Типичные проблемы безопасности в GameFi
Basics
Проекты GameFi сталкиваются с особыми проблемами безопасности, которые можно разделить на две категории: on-chain и off-chain. On-chain проблемы включают управление ERC-20 токенами и NFT, безопасную работу кроссчейн-мостов и управление децентрализованными автономными организациями (DAO). В свою очередь, off-chain проблемы в основном касаются веб-интерфейсов и серверов.
Крайне важно, чтобы проекты GameFi уделяли приоритетное внимание мерам безопасности. К ним относятся тщательные аудиты, сканирование на уязвимости, проведение тестов на проникновение и внедрение лучших операционных практик и бизнес-контролей. Применяя эти меры, проекты GameFi могут повысить свою общую защиту.
What Is GameFi?
GameFi объединяет блокчейн-технологии и игры, создавая децентрализованные платформы с внутриигровыми активами и цифровыми валютами. Модель play-to-earn (P2E) позволяет игрокам зарабатывать криптовалюту и при этом обеспечивает им реальное владение и полный контроль над их внутриигровыми активами.
Несмотря на растущую популярность, GameFi сталкивается с устойчивыми и существенными рисками безопасности. Некоторые проекты могут ставить скорость разработки выше качества и пренебрегать надежными мерами защиты, подвергая сообщество и создателей риску значительных потерь.
What Is the Importance of GameFi Security?
В 2021 году GameFi значительно вырос благодаря модели play-to-earn (P2E), которая открыла новые финансовые возможности внутри игр. Последующий рост проектов move-to-earn в 2022 году дополнительно продемонстрировал потенциал роста GameFi. В 2022 году GameFi стал ведущим сектором в криптоиндустрии, привлекая примерно 9,5% от общего объёма финансирования и показывая годовой рост более 118%.
GameFi отличается от традиционных игр тем, что ставки для пользователей здесь выше: любая уязвимость может привести к серьёзным потерям. В худших случаях взломы могут привести даже к закрытию проекта.
Например, в 2022 году злоумышленники использовали бэкдор в узле Remote Procedure Call (RPC) для доступа к Axie Infinity, заметному проекту GameFi. Это позволило злоумышленникам выполнить несанкционированные выводы почти на $600 млн в ETH. Наличие уязвимостей в проектах GameFi может подвергнуть инвесторов и игроков значительным финансовым потерям, что подчёркивает критическую важность безопасности GameFi.
On-Chain Security Challenges
Token Vulnerabilities in the ERC-20 Standard
Проекты GameFi обычно используют ERC-20 токены как виртуальную валюту в экосистеме игры, применяя их для внутриигровых покупок, наград игрокам и обменов.
Риски безопасности могут возникать из-за неправильной чеканки (minting) и управления ERC-20 токенами. Одна из уязвимостей, повторный вход (reentrancy), может проявиться в процессе чеканки. Злоумышленники могут использовать логическую брешь в контракте, чтобы многократно выполнять определённую функцию и создавать бесконечное количество токенов.
Стабильность и объём ERC-20 токенов играют ключевую роль в играбельности и устойчивости проекта. Поэтому команды должны обеспечивать целостность логики кода и строго контролировать общий объём предложения токенов.
В 2022 году P2E проект DeFi Kingdoms стал жертвой злонамеренной чеканки ERC-20 токенов. Используя логическую уязвимость, некоторые игроки смогли чеканить заблокированные нативные токены игры, что привело к резкому снижению цены токена.
The Vulnerability of NFTs
В проектах GameFi NFT выступают виртуальными активами: экипировкой, предметами и сувенирами. Эти NFT дают игрокам явное владение и потенциально стабильную ценность за счёт контроля инфляции и дефицита. Однако неправильное обращение с NFT может создавать уязвимости безопасности.
Ценность NFT заключается в редкости связанного с ними предмета, что мотивирует игроков искать самые необычные NFT. В процессе чеканки NFT информация о блоке, такая как временная метка, может использоваться как псевдослучайный источник для генерации NFT с разными уровнями редкости. К сожалению, майнеры могут в некоторой степени манипулировать временной меткой блока, злоупотребляя этим для чеканки более редких NFT.
Даже при использовании надёжных источников случайности, таких как Chainlink VRF (Verifiable Random Function), сохраняются риски. Злоумышленники могут многократно повторять операции в процессе чеканки, пока не получат желаемый редкий ID NFT.
При торговле и переводах NFT могут возникать уязвимости. Функция safeTransfer() передаёт ERC-721 NFT. Если получатель — адрес контракта, вызывается функция onERCReceived() в качестве callback. Это открывает возможность атак повторного входа, когда злоумышленники манипулируют логикой внутри функции. Аналогичные риски существуют и для ERC-1155 NFT: функция safeTransferFrom() вызывает onERC1155Received(), что также позволяет проводить потенциальные атаки повторного входа.
The Vulnerability of Bridges
GameFi использует кроссчейн-мосты для бесшовного обмена внутриигровыми активами между разными сетями, повышая общий опыт и ликвидность. Однако кроссчейн-мосты представляют серьёзный риск, связанный с несогласованностью обработки активов. Контракты, управляющие мостами, должны гарантировать, что одинаковое количество активов принимается и сжигается по обеим сторонам моста. К сожалению, уязвимости в контрактах проверки и учёта могут быть использованы злоумышленниками для «создания» значительного количества активов из воздуха.
Risks Associated With DAO Governance
Во вселенной GameFi многие проекты управляются посредством децентрализованных автономных организаций (DAO). Однако это порождает риск централизации, когда небольшой круг крупных держателей управленческих токенов контролирует большинство голосов. Кроме того, смарт-контракты, задающие правила управления DAO, могут содержать уязвимости, позволяющие злоумышленникам эксплуатировать слабые места и получить несанкционированный доступ к казне DAO.
Off-Chain Security Challenges
Проекты GameFi часто опираются на централизованные серверы для различных off-chain операций: бэкенд, веб-интерфейсы и мобильные приложения. Эти серверы хранят критичные данные, включая информацию об игре и учетные записи пользователей, что делает их уязвимыми к злонамеренным атакам, тестам на проникновение и троянским программам.
В случае с NFT описательная метадата обычно хранится в виде JSON-файлов off-chain. Однако некоторые проекты GameFi хранят эту метадату на своих централизованных серверах вместо использования децентрализованной инфраструктуры вроде IPFS. Такая практика увеличивает риск подмены данных уполномоченными лицами или злоумышленниками и может нарушить права игроков.
Что касается кроссчейн-мостов, злоумышленники могут использовать уязвимости, чтобы получить доступ к подписям валидаторов или приватным ключам через тесты на проникновение или фишинговые атаки. Скомпрометировав инфраструктуру, атакующие способны манипулировать системой и получить контроль над внутриигровыми активами.
Во время передачи данных атакующие могут перехватывать и внедрять сетевые пакеты с вредоносным кодом. Изменяя данные, злоумышленники могут выполнять мошеннические транзакции и получать больше внутриигровых предметов за счёт суммы покупки.
Фронтенд-интерфейсы тоже представляют потенциальную точку входа для атак. При утечке информации в таблицах лидеров злоумышленники могут отправлять скомпрометированные данные, связанные с адресами, на сервер, чтобы получить чувствительную информацию, привязанную к этим адресам.
Ways to Improve GameFi Security
Чтобы обеспечить безопасность проектов GameFi, необходимо соблюдать осторожность на всех этапах разработки и эксплуатации. Крепкая основа — безупречный код смарт-контрактов, что достигается написанием качественного кода, регулярными аудитами и применением формальных методов верификации смарт-контрактов.
Поддержание безопасности серверов и других компонентов инфраструктуры не менее важно. Регулярные тесты на проникновение помогут выявить и устранить возможные уязвимости. В контексте DApp и блокчейн-систем тесты на проникновение должны учитывать особенности Web3, включая цифровые кошельки и децентрализованные протоколы.
Соблюдение лучших практик обязательно для проектов GameFi. Это включает в себя безопасный runtime-процесс: мониторинг событий безопасности, усиление мер по защите окружения и создание программ bug bounty.
Кроме того, у проектов должен быть всесторонний план реагирования на инциденты. Такой план должен включать меры по ограничению убытков, отслеживанию и анализу атак и оперативному устранению выявленных проблем.
Conclusion
GameFi, как важная часть будущего игровой индустрии, должна ставить безопасность в приоритет для защиты своей экосистемы. В этой статье освещены некоторые уязвимости безопасности, однако важно признать, что существуют и другие риски, которые проектам GameFi необходимо учитывать.
Многочисленные инциденты показали, что некоторые проекты игнорировали или недооценивали проблемы безопасности, что привело к негативным последствиям. Для долгосрочного успеха и доверия к GameFi крайне важно, чтобы проекты постоянно приоритизировали безопасность и интересы своих сообществ.
Путём проактивных мер, тщательных оценок безопасности и активного устранения уязвимостей проекты GameFi могут создать безопасную и устойчивую среду для пользователей. Это защищает целостность платформ и повышает доверие и уверенность в игровом сообществе в целом.