مشکلات امنیتی گیم فای

پروژه‌های GameFi پروژه‌هایی هستند که فناوری بلاک چین و صنعت بازی را برای ایجاد پلتفرم‌های دارایی بازی ترکیب می‌کنند. بنابراین باید از امنیت بالایی برخوردار باشند اما GameFi مانند هر پلتفرم دیگری دارای مسائل امنیتی است که در این مقاله به آن پرداخته شده است. مشکلات امنیتی GameFi پرداخت خواهیم کرد؛ اما قبل از اینکه به مسائل امنیتی GameFi بپردازیم، نگاهی به این نوع پلتفرم ها خواهیم داشت.

اهمیت امنیت پروژه GameFi

2021 به دلیل معرفی مدل “بازی برای پول” و ارائه گزینه های مالی جدید برای بازیکنان مورد تحسین گسترده کاربران قرار گرفته است. در سال 2022، پروژه های Move To Earn نقش بیشتری در رشد GameFi خواهند داشت. به طور کلی، در سال 2022، GameFi بزرگترین بخش بازار ارزهای دیجیتال بود که 9.5٪ از کل بودجه صنعت کریپتو را به خود اختصاص داد و سالانه بیش از 118٪ رشد داشت.

مهم ترین تفاوت گیم فای با بازی های سنتی، امکان هک دارایی های سهام کاربران و در نتیجه زیان قابل توجه آن ها است. در بدترین حالت، آسیب‌پذیری‌های امنیتی GameFi می‌تواند باعث از کار افتادن و تعطیلی پروژه شود. به عنوان مثال، در سال 2022، هکرها از یک درب پشتی در گره فراخوانی تابع از راه دور (RPC) برای به دست آوردن امضاهای پروژه Axie Infinity استفاده کردند.

با استفاده از این نقص امنیتی، هکرها به طور غیرقانونی در مجموع حدود 600 میلیون اتریوم (ETH) را خارج کردند. هر گونه آسیب پذیری در پروژه های GameFi منجر به زیان های بزرگی برای سرمایه گذاران و بازیکنان می شود. این امر اهمیت امنیت این پروژه ها را دو چندان می کند. ادامه بررسی مشکلات امنیتی GameFi پرداخت آنلاین و آفلاین را در دو قسمت انجام می دهیم.

تحقیق در مورد مسائل امنیتی GameFi

1. آسیب پذیری توکن های ERC-20

یکی از مسائل امنیتی GameFi آسیب پذیری توکن های ERC-20 است. ثبات و کمیت توکن های ERC-20 نقش مهمی در توانایی راه اندازی بازی و پایداری آن دارد. بنابراین، پروژه ها باید از منطق کدها پیروی کنند و کل عرضه این توکن ها را به شدت کنترل کنند. پروژه DeFi Kingdoms که نوعی بازی P2E است، در سال 2022 مورد حمله مخرب Mint قرار گرفت. برخی از بازیکنان از یک آسیب پذیری در منطق بازی برای سوء استفاده از توکن های بومی قفل شده بازی استفاده کردند. این اقدام منجر به کاهش قیمت شد.

2. آسیب پذیری توکن بی نظیر

توکن های بی نظیر در پروژه های GameFi به عنوان دارایی های مجازی درون بازی، معمولاً به شکل تجهیزات، سلاح ها و آیتم ها استفاده می شوند. NFT ها کاملاً در دسترس بازیکنان هستند. علاوه بر این، ارزش این دارایی ها با کنترل تورم و کمبود حفظ می شود. با این حال، استفاده نادرست از NFT ها می تواند منجر به نقض امنیت شود.

مقدار NFT به ویژگی نادر بودن تجهیزات یا ابزار بستگی دارد. بازیکنان همچنین معمولاً به دنبال کمیاب ترین توکن های منحصر به فرد هستند. در فرآیند تولید NFT، اطلاعات بلوکی مانند مهر زمانی می‌تواند به عنوان یک منبع تصادفی ضعیف برای تولید NFT با سطوح نادر متفاوت استفاده شود. یک ماینر می تواند NFT های کمیاب را با دستکاری زمان استخراج ایجاد کند.

حتی یک منبع تصادفی قابل اعتماد مانند Chainlink VRF نمی تواند همه خطرات را از بین ببرد. اگر شناسه توکن نامطلوب باشد، کاربران مخرب (هکرها) می توانند عملیات استخراج را متوقف کنند و تا زمانی که NFT های کمیاب استخراج شوند، به استخراج ادامه دهند.

آسیب‌پذیری‌های قرارداد هوشمند ممکن است هنگام مبادله یا انتقال توکن‌های NFT رخ دهد. به عنوان مثال، تابع safeTransferFrom برای انتقال NFT های استاندارد ERC-721 استفاده می شود. هنگامی که گیرنده یک آدرس مورد مذاکره است، از تابع (onERC721Received) برای فراخوانی استفاده می شود. در این شرایط، حمله مجدد امکان پذیر است و مهاجم می تواند منطق تابع (onERC721Received) را پیاده سازی کند. در بین NFT های مبتنی بر استاندارد ERC-1155، این خطر نیز وجود دارد. در واقع تابع (safeTransferFrom) با فعال کردن تابع (onERC1155Received) توانایی حمله مجدد را در اختیار مهاجم قرار می دهد.

3. آسیب پذیری پل ها

از سوی دیگر مشکلات امنیتی GameFi، آسیب پذیری پل ها. کاربران پروژه Gamefi می توانند دارایی های بازی را در شبکه های مختلف با استفاده از پل های زنجیره ای مبادله کنند. وجود این پل ها برای بهبود تجربه کاربری و تقویت نقدینگی پروژه های دیفای ضروری است. یکی از بزرگترین خطرات مرتبط با پل های زنجیره ای متقاطع ناشی از ناسازگاری دارایی های بازی است. در قراردادهای دو طرف پل باید قید شود که به مقدار مساوی از اموال پذیرفته شده و سوزانده می شود. با این حال، هکرها می توانند به طور ناگهانی و همزمان با استفاده از نقایص امنیتی قرارداد در سرویس تأیید و حسابداری، وضعیت تعداد زیادی از دارایی ها را به خطر بیاندازند.

4. آسیب پذیری مدیریت تائو

بسیاری از پروژه های GameFi توسط دائو مدیریت می شوند. اگر اکثر توکن های حاکمیتی متعلق به چند بازیکن بزرگ باشد، پروژه در معرض خطر متمرکز شدن است. قراردادهای هوشمند مشمول قوانین حاکمیت دائو نیز به عنوان یک آسیب پذیری امنیتی در نظر گرفته می شوند. زیرا آنها راهی برای دسترسی دزدان دریایی به خزانه تائو فراهم می کنند.

چالش های امنیتی آفلاین در پروژه های GameFi

اکثر پروژه های GameFi برای مواردی مانند عملیات back-end، رابط های وب یا برنامه های تلفن همراه به سرورهای Offchain متمرکز متکی هستند. این سرورها اطلاعات مهمی مانند داده های بازی و حساب های بازیکنان را حفظ می کنند و در برابر حملات مخربی مانند اسب های تروجان و هک آسیب پذیر هستند.

در مورد NFTها، ابرداده شامل اطلاعات توصیفی مهمی است که خارج از زنجیره در قالب فایل json ذخیره می شود. بسیاری از پروژه های GameFi به جای استفاده از یک زیرساخت غیرمتمرکز مانند IPFS، ابرداده های رمزنگاری منحصر به فرد خود را در سرورهای متمرکز ذخیره می کنند. این امر امکان دستکاری ابرداده ها توسط هکرها را افزایش می دهد و منجر به نقض حقوق بازیکنان می شود.

در مسائل امنیتی مربوط به پل های زنجیره ای، این احتمال وجود دارد که مهاجم از طریق حملات هک یا فیشینگ به کلیدهای خصوصی یا امضای اعتبارنامه دسترسی پیدا کند. با استفاده از زیرساخت، هکرها می توانند یک اکسپلویت (کد مخرب) برای کنترل دارایی های بازی راه اندازی کنند. هکرها می توانند کدهای مخرب را به شبکه تزریق کنند یا در حین انتقال داده کنترل شبکه را در دست بگیرند. همچنین این امکان وجود دارد که مهاجم با تغییر بسته دیتا هزینه اعتبار را به طور متقلبانه افزایش دهد و از این مبلغ برای به دست آوردن دارایی های بازی استفاده کند. Frontend ها فرصت دیگری برای فعالیت های مخرب هستند. در صورت لو رفتن اطلاعات رتبه بندی بازی، هکرها می توانند با ارسال اطلاعات به آدرس سرقت شده، اطلاعات حساس دیگری را به دست آورند.

راهکارهایی برای افزایش امنیت در پروژه های GameFi

برای حفظ امنیت پروژه های GameFi، رعایت توصیه های امنیتی در تمام مراحل بسیار مهم است. مهمترین رکن برای موفقیت پروژه های گامیفی، اطمینان از بی عیب بودن کد قرارداد هوشمند است. نوشتن کدهای کیفی، ممیزی و بررسی مستمر کدها و اجرای تاییدیه رسمی قرارداد هوشمند از جمله اقداماتی است که در این زمینه می توان انجام داد.

ایمن سازی سرور و سایر اجزای زیرساخت نیز مهم است و برای شناسایی آسیب‌پذیری‌های احتمالی باید آزمایش‌های نفوذ و حیاتی انجام شود. برای انجام تست نفوذ سیستم های مبتنی بر بلاک چین و برنامه های غیرمتمرکز (DApps)، باید به ویژگی های نسل سوم وب (وب 3) توجه شود. بنابراین، با کیف پول های دیجیتال و پروتکل های غیرمتمرکز باید اقدامات احتیاطی ویژه ای انجام شود.

نکات دیگری مانند «فرایند پیاده سازی ایمن» و «پاسخ جامع اضطراری» نیز باید در پروژه های گیم فای رعایت شود. فرآیند استقرار ایمن شامل اقداماتی مانند نظارت بر رویدادهای امنیتی ایجاد شده، بهبود امنیت محیطی و اجرای برنامه‌های بسته‌بندی باگ است. علاوه بر این، پروژه ها باید یک فرآیند جامع واکنش اضطراری را توسعه دهند که شامل عناصری مانند مدیریت دسترسی و حادثه، ردیابی حمله و تجزیه و تحلیل مشکل باشد.