المنظمة اللامركزية (DAO).

أما التحديات خارج السلسلة فهي عادة مرتبطة بواجهات الشبكة والخوادم.

يجب على مشاريع GameFi إعطاء الأولوية لتدابير الحماية الأمنية، مثل التدقيق الصارم، ومسح الثغرات، واختبار الاختراق، وتنفيذ أفضل الممارسات التشغيلية والرقابية للأعمال.

مقدمة

يجمع GameFi بين تقنية البلوكشين والألعاب، لإنشاء منصة لامركزية تتميز بأصول داخل اللعبة وعملات رقمية. غالبًا ما يعتمد على نموذج اللعب لتحقيق الربح (P2E)، مما يسمح للاعبين بالحصول على مكافآت من العملات المشفرة. كما يمنح GameFi لاعبي الألعاب ملكية حقيقية وتحكم كامل في الأصول داخل اللعبة.

على الرغم من تزايد شعبية GameFi، إلا أنه يواجه تهديدات مستمرة وخطيرة من قبل القراصنة طوال دورة حياته. قد تركز بعض المشاريع أكثر على السرعة (بدلاً من الجودة)، مما يؤدي إلى نقص في التدابير الأمنية السليمة، مما يعرض المجتمع والمبدعين لخسائر كبيرة.

لماذا تعتبر أمان GameFi مهمًا؟

شهدت GameFi نموًا ملحوظًا في عام 2021، حيث قدم نموذج P2E فرصًا جديدة لزيادة الدخل داخل الألعاب. في عام 2022، برز نموذج move-to-earn(move-to-earn) بشكل أكبر، مما يبرز إمكانيات نمو GameFi. كانت GameFi من القطاعات الرائدة في العملات المشفرة لعام 2022، حيث تمثل حوالي 9.5% من إجمالي التمويل في القطاع، مع نمو يزيد عن 118% على أساس سنوي.

يختلف GameFi عن الألعاب التقليدية، لأن المستخدمين يواجهون مخاطر أكبر، وأي هجوم من قبل القراصنة قد يؤدي إلى خسائر كبيرة. في الحالات القصوى، قد تؤدي الثغرات الأمنية إلى إنهاء المشروع.

على سبيل المثال، في عام 2022، استغل المهاجمون ثغرة في عقد RPC(، حيث تمكنوا من الحصول على توقيع مشروع Axie Infinity، مما سمح لهم بسحب أموال غير مصرح بها، وسرقوا ما يقرب من 6 مليارات دولار من ETH. أي ثغرة في مشاريع GameFi يمكن أن تتسبب في خسائر فادحة للمستثمرين واللاعبين، مما يبرز أهمية أمن GameFi بشكل حاسم.

تحديات الأمان على السلسلة ثغرات رموز ERC-20

في مشاريع GameFi، غالبًا ما تُستخدم رموز ERC-20 كعملة افتراضية للشراء داخل اللعبة، وآلية مكافأة اللاعبين، ووسيلة للتبادل.

قد يؤدي سوء إدارة عملية إصدار وإدارة رموز ERC-20 إلى مخاطر أمنية. من بين الثغرات الشائعة أثناء الإصدار هو ثغرة “إعادة الدخول” (Reentrancy). يمكن للمهاجمين استغلال الثغرة المنطقية في العقد، وإعادة تنفيذ وظيفة معينة بشكل متكرر، مما يؤدي إلى إصدار غير محدود من الرموز.

كونها عملة داخل اللعبة عامة، فإن استقرار وعدد رموز ERC-20 يحددان مدى قابلية اللعب واستدامة اللعبة. لذلك، يجب على المشاريع ضمان صحة منطق الكود والسيطرة الصارمة على إجمالي العرض من رموز ERC-20.

في عام 2022، تعرض مشروع DeFi Kingdoms، وهو مشروع GameFi، لهجوم من قبل جهة خبيثة استهدفت إصدار رموز ERC-20 بشكل غير مشروع. استغل بعض اللاعبون الثغرة المنطقية لإصدار رموز أصلية مقفلة، مما أدى إلى هبوط حاد في سعر الرموز بعد ذلك.

ثغرات NFT

يُستخدم NFT بشكل رئيسي كأصول افتراضية داخل الألعاب في مشاريع GameFi، بما في ذلك المعدات، الأدوات، والذكريات. يمكن أن توفر ملكية واضحة للاعبين، ويمكن أن تحافظ على قيمتها من خلال التحكم في التضخم والندرة. ومع ذلك، فإن سوء استخدام NFT قد يؤدي إلى ثغرات أمنية.

تنعكس ندرة المعدات أو الأدوات على قيمة NFT، وغالبًا ما يبحث اللاعبون عن NFTs الأكثر ندرة. أثناء عملية إصدار NFT، يمكن أن تُستخدم معلومات مرتبطة بالكتلة مثل الطابع الزمني كمصدر ضعيف للعشوائية لإنشاء NFTs بمستويات ندرة مختلفة. يمكن للمعدنين (Miner) التلاعب في الطابع الزمني للكتلة، مما يسمح لهم بإصدار NFTs أكثر ندرة بشكل خبيث.

حتى مصادر العشوائية الموثوقة، مثل Chainlink VRF (الدالة العشوائية القابلة للتحقق)، لا يمكنها القضاء على جميع المخاطر. يمكن للمستخدمين الخبيثين إلغاء عملية إصدار معرف NFT نادر غير مرغوب فيه، ثم تكرار العملية حتى يتم إصدار NFT نادر.

عند تداول ونقل NFTs، قد تظهر ثغرات في العقود الذكية، مثل وظيفة safeTransform )( التي تُستخدم لنقل رموز ERC-721 NFT. عند استلام العقد هو عنوان عقد، يتم استدعاء وظيفة onerc721Reaceived )( للرد. هناك أيضًا خطر هجمات إعادة الدخول، حيث يمكن للمهاجمين التلاعب في منطق الوظيفة على أساس onerc721Reaceived )(.

أيضًا، في رموز ERC-1155 NFT، يوجد خطر مماثل، حيث يتم استدعاء وظيفة safeTransform )( وتفعيل وظيفة onerc1155Received )(، مما يسمح للمهاجمين بتنفيذ هجمات إعادة الدخول.

ثغرات الجسور عبر السلاسل

في GameFi، تُستخدم الجسور عبر السلاسل للسماح للمستخدمين بتبادل الأصول داخل اللعبة عبر شبكات مختلفة. وهي ضرورية لتعزيز تجربة GameFi وسيولتها.

واحدة من المخاطر الرئيسية للجسور عبر السلاسل في GameFi تأتي من عدم التوافق بين الأصول داخل اللعبة على الجانبين. يجب أن تضمن العقود على كلا الجانبين أن كمية الأصول المقبولة والمُحترقة متساوية. ولكن، بسبب ثغرات في التحقق والتسوية، يمكن للمهاجمين اختراق العقود، وخلق كميات هائلة من الأصول من لا شيء.

ثغرات حوكمة DAO

تُدار العديد من مشاريع GameFi بواسطة DAO، وإذا كانت غالبية رموز الحوكمة مملوكة لأقلية من المشاركين الكبار، فإن ذلك قد يسبب مخاطر مركزية. كما أن العقود الذكية التي تحدد قواعد حوكمة DAO تفتح ثغرة محتملة، حيث يمكن للمهاجمين العثور على طرق للوصول إلى خزينة DAO.

تحديات الأمان خارج السلسلة

معظم مشاريع GameFi تعتمد على الخوادم المركزية في عملياتها الخلفية، وواجهات الشبكة، أو تطبيقات الهاتف المحمول. تخزن هذه الخوادم معلومات حيوية، بما في ذلك بيانات اللعبة وحسابات المالكين، وهي عرضة للاختراق والبرمجيات الخبيثة مثل التروجان.

تحتوي بيانات التعريف الخاصة بـ NFT على معلومات وصفية مهمة، وتُخزن خارج السلسلة كملفات JSON. ومع ذلك، فإن العديد من مشاريع GameFi تخزن بيانات NFT على خوادم مركزية خاصة بها، بدلاً من استخدام بنية تحتية لامركزية مثل IPFS. هذا يزيد من احتمالية التلاعب بالبيانات من قبل الأطراف المعنية أو المهاجمين، مما قد ينتهك حقوق اللاعبين.

عند استخدام الجسور عبر السلاسل، يمكن للمهاجمين اختراق أو التصيد للحصول على توقيعات أو مفاتيح خاصة للمصادقين. يمكنهم تعطيل البنية التحتية واستغلال الثغرات للسيطرة على الأصول داخل اللعبة.

خلال عملية نقل البيانات، قد يعترض المهاجمون حزم البيانات على الشبكة ويحقنون تعليمات برمجية خبيثة. من خلال تعديل الحزم، يمكن للمهاجمين تنفيذ عمليات تزوير في الشحن، وتغيير مبالغ الشراء، والحصول على المزيد من أدوات اللعبة.

واجهات المستخدم الأمامية توفر أيضًا وسيلة أخرى للمهاجمين لاختراق النظام، حيث إذا حدث تسرب للمعلومات في لوحة النتائج، يمكن للمهاجمين إرسال المعلومات المسربة إلى الخادم للحصول على بيانات حساسة ذات صلة.

كيفية تعزيز الأمان

لحماية مشاريع GameFi، يجب أن يكون الحذر في كل مرحلة من مراحل التطوير والتنفيذ. إن ضمان كود العقود الذكية خالٍ من الأخطاء هو أساس نجاح مشروع GameFi — ويتطلب ذلك كتابة كود عالي الجودة، وإجراء تدقيقات منتظمة، واستخدام التحقق الرسمي من العقود الذكية.

كما أن الحفاظ على أمان الخوادم والمكونات الأساسية للبنية التحتية أمر حاسم؛ يجب إجراء اختبارات الاختراق، والكشف المبكر عن الثغرات. عند إجراء اختبارات الاختراق باستخدام تطبيقات لامركزية ونظام قائم على البلوكشين، يمكن الاستفادة من وظائف Web3. لذلك، يجب اتخاذ تدابير وقائية خاصة للمحافظ الرقمية والبروتوكولات اللامركزية.

يجب على مشاريع GameFi أيضًا اتباع ممارسات أفضل أخرى، بما في ذلك عمليات التشغيل الآمنة والاستجابة للطوارئ بشكل كامل. يتضمن ذلك مراقبة الأحداث الأمنية، وتعزيز أمان البيئة، وإطلاق برامج مكافأة الثغرات.

بالإضافة إلى ذلك، يجب على المشروع وضع خطة استجابة للطوارئ كاملة، تتضمن إجراءات إيقاف الخسائر، وتتبع الهجمات، وتحليل المشكلات.

ختامًا

الثغرات الأمنية في GameFi ليست مقتصرة على الثغرات التي تم ذكرها هنا، فالكثير من الأحداث تظهر أن العديد من المشاريع تتجاهل أو تقلل من مخاطر الأمان. يُعد GameFi جزءًا مهمًا من مستقبل صناعة الألعاب، لذلك يجب على كل مشروع أن يولي اهتمامًا دائمًا للأمان، ويضع مصلحة المجتمع في المقام الأول. )$GAME2