GameFi有哪些常见的安全问题？

Lucy 2023年05月23日 10:25 0

GameFi将区块链技术与游戏相结合，创建了一个以游戏内资产和数字货币为特色的去中心化平台。它通常采用玩赚(P2E)模式，让玩家可以获得加密货币奖励。。GameFi还可以让游戏玩家真正拥有并完全控制游戏中的资产。

虽然GameFi越来越受欢迎，但在其整个生命周期内，它都将面临来自黑客的持续而严重的威胁。。一些项目可能更注重速度(而不是质量)，因此缺乏完善的安全防范措施，这往往使社区和创作者面临重大损失的风险。

为什么GameFi安全很重要？

GameFi在2021年经历了可观的增长。

其P2E模式为玩家在游戏中增加收入提供了新的机会。2022年，move-to-earn进一步凸显了GameFi的增长潜力。GameFi是2022年加密货币的头部行业，约占行业总资金的9.5%。，同比增长超过118%。

GameFi不同于传统游戏，因为用户面临的风险更大，任何黑客攻击都可能带来巨大损失。在极端情况下，安全漏洞可能导致项目终止。

比如2022年。攻击者利用远程过程调用(RPC)节点中的后门，获取GameFi项目的AxieInfinity的签名，从而进行未授权的取款，窃取ETH共计近6亿美元。

。GameFi项目的任何漏洞都可能给投资者和玩家造成巨大损失，这凸显了GameFi安全的至关重要性。

链上安全挑战

ERC-20代币漏洞

在GameFi项目中。

ERC-20代币通常被用作虚拟货币、玩家奖励机制和游戏内购买的交换手段。

ERC-20代币的铸造和管理不当可能带来安全风险。一个常见的缺陷叫做"可重入"可能出现在铸造过程中。。攻击者可以利用契约中的逻辑漏洞重复执行特定的功能，从而无限地铸造令牌。

作为一种通用的游戏内货币，ERC-20代币的稳定性和数量决定了游戏的可玩性和可持续性。因此该项目应确保代码逻辑，并严格控制ERC-20令牌的总供应量。

P2E的DeFi王国Gamefi项目在2022年被恶意的ERC-20币攻击。

。一些玩家利用逻辑漏洞铸造了游戏的锁定原生令牌，导致令牌价格暴跌。

NFT漏洞

NFT在GameFi项目中主要作为游戏内虚拟资产，包括装备、道具、纪念品等。他们可以为玩家提供明确的所有权，并通过控制通货膨胀和稀缺性来维持稳定的价值。但是，NFT的不当使用可能会引入安全漏洞。

装备或者道具的稀有程度会体现在NFT的价值上，玩家通常会寻找最稀有的NFT。在NFT铸造过程中，诸如时间戳的块相关信息可以被用作弱随机源，以生成具有不同稀有程度的NFT。。矿工可以在一定程度上操纵块时间戳，从而恶意铸造更稀有的NFT。

即使可靠的随机来源，如链环VRF(可验证的随机函数)，也不能消除所有风险。。恶意用户可以在铸造不必要的NFT令牌ID时撤消该操作，然后重复该过程，直到铸造出罕见的NFT。

当球员交易和转让NFT时，可能存在潜在的智能合同漏洞。例如函数safeTransfrom()用于传输ERC-721NFT。当接收方为约定地址时，触发函数onerc721Reaceived()将被回调。还有再入攻击的潜在风险。，攻击者可以在erc721Reaceived()上决定函数中的逻辑。这种风险也存在于NFTERC1155号。，即函数safeTransform()触发函数onerc1155Received()并允许攻击者进行再入攻击。

跨链桥漏洞

Gamefi中将使用跨链桥，允许用户通过不同的网络交换游戏内资产。

。它们对于增强GameFi的体验和流动性也至关重要。

GAMEFI中跨链桥的主要风险之一来自于游戏中资产之间的不一致。桥两边的合同应该确保接受和销毁相同数量的资产。但是

由于合同验证和结算存在漏洞，攻击者可以入侵合同，凭空创造大量资产。

DAO治理漏洞

很多GameFi项目都是由DAO管理的。如果大多数治理令牌由少数大型参与者拥有，这可能会带来集中化风险。定义DAO治理规则的智能契约为潜在风险打开了另一个缺口，因为攻击者可以找到访问DAO库的方法。

。

链下安全挑战

大部分GameFi项目的后端运维、网络接口或者移动应用仍然依赖于离线的集中式服务器。

。这些服务器将存储关键信息，包括游戏数据和所有者帐户，它们容易受到渗透和木马恶意软件等恶意攻击。

NFT的元数据包含重要的描述信息，存储为外链的JSON文件。但是许多GameFi项目将他们的NFT元数据存储在他们自己的中央服务器上，而不是使用分散的基础设施，如IPFS。这增加了相关方或攻击者篡改元数据的可能性，从而可能侵犯玩家的权利。

在使用跨链桥的情况下，攻击者可以获得验证者'；的签名或私钥，通过渗透或网络钓鱼攻击。他们可以破坏基础设施并利用漏洞来控制游戏中的资产。

在数据传输过程中，攻击者可能劫持网络数据包并注入恶意代码。攻击者通过修改数据包，可以实现虚假充值，篡改单位购买金额，获得更多游戏道具。

前端接口也为攻击者提供了另一种恶意渗透系统的途径。

。如果某个游戏的排行榜被泄露，攻击者可以将泄露的地址相关信息发送到服务器，获取相应的敏感信息。

如何提高安全性

要保护GameFi项目，每个阶段都要谨慎。确保完美的智能合约代码是GameFi项目成功的基础，这涉及到编写高质量的代码、进行定期审计和使用正式的智能合约验证。

维护服务器和其他基础设施组件的安全性也至关重要；要进行渗透测试，及时发现可能的漏洞。当使用基于DApp和区块链的系统进行渗透测试时，可以使用Web3功能。因此必须对数字钱包和去中心化协议采取特殊的预防措施。

GameFi项目还应该遵循其他最佳实践，包括安全运行时流程和完整的应急响应。前者涉及监控引发的安全事件，加强环境安全和发布漏洞奖励计划。

。

同时，项目必须制定完整的应急响应流程，包括止损处置、攻击跟踪、问题分析。

结语

Gamefi的安全漏洞不仅限于本文提到的。许多事件表明，许多项目忽视或淡化了安全风险。GameFi是未来游戏格式的重要组成部分。因此，所有项目都应始终关注安全问题，将社区利益放在第一位。