GameFi فناوری بلاکچین را با بازی ترکیب میکند تا پلتفرمهای غیرمتمرکز را با داراییهای درون بازی و ارزهای دیجیتال ایجاد کند. به طور معمول دارای یک مدل بازی برای کسب درآمد (P2E) است که به بازیکنان اجازه میدهد تا پاداشهای رمزنگاری را کسب کنند. GameFi همچنین به گیمرها مالکیت واقعی و کنترل کامل بر دارایی های درون بازی آنها را میدهد.
در حالی که GameFi در حال افزایش محبوبیت است، در طول چرخه عمر خود با تهدیدات مداوم و قابل توجهی از سوی هک ها مواجه است. برخی از پروژهها ممکن است سرعت را بر کیفیت مهم بدانند و بنابراین، فاقد اقدامات احتیاطی امنیتی قوی هستند و جامعه و سازندگان را در معرض خطر زیانهای قابل توجهی قرار میدهند.
- پروژههای GameFi با چالشهای امنیتی مختلفی روبرو هستند که میتوان آنها را بهعنوان مسائل درون زنجیرهای و خارج از زنجیره طبقهبندی کرد.
- چالشهای امنیتی روی زنجیره عمدتاً شامل مدیریت توکنها و NFTهای ERC-20، ایمنی پلهای زنجیرهای متقابل و مدیریت سازمانهای مستقل غیرمتمرکز (DAO) میشود.
- از سوی دیگر، چالشهای خارج از زنجیره معمولاً به رابطهای وب و سرورها مربوط میشوند.
- پروژههای GameFi باید اقدامات امنیتی مانند ممیزیهای دقیق، اسکن آسیبپذیری، و تست نفوذ، و همچنین اجرای بهترین شیوههای عملیاتی و کنترلهای تجاری را در اولویت قرار دهند.
چرا امنیت GameFi مهم است؟
GameFi در سال 2021 با مدل P2E خود رشد قابل توجهی را تجربه کرد که فرصت های مالی جدیدی را به بازیکنان ارائه می دهد. در سال 2022، پروژه های حرکت به سمت درآمد، پتانسیل رشد GameFi را بیشتر برجسته کردند. GameFi برترین بخش کریپتو در سال 2022 بود که تقریباً 9.5٪ از کل بودجه صنعت را به خود اختصاص داد و رشد سالانه بیش از 118٪ را به خود اختصاص داد.
GameFi با بازی های سنتی متفاوت است زیرا بیشتر در خطر است برای کاربران و هر گونه هک می تواند ضرر قابل توجهی برای آنها داشته باشد. در سناریوهای شدید، نقض امنیتی می تواند به یک پروژه پایان دهد.
به عنوان مثال، مهاجمان از یک درب پشتی در گره فراخوانی رویه از راه دور (RPC) برای به دست آوردن امضا در پروژه GameFi Axie Infinity در سال 2022 سوء استفاده کردند و به مهاجمان امکان برداشت غیرمجاز در مجموع نزدیک به 600 میلیون دلار ETH را میداد. هرگونه آسیبپذیری در پروژههای GameFi میتواند منجر به ضررهای هنگفت هم برای سرمایهگذاران و هم برای بازیکنان شود که بر اهمیت حیاتی امنیت GameFi تأکید میکند.
چالش های امنیتی روی زنجیره
آسیب پذیری های توکن ERC-20
توکنهای ERC-20 اغلب در پروژههای GameFi بهعنوان ارز مجازی برای خریدهای درون بازی، مکانیسمهای پاداش برای بازیکنان و وسیلهای برای مبادله استفاده میشوند.
برش و مدیریت نامناسب توکن های ERC-20 می تواند خطرات امنیتی ایجاد کند. یکی از آسیبپذیریهای رایج، به نام ورود مجدد، ممکن است در طول فرآیند ضربسازی ایجاد شود. حملات می توانند از حفره منطقی در قرارداد برای اجرای مکرر یک عملکرد خاص سوء استفاده کنند و در نتیجه توکن ها را به صورت نامحدود برش دهند.
به عنوان ارزهای درون بازی جهانی، ثبات و کمیت توکن های ERC-20 تعیین کننده قابلیت پخش و پایداری بازی است. از این رو، پروژهها باید از منطق کدها اطمینان حاصل کنند و عرضه کل توکنهای ERC-20 را به شدت کنترل کنند.
پروژه P2E GameFi DeFi Kingdoms در سال 2022 توسط استخراج مخرب ERC-20 مورد حمله قرار گرفت. برخی از بازیکنان از آسیبپذیری منطقی برای برش توکنهای بومی قفل شده بازی استفاده کردند که باعث شد قیمت توکن پس از آن کاهش یابد.
آسیب پذیریهای NFT
NFTها عمدتاً به عنوان دارایی های مجازی درون بازی در پروژه های GameFi از جمله تجهیزات، وسایل و سوغاتی ها استفاده می شوند. آنها مالکیت واضحی را به بازیکنان ارائه میدهند و میتوانند ارزش ثابت خود را از طریق کنترل تورم و کمبود حفظ کنند. با این حال، استفاده نادرست از NFT ها می تواند آسیب پذیری های امنیتی را ایجاد کند.
ارزش NFT ها در نادر بودن تجهیزات یا وسایل منعکس می شود، و بازیکنان معمولاً به دنبال کمیاب ترین NFT ها هستند. در طول فرآیند ضرب NFT، اطلاعات مربوط به بلوک مانند مهرهای زمانی ممکن است به عنوان یک منبع تصادفی ضعیف برای تولید NFT با سطوح نادر متفاوت استفاده شود. یک ماینر میتواند مهر زمانی بلوک را تا حدی دستکاری کند تا NFTهای کمیابتر را به طور مخرب برش دهد.
حتی یک منبع قابل اعتماد تصادفی، مانند Chainlink VRF (عملکرد تصادفی قابل تأیید)، همه خطرات را حذف نمی کند. کاربران مخرب می توانند در حین استخراج شناسه های توکن NFT ناخواسته عملیات را لغو کنند و این روند را تا زمانی که یک NFT کمیاب استخراج شود، تکرار کنند.
هنگامی که بازیکنان NFTها را معامله و انتقال می دهند، آسیب پذیری های قرارداد هوشمند بالقوه ممکن است رخ دهد. به عنوان مثال، تابع (safeTransferFrom) برای انتقال NFTهای ERC-721 استفاده میشود. هنگامی که گیرنده یک آدرس قرارداد باشد، تابع (onERC721Received) برای یک تماس مجدد راه اندازی میشود. سپس خطر بالقوه حملات ورود مجدد وجود دارد که به موجب آن مهاجمان می توانند منطق درون تابع را در (ERC721Received) دیکته کنند.
این خطر در میان NFTهای ERC-1155 نیز وجود دارد، به موجب آن تابع (safeTransferFrom) تابع (onERC1155Received) را فعال می کند و به مهاجمان اجازه می دهد تا یک حمله مجدد را انجام دهند.
آسیب پذیریهای پل
پلهای زنجیرهای متقابل در GameFi استفاده میشوند تا به کاربران اجازه دهند تا داراییهای درون بازی را در شبکههای مختلف مبادله کنند. آنها همچنین برای افزایش تجارب و نقدینگی GameFi حیاتی هستند.
یکی از خطرات اصلی پل های زنجیره ای متقابل در GameFi ناشی از ناسازگاری بین دارایی های درون بازی است. قراردادهای دو طرف پل باید تضمین کند که همان مقدار دارایی پذیرفته و سوزانده می شود. با این حال، به دلیل خلأهای موجود در قراردادها برای تأیید و حسابداری، مهاجمان می توانند آنها را به خطر بیاندازند تا تعداد زیادی دارایی از هوا ایجاد کنند.
آسیب پذیریهای حاکمیت DAO
بسیاری از پروژههای GameFi توسط DAO اداره میشوند، که اگر اکثر توکنهای حاکمیت متعلق به چند بازیگر بزرگ باشد، ممکن است خطر تمرکز را ایجاد کند. قراردادهای هوشمندی که قوانین حاکمیت DAO را تعریف می کنند، محل دیگری را برای مصالحه بالقوه باز می کنند، زیرا مهاجمان می توانند راه هایی برای دسترسی به خزانه DAO پیدا کنند.
راههای بهبود امنیت
برای محافظت از پروژه های GameFi، رعایت احتیاط در هر مرحله بسیار مهم است. اطمینان از کدهای قرارداد هوشمند بی عیب و نقص، پایه و اساس یک پروژه موفق GameFi است – این شامل نوشتن کد با کیفیت بالا، انجام ممیزی های منظم و استفاده از تأیید رسمی قرارداد هوشمند است.
حفظ امنیت سرورها و سایر اجزای زیرساخت نیز حیاتی است. تست نفوذ باید برای شناسایی آسیبپذیریهای احتمالی انجام شود. با سیستم های مبتنی بر DApp و بلاک چین، تست نفوذ ویژگی های Web3 را به همراه دارد. به این ترتیب، اقدامات احتیاطی خاصی برای کیف پول های دیجیتال و پروتکل های غیرمتمرکز ضروری است.
پروژههای GameFi باید از بهترین شیوههای دیگر، از جمله فرآیند زمان اجرا ایمن و واکنش کامل در شرایط اضطراری، پیروی کنند. اولی شامل نظارت بر رویدادهای امنیتی ایجاد شده، سختتر کردن امنیت محیط، و انتشار برنامههای پاداش باگ است.
در عین حال، پروژه ها باید یک فرآیند کامل واکنش اضطراری را توسعه دهند که شامل جنبه هایی مانند دفع ضرر، ردیابی حمله و تجزیه و تحلیل مسائل باشد.
نظرات کاربران