Які поширені проблеми безпеки в GameFi?

GameFi-проєкти стикаються з безпековими викликами, які можна умовно поділити на ончейн та офчейн проблеми.

Основні ончейн виклики безпеки стосуються управління ERC-20 токенами та NFT, безпеки міжланцюгових мостів та управління (DAO) децентралізованими організаціями.

А офчейн виклики зазвичай пов’язані з мережевими інтерфейсами та серверами.

Проєкти GameFi повинні пріоритетно враховувати заходи безпеки, такі як ретельний аудит, сканування вразливостей та тестування на проникнення, а також впроваджувати найкращі операційні практики та бізнес-контроль.

Вступ

GameFi поєднує технології блокчейн із іграми, створюючи децентралізовану платформу з внутрішньоігровими активами та цифровими валютами. Зазвичай він використовує модель P2E( (гра та заробляй), що дозволяє гравцям отримувати нагороди у криптовалюті. GameFi також надає гравцям справжнє право власності та повний контроль над внутрішньоігровими активами.

Хоча популярність GameFi зростає, він постійно стикається з серйозними загрозами з боку хакерів протягом усього життєвого циклу. Деякі проєкти можуть більше цінувати швидкість (ніж якість), що призводить до відсутності належних заходів безпеки і, як наслідок, ризику великих втрат для спільноти та творців.

Чому безпека GameFi важлива?

У 2021 році GameFi зазнав значного зростання, а модель P2E) відкрила нові можливості для внутрішньоігрового заробітку. У 2022 році модель move-to-earn( (рухайся та заробляй) ще більше підкреслила потенціал зростання GameFi. Це головна галузь криптовалюти 2022 року, що становить близько 9.5% від загального обсягу інвестицій у галузі, з річним зростанням понад 118%.

GameFi відрізняється від традиційних ігор тим, що користувачі стикаються з більш високими ризиками, і будь-яка атака хакера може спричинити значні втрати. У крайніх випадках вразливості безпеки можуть призвести до припинення проєкту.

Наприклад, у 2022 році зловмисники використали бекдор у вузлі )RPC( для отримання підписів на проєкті Axie Infinity, що дозволило їм здійснювати несанкціоновані зняття та викрасти майже 600 мільйонів доларів у ETH. Будь-яка вразливість у GameFi-проєктах може спричинити великі збитки для інвесторів і гравців, що підкреслює критичну важливість безпеки у цій сфері.

Ончейн виклики безпеки Вразливості ERC-20

У проєктах GameFi ERC-20 токени часто використовуються як внутрішньоігрова валюта, механізм винагород та засіб обміну.

Некоректне створення та управління ERC-20 токенами може спричинити ризики безпеки. Під час емісії може виникнути поширена вразливість, відома як «reentrancy» (повторний виклик). Зловмисник може використати логічні помилки контракту для повторного виконання певних функцій і безмежного створення токенів.

Як універсальна внутрішньоігрова валюта, стабільність і кількість ERC-20 токенів визначають ігрову цінність і стійкість. Тому проєкти мають забезпечити коректність логіки коду та суворо контролювати загальний обсяг емісії ERC-20.

DeFi Kingdoms, P2E GameFi-проєкт, у 2022 році зазнав атаки з боку зловмисників, які використали логічну вразливість для створення фальшивих внутрішньоігрових токенів, що спричинило різке падіння їхньої ціни.

Вразливості NFT

NFT переважно використовуються як внутрішньоігрові віртуальні активи, включаючи обладунки, предмети та сувеніри. Вони забезпечують гравцям чітке право власності і можуть підтримувати стабільну цінність через контроль інфляції та дефіциту. Однак неправильне використання NFT може спричинити безпекові вразливості.

Рідкість обладунків або предметів відображається у цінності NFT, і гравці зазвичай шукають найрідкісніші NFT. Під час створення NFT, такі дані, як часові мітки, можуть використовуватися як слабкі джерела випадковості для генерації NFT різних рівнів рідкості. Майнер може маніпулювати часовими мітками блоків, щоб навмисно створювати більш рідкісні NFT.

Навіть надійні джерела випадковості, наприклад Chainlink VRF (верифікована функція випадковості), не усувають усіх ризиків. Зловмисники можуть скасовувати операції під час створення NFT з небажаними ID, повторюючи процес до отримання рідкісного NFT.

При торгівлі та передачі NFT можливі вразливості у смарт-контрактах. Наприклад, функція safeTransfer)( використовується для передачі ERC-721 NFT. Якщо отримувач — контрактний адрес, викликається функція onerc721Received)( для зворотного виклику. Існує потенційний ризик reentrancy, коли зловмисник може маніпулювати логікою функції onerc721Received)(.

Аналогічно, у ERC-1155 NFT функція safeTransfer)( викликає onerc1155Received)(, що також може бути використано для атак повторного виклику.

Вразливості міжланцюгових мостів

У GameFi використовуються міжланцюгові мости для обміну внутрішньоігровими активами між різними мережами. Вони важливі для покращення досвіду та ліквідності.

Основний ризик міжланцюгових мостів полягає у невідповідності активів між сторонами. Контракти на обох кінцях моста мають гарантувати, що кількість активів, що приймаються та знищуються, співпадає. Однак через вразливості у валідації та обліку зловмисники можуть зламати контракт і створити фальшиві активи з нуля.

Вразливості управління DAO

Багато GameFi-проєктів керуються DAO, і якщо більшість управлінських токенів належить кільком великим учасникам, це може спричинити ризики централізації. Контракти, що визначають правила управління DAO, створюють потенційні лазівки для атак, оскільки зловмисники можуть знайти спосіб отримати доступ до DAO.

Офчейн виклики безпеки

Більшість бекенд-операцій, мережевих інтерфейсів або мобільних додатків у GameFi все ще залежать від централізованих серверів. Ці сервери зберігають важливу інформацію, включаючи ігрові дані та облікові записи власників, і є вразливими до проникнення та шкідливого програмного забезпечення.

Метадані NFT містять важливу описову інформацію і зберігаються поза ланцюгом у форматі JSON. Однак багато проєктів зберігають метадані NFT на своїх централізованих серверах, а не у децентралізованих інфраструктурах, таких як IPFS. Це підвищує ризик підробки метаданих з боку зацікавлених сторін або зловмисників, що може порушити права гравців.

При використанні міжланцюгових мостів зловмисники можуть отримати підписи або приватні ключі валідаторів через проникнення або фішинг. Вони можуть зламати інфраструктуру і використати вразливості для контролю внутрішньоігрових активів.

Під час передачі даних зловмисники можуть перехоплювати мережеві пакети та вставляти шкідливий код. Змінивши пакети, вони можуть здійснювати фальшиві поповнення або підробляти суму покупок для отримання додаткових ігрових предметів.

Інтерфейси фронтенду також є потенційною точкою проникнення для зловмисників. Якщо у грі виникне витік інформації про лідерборд, зловмисник може передати цю інформацію на сервер для отримання конфіденційних даних.

Як підвищити безпеку

Щоб захистити проєкти GameFi, потрібно бути обережним на кожному етапі. Ідеальною основою є бездоганний код смарт-контрактів — це включає написання високоякісного коду, регулярний аудит та використання формальної верифікації смарт-контрактів.

Забезпечення безпеки серверів та інших компонентів інфраструктури також є критичним; потрібно проводити тестування на проникнення для швидкого виявлення вразливостей. При проведенні тестів на проникнення з використанням Web3-функцій у децентралізованих додатках потрібно враховувати особливості цифрових гаманців і децентралізованих протоколів.

Проєкти GameFi також повинні дотримуватися інших найкращих практик, включаючи безпечні операційні процеси та повний план реагування на інциденти. Перший передбачає моніторинг безпекових подій, посилення безпеки навколишнього середовища та запуск програм винагород за вразливості.

Крім того, потрібно розробити повний план реагування на надзвичайні ситуації, що включає заходи щодо обмеження збитків, відстеження атак і аналізу проблем.

Заключення

Безпекові вразливості у GameFi насправді не обмежуються лише згаданими тут випадками; багато подій свідчать, що багато проєктів ігнорують або недооцінюють ризики безпеки. GameFi — важлива частина майбутнього ігрової індустрії. Тому кожен проєкт має постійно слідкувати за безпекою і ставити інтереси спільноти на перше місце. )$GAME2