Какие распространённые проблемы безопасности в GameFi?

Безопасностные вызовы проектов GameFi в основном можно разделить на ончейн и офчейн проблемы.

Основные ончейн-опасности связаны с управлением ERC-20 токенами и NFT, безопасностью межцепочечных мостов и управлением (DAO).

А офчейн-сложности обычно связаны с сетевыми интерфейсами и серверами.

Проекты GameFi должны в первую очередь учитывать меры защиты, такие как строгий аудит, сканирование уязвимостей и тестирование на проникновение, а также внедрять лучшие практики эксплуатации и бизнес-контроль.

Введение

GameFi объединяет технологии блокчейн и игры, создавая децентрализованные платформы, основанные на игровых активах и цифровых валютах. Обычно он использует модель (P2E), позволяющую игрокам получать криптовалютные награды. GameFi также дает игрокам реальное право собственности и полный контроль над внутриигровыми активами.

Несмотря на растущую популярность, GameFi сталкивается с постоянными и серьезными угрозами со стороны хакеров на протяжении всего жизненного цикла. Некоторые проекты могут больше ценить скорость (чем качество), что приводит к отсутствию надежных мер безопасности и риску значительных потерь для сообщества и создателей.

Почему безопасность GameFi важна?

В 2021 году GameFi показал значительный рост, а модель P2E предоставила игрокам новые возможности для внутреннего заработка. В 2022 году модель (move-to-earn) дополнительно подчеркнула потенциал роста GameFi. В 2022 году GameFi стал ведущей отраслью криптовалют, занимая около 9,5% общего объема инвестиций в индустрию, с ростом более 118% по сравнению с прошлым годом.

GameFi отличается от традиционных игр тем, что пользователи сталкиваются с большими рисками, и любые атаки хакеров могут привести к значительным потерям. В крайних случаях уязвимости могут привести к остановке проекта.

Например, в 2022 году злоумышленники использовали бэкдор в узле (RPC) для получения подписи проекта Axie Infinity, что позволило осуществлять несанкционированные выводы средств на сумму почти 6 миллиардов долларов ETH. Любая уязвимость в проектах GameFi может привести к крупным потерям инвесторов и игроков, что подчеркивает критическую важность безопасности.

Ончейн-опасности ERC-20 токенов

В проектах GameFi ERC-20 токены часто используются как внутриигровая виртуальная валюта, механизм награждения и обмена.

Неправильное создание и управление ERC-20 токенами может привести к рискам безопасности. В процессе эмиссии часто встречается распространенная уязвимость, называемая «reentrancy» (повторный вызов). Атакающие могут воспользоваться логическими ошибками в контракте, чтобы многократно выполнять определенные функции и бесконечно создавать токены.

Будучи универсальной внутренней валютой, стабильность и объем ERC-20 токенов определяют играбельность и устойчивость игры. Поэтому проекты должны гарантировать корректность логики кода и строго контролировать общий объем выпуска ERC-20 токенов.

Проект DeFi Kingdoms, основанный на P2E, в 2022 году подвергся атаке с использованием злонамеренного создания ERC-20 токенов. Некоторые игроки использовали логические уязвимости для создания заблокированных нативных токенов, что привело к резкому падению их стоимости.

NFT-уязвимости

NFT в основном используются как внутриигровые виртуальные активы, включая экипировку, предметы и памятные вещи. Они обеспечивают четкое право собственности и могут поддерживать стабильную стоимость за счет контроля инфляции и редкости. Однако неправильное использование NFT может привести к появлению уязвимостей.

Редкость экипировки или предметов отражается в стоимости NFT, и игроки обычно ищут самые редкие NFT. В процессе создания NFT такие параметры, как временные метки, могут использоваться как слабые источники случайности для генерации NFT с разной редкостью. Майнеры могут манипулировать временными метками блоков, чтобы злонамеренно создавать более редкие NFT.

Даже надежные источники случайности, такие как Chainlink VRF (верифицируемая функция случайности), не могут устранить все риски. Злоумышленники могут отменить операции при создании NFT с нежелательными ID и повторять процесс, чтобы получить редкий NFT.

При торговле и передаче NFT возможны уязвимости смарт-контрактов. Например, функция safeTransfer () используется для передачи ERC-721 NFT. При получении на контрактный адрес вызывается функция onerc721Received (). Есть риск повторных атак, когда злоумышленник может управлять логикой функции onerc721Received ().

Аналогичные риски существуют и для ERC-1155 NFT, где вызывается функция safeTransfer (), которая активирует onerc1155Received () и может быть использована для повторных атак.

Уязвимости межцепочечных мостов

В GameFi используются межцепочечные мосты для обмена внутриигровыми активами между разными сетями. Они важны для повышения опыта и ликвидности.

Основной риск межцепочечных мостов связан с несоответствием активов между сторонами. Контракты на обеих сторонах должны гарантировать одинаковое количество принятых и уничтоженных активов. Однако уязвимости в проверке и расчетах позволяют злоумышленникам взломать контракты и создавать фальшивые активы.

Уязвимости DAO-управления

Многие проекты GameFi управляются DAO, и если большинство управляющих токенов принадлежит нескольким крупным участникам, это создает риск централизации. Контракты, определяющие правила DAO, могут иметь уязвимости, позволяющие злоумышленникам получить доступ к DAO.

Офчейн-опасности

Большинство серверов бэкенда, сетевых интерфейсов или мобильных приложений в проектах GameFi по-прежнему зависят от централизованных серверов. Эти серверы хранят важную информацию, включая игровые данные и учетные записи владельцев, и уязвимы для взломов и вредоносных программ, таких как трояны.

Метаданные NFT содержат важную описательную информацию и хранятся вне цепочки в виде JSON-файлов. Однако многие проекты сохраняют метаданные на централизованных серверах, а не используют децентрализованные инфраструктуры, такие как IPFS. Это увеличивает риск их изменения злоумышленниками или сторонними лицами, что может нарушить права игроков.

При использовании межцепочечных мостов злоумышленники могут взломать валидаторов или похитить их подписи и приватные ключи через фишинг или проникновение в сеть. Они могут разрушить инфраструктуру и использовать уязвимости для контроля внутриигровых активов.

В процессе передачи данных злоумышленники могут перехватывать сетевые пакеты и внедрять вредоносный код. Изменяя пакеты, они могут осуществлять фальшивые пополнения и изменять суммы покупок, получая дополнительные игровые предметы.

Интерфейсы фронтенда также могут стать целью злонамеренных атак. Если в таблице лидеров игры обнаружится утечка информации, злоумышленники могут отправить связанные с утечкой адреса на сервер для получения конфиденциальных данных.

Как повысить безопасность

Для защиты проектов GameFi необходимо проявлять осторожность на каждом этапе. Гарантированное безупречное качество смарт-контрактов — основа успеха проекта — включает написание качественного кода, регулярный аудит и использование формальной верификации смарт-контрактов.

Обеспечение безопасности серверов и других компонентов инфраструктуры также критично; необходимо проводить тесты на проникновение для своевременного обнаружения уязвимостей. При использовании Web3 и блокчейн-систем для тестирования можно применять функции Web3. Поэтому необходимо принимать специальные меры предосторожности для цифровых кошельков и децентрализованных протоколов.

Проекты GameFi должны следовать и другим лучшим практикам, включая безопасные процессы выполнения и полный план реагирования на инциденты. Первое включает мониторинг срабатывания систем безопасности, укрепление среды и запуск программ наград за обнаружение уязвимостей.

Также необходимо разработать полный план реагирования на чрезвычайные ситуации, включающий меры по ограничению убытков, отслеживание атак и анализ проблем.

Заключение

Уязвимости безопасности в GameFi на самом деле не ограничиваются перечисленными в статье. Множество инцидентов показывает, что многие проекты игнорируют или недооценивают риски безопасности. GameFi — важная часть будущего игровой индустрии. Поэтому все проекты должны постоянно уделять внимание вопросам безопасности и ставить интересы сообщества на первое место. **$GAS **$GAME2