مشکلات امنیتی رایج در GameFi چیست؟

GameFi فناوری بلاکچین را با بازی ترکیب می‌کند تا پلتفرم‌های غیرمتمرکز را با دارایی‌های درون بازی و ارزهای دیجیتال ایجاد کند. به طور معمول دارای یک مدل بازی برای کسب درآمد (P2E) است که به بازیکنان اجازه می‌دهد تا پاداش‌های رمزنگاری را کسب کنند. GameFi همچنین به گیمرها مالکیت واقعی و کنترل کامل بر دارایی های درون بازی آنها را می‌دهد.

در حالی که GameFi در حال افزایش محبوبیت است، در طول چرخه عمر خود با تهدیدات مداوم و قابل توجهی از سوی هک ها مواجه است. برخی از پروژه‌ها ممکن است سرعت را بر کیفیت مهم بدانند و بنابراین، فاقد اقدامات احتیاطی امنیتی قوی هستند و جامعه و سازندگان را در معرض خطر زیان‌های قابل توجهی قرار می‌دهند.

• پروژه‌های GameFi با چالش‌های امنیتی مختلفی روبرو هستند که می‌توان آن‌ها را به‌عنوان مسائل درون زنجیره‌ای و خارج از زنجیره طبقه‌بندی کرد.
• چالش‌های امنیتی روی زنجیره عمدتاً شامل مدیریت توکن‌ها و NFT‌های ERC-20، ایمنی پل‌های زنجیره‌ای متقابل و مدیریت سازمان‌های مستقل غیرمتمرکز (DAO) می‌شود.
• از سوی دیگر، چالش‌های خارج از زنجیره معمولاً به رابط‌های وب و سرورها مربوط می‌شوند.
• پروژه‌های GameFi باید اقدامات امنیتی مانند ممیزی‌های دقیق، اسکن آسیب‌پذیری، و تست نفوذ، و همچنین اجرای بهترین شیوه‌های عملیاتی و کنترل‌های تجاری را در اولویت قرار دهند.

چرا امنیت GameFi مهم است؟

GameFi در سال 2021 با مدل P2E خود رشد قابل توجهی را تجربه کرد که فرصت های مالی جدیدی را به بازیکنان ارائه می دهد. در سال 2022، پروژه های حرکت به سمت درآمد، پتانسیل رشد GameFi را بیشتر برجسته کردند. GameFi برترین بخش کریپتو در سال 2022 بود که تقریباً 9.5٪ از کل بودجه صنعت را به خود اختصاص داد و رشد سالانه بیش از 118٪ را به خود اختصاص داد.

GameFi با بازی های سنتی متفاوت است زیرا بیشتر در خطر است برای کاربران و هر گونه هک می تواند ضرر قابل توجهی برای آنها داشته باشد. در سناریوهای شدید، نقض امنیتی می تواند به یک پروژه پایان دهد.

به عنوان مثال، مهاجمان از یک درب پشتی در گره فراخوانی رویه از راه دور (RPC) برای به دست آوردن امضا در پروژه GameFi Axie Infinity در سال 2022 سوء استفاده کردند و به مهاجمان امکان برداشت غیرمجاز در مجموع نزدیک به 600 میلیون دلار ETH را می‌داد. هرگونه آسیب‌پذیری در پروژه‌های GameFi می‌تواند منجر به ضررهای هنگفت هم برای سرمایه‌گذاران و هم برای بازیکنان شود که بر اهمیت حیاتی امنیت GameFi تأکید می‌کند.

چالش های امنیتی روی زنجیره

آسیب پذیری های توکن ERC-20

توکن‌های ERC-20 اغلب در پروژه‌های GameFi به‌عنوان ارز مجازی برای خریدهای درون بازی، مکانیسم‌های پاداش برای بازیکنان و وسیله‌ای برای مبادله استفاده می‌شوند.

برش و مدیریت نامناسب توکن های ERC-20 می تواند خطرات امنیتی ایجاد کند. یکی از آسیب‌پذیری‌های رایج، به نام ورود مجدد، ممکن است در طول فرآیند ضرب‌سازی ایجاد شود. حملات می توانند از حفره منطقی در قرارداد برای اجرای مکرر یک عملکرد خاص سوء استفاده کنند و در نتیجه توکن ها را به صورت نامحدود برش دهند.

به عنوان ارزهای درون بازی جهانی، ثبات و کمیت توکن های ERC-20 تعیین کننده قابلیت پخش و پایداری بازی است. از این رو، پروژه‌ها باید از منطق کدها اطمینان حاصل کنند و عرضه کل توکن‌های ERC-20 را به شدت کنترل کنند.

پروژه P2E GameFi DeFi Kingdoms در سال 2022 توسط استخراج مخرب ERC-20 مورد حمله قرار گرفت. برخی از بازیکنان از آسیب‌پذیری منطقی برای برش توکن‌های بومی قفل شده بازی استفاده کردند که باعث شد قیمت توکن پس از آن کاهش یابد.

آسیب پذیری‌های NFT

NFTها عمدتاً به عنوان دارایی های مجازی درون بازی در پروژه های GameFi از جمله تجهیزات، وسایل و سوغاتی ها استفاده می شوند. آنها مالکیت واضحی را به بازیکنان ارائه می‌دهند و می‌توانند ارزش ثابت خود را از طریق کنترل تورم و کمبود حفظ کنند. با این حال، استفاده نادرست از NFT ها می تواند آسیب پذیری های امنیتی را ایجاد کند.

ارزش NFT ها در نادر بودن تجهیزات یا وسایل منعکس می شود، و بازیکنان معمولاً به دنبال کمیاب ترین NFT ها هستند. در طول فرآیند ضرب NFT، اطلاعات مربوط به بلوک مانند مهرهای زمانی ممکن است به عنوان یک منبع تصادفی ضعیف برای تولید NFT با سطوح نادر متفاوت استفاده شود. یک ماینر می‌تواند مهر زمانی بلوک را تا حدی دستکاری کند تا NFT‌های کمیاب‌تر را به طور مخرب برش دهد.

حتی یک منبع قابل اعتماد تصادفی، مانند Chainlink VRF (عملکرد تصادفی قابل تأیید)، همه خطرات را حذف نمی کند. کاربران مخرب می توانند در حین استخراج شناسه های توکن NFT ناخواسته عملیات را لغو کنند و این روند را تا زمانی که یک NFT کمیاب استخراج شود، تکرار کنند.

هنگامی که بازیکنان NFTها را معامله و انتقال می دهند، آسیب پذیری های قرارداد هوشمند بالقوه ممکن است رخ دهد. به عنوان مثال، تابع (safeTransferFrom) برای انتقال NFTهای ERC-721 استفاده می‌شود. هنگامی که گیرنده یک آدرس قرارداد باشد، تابع (onERC721Received) برای یک تماس مجدد راه اندازی می‌شود. سپس خطر بالقوه حملات ورود مجدد وجود دارد که به موجب آن مهاجمان می توانند منطق درون تابع را در (ERC721Received) دیکته کنند.

این خطر در میان NFTهای ERC-1155 نیز وجود دارد، به موجب آن تابع (safeTransferFrom) تابع (onERC1155Received) را فعال می کند و به مهاجمان اجازه می دهد تا یک حمله مجدد را انجام دهند.

آسیب پذیری‌های پل

پل‌های زنجیره‌ای متقابل در GameFi استفاده می‌شوند تا به کاربران اجازه دهند تا دارایی‌های درون بازی را در شبکه‌های مختلف مبادله کنند. آنها همچنین برای افزایش تجارب و نقدینگی GameFi حیاتی هستند.

یکی از خطرات اصلی پل های زنجیره ای متقابل در GameFi ناشی از ناسازگاری بین دارایی های درون بازی است. قراردادهای دو طرف پل باید تضمین کند که همان مقدار دارایی پذیرفته و سوزانده می شود. با این حال، به دلیل خلأهای موجود در قراردادها برای تأیید و حسابداری، مهاجمان می توانند آنها را به خطر بیاندازند تا تعداد زیادی دارایی از هوا ایجاد کنند.

آسیب پذیری‌های حاکمیت DAO

بسیاری از پروژه‌های GameFi توسط DAO اداره می‌شوند، که اگر اکثر توکن‌های حاکمیت متعلق به چند بازیگر بزرگ باشد، ممکن است خطر تمرکز را ایجاد کند. قراردادهای هوشمندی که قوانین حاکمیت DAO را تعریف می کنند، محل دیگری را برای مصالحه بالقوه باز می کنند، زیرا مهاجمان می توانند راه هایی برای دسترسی به خزانه DAO پیدا کنند.

راه‌های بهبود امنیت

برای محافظت از پروژه های GameFi، رعایت احتیاط در هر مرحله بسیار مهم است. اطمینان از کدهای قرارداد هوشمند بی عیب و نقص، پایه و اساس یک پروژه موفق GameFi است – این شامل نوشتن کد با کیفیت بالا، انجام ممیزی های منظم و استفاده از تأیید رسمی قرارداد هوشمند است.

حفظ امنیت سرورها و سایر اجزای زیرساخت نیز حیاتی است. تست نفوذ باید برای شناسایی آسیب‌پذیری‌های احتمالی انجام شود. با سیستم های مبتنی بر DApp و بلاک چین، تست نفوذ ویژگی های Web3 را به همراه دارد. به این ترتیب، اقدامات احتیاطی خاصی برای کیف پول های دیجیتال و پروتکل های غیرمتمرکز ضروری است.

پروژه‌های GameFi باید از بهترین شیوه‌های دیگر، از جمله فرآیند زمان اجرا ایمن و واکنش کامل در شرایط اضطراری، پیروی کنند. اولی شامل نظارت بر رویدادهای امنیتی ایجاد شده، سخت‌تر کردن امنیت محیط، و انتشار برنامه‌های پاداش باگ است.

در عین حال، پروژه ها باید یک فرآیند کامل واکنش اضطراری را توسعه دهند که شامل جنبه هایی مانند دفع ضرر، ردیابی حمله و تجزیه و تحلیل مسائل باشد.