来源:世链nft数藏(shiliannft.com)
GameFi将区块链技术与游戏相结合,建立出以游戏内资产和数字货币为特色的去中心化平台。它一般采用边玩边赚(P2E)方式,让玩家可以获得数字货币奖赏。GameFi还能赋予玩家真正的所有权与对游戏内资产彻底控制权。虽然GameFi越来越流行,但它在整个生命周期中都面临着来自黑客的不断而严重的危胁。那么,GameFi有哪些常见的安全问题呢?又该如何提高GameFi的安全性呢?下面,我们一起来看看。
GameFi有哪些常见的安全问题?
一、链上安全挑战
1、ERC-20货币漏洞
在GameFi工程中,ERC-20货币常常用作游戏内购买的虚拟货币、玩家奖励制度和互换方式。
ERC-20货币的锻造和管理不当可能会带来安全隐患。在锻造环节中有可能出现一种称为“可重入性”的常见漏洞。攻击者可以借助合同里的逻辑漏洞,重复执行特定作用,进而无尽锻造货币。
做为通用的游戏内贷币,ERC-20货币的稳定数量决定了游戏的可玩度和可持续性。因此,项目应保证代码逻辑并严格控制ERC-20货币的总供给量。
P2EGameFi项目DeFi Kingdoms就在2022年遭到了恶意ERC-20铸币的攻击。一些玩家运用逻辑漏洞锻造了游戏的锁住原生代币,造成货币价钱随后狂跌。
2、NFT漏洞
NFT主要用作GameFi项目中的游戏内虚拟资产,包含装备、道具和纪念品。他们可为玩家提供明确的所有权,并可以通过控制通胀和稀有来维持稳定的价值。可是,不当应用NFT可能会引进安全漏洞。
装备或道具的稀有度会体现在NFT的价值上,玩家一般会寻找最稀少的NFT。在NFT锻造环节中,例如时间戳之类的区块有关信息可能被用作生成不同稀有度级别NFT的弱随机来源。矿工能够在一定程度上控制区块时间戳,进而恶意锻造更少见的NFT。
即便是可靠的偶然性来源,比如Chainlink VRF(可验证随机函数),也无法清除全部风险。恶意用户可以在铸造出没有用的NFT货币ID时注销操作,然后一直反复该过程,直至铸造出稀少的NFT。
当玩家交易和转移NFT时,有可能出现隐性的智能合约漏洞。比如,函数safe Transform()是用于迁移ERC-721NFT。当接收方是合约地址时,将开启函数onerc721Reaceived()开展调整。也有重入攻击潜在风险,攻击者可以在erc721Reaceived()上决定函数中的思路。
ERC-1155NFT里也有这种风险,即函数safe Transform()开启函数onerc1155Received()并允许攻击者开展重入进攻。
3、跨链桥漏洞
GameFi时会应用跨链桥来允许用户通过不同的网络交换游戏内财产。他们针对提高GameFi的感受和流通性也非常重要。
GameFi中跨链桥的一个主要风险来自游戏内财产之间的不一致。跨链桥两侧的合同应保证接受并消毁的财产数量相同。可是,因为合约的验证和结账存有漏洞,攻击者就可以侵略合同,凭空建立大量财产。
4、DAO整治漏洞
很多GameFi项目均由DAO管理,假如大部分治理代币归少数大型参加者全部,这可能会带来中心化风险。定义DAO整治规矩的智能合约为潜在的风险开创了另一个缺口,由于攻击者可以找到浏览DAO库的方式。
二、链下安全挑战
大部分GameFi项目的后面运维、网线端口或移动应用依然依靠链下中心化服务器。这些服务器会存放重要信息,包含游戏数据和所有者账户,他们容易受渗入和木马恶意程序等恶意攻击。
NFT的元数据包括重要的说明性信息,并成为JSON文档存储在链外。可是,很多GameFi项目把它NFT元数据存储在自己中心化服务器上,而非应用IPFS等去中心化基础设施。这增强了相关方或攻击者篡改元数据的概率,进而可能会侵害玩家的权利。
使用跨链桥的情形下,攻击者能通过渗入或网络钓鱼攻击获得验证者的签字或私钥。他们能够破坏系统架构并通过漏洞来控制游戏内财产。
在传输数据环节中,攻击者可能会挟持网络数据包并注入恶意程序。根据修改数据包,攻击者能够实现虚假充值,并篡改企业选购额度获得更多道具。
前面接口也为攻击者带来了另一种恶意渗入系统的途径。如果某款游戏的排名榜发生信息泄露,攻击者可以将泄漏地址有关信息发送到服务器,以获得相应的敏感信息。
如何提高GameFi的安全性?
要保护GameFi项目,一定要在每个阶段都要谨慎行事。保证恰如其分的智能合约代码是GameFi项目成功的基础——这涉及撰写高质量代码、进行定期审计及使用正规的智能合约验证。
维护服务器和其它系统架构部件安全性也非常重要;应当开展渗透测试,及时检验可能的漏洞。应用DApp和基于区块链的系统实现渗透测试时,可以借助Web3作用。因此,必须对数字钱包和去中心化协议采用特定防范措施。
GameFi项目还要遵循其他良好实践,包含安全的运行中流程及完整的应急处置。前者涉及监管触发的安全事故、加强环境安全及其公布漏洞赏金计划。
同时,项目必须制订完整的应急处置步骤,包含止损处理、进攻跟踪和问题分析等方面。
讲到这里,相信大家对于GameFi有哪些常见的安全问题,以及如何提高GameFi的安全性都有一定的了解了。总的来说,GameFi的安全漏洞其实不拘泥于本文中提到的漏洞,很多事情说明,很多项目都忽视或淡化了安全隐患。GameFi是未来游戏业态的重要组成部分。因此,每个项目应始终关注安全隐患,将社区的权益摆在首位。