مشکلات امنیتی گیم فای

پروژه های گیم فای، پروژه هایی هستند که فناوری بلاک چین و صنعت بازی را برای ایجاد پلتفرم های دارایی های بازی ترکیب می کنند؛ بنابراین باید امنیت بالایی داشته باشند اما گیم فای مانند هر پلتفرم دیگری دارای مشکلات امنیتی است که در این مقاله به بررسی مشکلات امنیتی گیم فای خواهیم پرداخت؛ اما قبل از بررسی مشکلات امنیتی گیم فای، به بررسی این نوع پلتفرم ها می پردازیم.

این پلتفرم‌ها شرایطی را برای بازیکنان فراهم می‌کنند تا با ایجاد مدل‌های بازی برای برنده شدن (P2E)، جوایز ارز دیجیتال کسب کنند. مزیت دیگر پلتفرم های گیم فای، این است که گیمرها مالکیت واقعی و کنترل کامل بر دارایی های خود دارند. اگرچه محبوبیت پروژه های GameFi روز به روز در حال افزایش است، برخی از تیم ها کیفیت را فدای سرعت می کنند و در نتیجه اقدامات امنیتی ضعیف اعضای جامعه را در معرض زیان های قابل توجهی قرار می دهد. این صنعت در طول چرخه حیات خود همواره با تهدیدات امنیتی قابل توجهی از سوی هکرها مواجه بوده است. در ادامه برای آشنایی با این پروژه تا انتهای مطلب با ما همراه باشید. 

اهمیت امنیت پروژه گیم فای 

 سال 2021 به دلیل معرفی مدل «بازی برای کسب درآمد» و ارائه فرصت های مالی جدید برای بازیکنان، مورد تحسین گسترده کاربران قرار گرفته است. در سال 2022، پروژه های Move To Earn نقش بیشتری در رشد گیم فای ایفا کردند. به طور کلی، در سال 2022، GameFi بزرگترین بخش بازار ارزهای دیجیتال بود که 9.5 درصد از کل بودجه صنعت کریپتو را به خود اختصاص داد و سالانه بیش از 118 درصد رشد داشت.

مهم‌ترین تفاوت گیم‌فای با بازی‌های سنتی، امکان هک کردن دارایی‌های سهام کاربران و در نتیجه ضررهای قابل توجه آن‌ها است. در بدبینانه‌ترین حالت‌ها، آسیب‌پذیری‌های امنیتی GameFi می‌تواند باعث از کار افتادن پروژه و خاموش شدن آن شود. به عنوان مثال، در سال 2022، هکرها از یک درب پشتی در یک گره فراخوانی تابع از راه دور (RPC) برای به دست آوردن امضا در پروژه Axie Infinity سوء استفاده کردند. 

با استفاده از این نقص امنیتی، هکرها به طور غیرقانونی تقریباً 600 میلیون اتریوم (ETH) را در مجموع خارج کردند. هرگونه آسیب پذیری در پروژه های گیم فای منجر به زیان های بزرگی برای سرمایه گذاران و بازیکنان می شود. این موضوع اهمیت امنیت این پروژه ها را دو چندان می کند. در ادامه به بررسی مشکلات امنیتی گیم فای در دو قسمت آنلاین و آفلاین می پردازیم.

بررسی مشکلات امنیتی گیم فای 

1. آسیب پذیری توکن های ERC-20

یکی از مشکلات امنیتی گیم فای، آسیب پذیری توکن های ERC-20 است؛ ثبات و کمیت توکن های ERC-20 نقش مهمی در توانایی اجرای بازی و پایداری آن دارد. بنابراین پروژه ها باید از منطق کدها پیروی کنند و کل عرضه این توکن ها را به طور جدی کنترل کنند. پروژه DeFi Kingdoms که نوعی بازی P2E است در سال 2022 توسط مینت مخرب مورد حمله قرار گرفت. برخی از بازیکنان از یک آسیب پذیری در منطق بازی برای سوء استفاده از توکن های بومی قفل شده بازی سوء استفاده کردند. این اقدام منجر به افت قیمت شد.

2. آسیب پذیری توکن بی همتا

توکن‌های بدون همتا در پروژه‌های گیم فای به‌عنوان دارایی‌های مجازی درون بازی، معمولاً در قالب تجهیزات، سلاح‌ها و آیتم‌ها استفاده می‌شوند. NFT ها کاملاً در اختیار بازیکنان هستند. علاوه بر این، ارزش این دارایی ها از طریق کنترل تورم و کمیابی حفظ می شود. با این حال، استفاده نادرست از NFT ها می تواند منجر به نقض امنیت شود.

ارزش NFT ها به ویژگی نادر بودن تجهیزات یا ابزار بستگی دارد. بازیکنان همچنین معمولاً به دنبال کمیاب‌ترین توکن‌های منحصربه‌فرد می‌گردند. در فرآیند ایجاد NFT، اطلاعات مربوط به بلاک مانند مهر زمانی می‌تواند به عنوان یک منبع تصادفی ضعیف برای تولید NFT با سطوح نادر متفاوت استفاده شود. یک ماینر می‌تواند با دستکاری زمان مینت کردن، NFTهای کمیاب ایجاد کند.

حتی یک منبع تصادفی قابل اعتماد مانند عملکرد تصادفی قابل تایید زنجیره(Chainlink VRF)نمی تواند همه خطرات را از بین ببرد. کاربران مخرب (هکرها) می توانند در صورت نامطلوب بودن شناسه توکن، عملیات استخراج را قطع کنند و تا استخراج NFT کمیاب به استخراج ادامه دهند.

آسیب‌پذیری‌های قرارداد هوشمند ممکن است هنگام مبادله یا انتقال توکن‌های NFT ایجاد شوند. به عنوان مثال، تابع safeTransferFrom برای انتقال NFT های استاندارد ERC-721 استفاده می شود. هنگامی که گیرنده یک آدرس قرارداد است، تابع (onERC721Received) برای فراخوانی استفاده می شود. در این شرایط، احتمال حمله مجدد وجود دارد و مهاجم می تواند منطق تابع (onERC721Received) را اعمال کند. در بین NFT های مبتنی بر استاندارد ERC-1155، این خطر نیز وجود دارد. در واقع، تابع (safeTransferFrom) امکان حمله مجدد با راه اندازی تابع (onERC1155Received) را به مهاجم ارائه می دهد.

3. آسیب پذیری پل ها

از دیگر مشکلات امنیتی گیم فای، آسیب پذیری پل ها است. کاربران پروژه های Gamefi می توانند دارایی های درون بازی را در شبکه های مختلف با استفاده از پل های زنجیره ای تبادل کنند. وجود این پل ها برای بهبود تجربه کاربری و تقویت نقدینگی پروژه های دیفای ضروری است. یکی از بزرگترین خطرات مرتبط با پل های زنجیره ای متقاطع ناشی از ناسازگاری دارایی های بازی است. در قراردادهای دو طرف پل باید قید شود که به همان میزان دارایی پذیرفته و سوزانده شود. با این حال، هکرها می توانند به طور ناگهانی و همزمان با استفاده از نقص های امنیتی قرارداد در سرویس تایید و حسابداری، وضعیت تعداد زیادی از دارایی ها را به خطر بیاندازند.

4. آسیب پذیری حاکمیت دائو

بسیاری از پروژه های گیم فای توسط دائو مدیریت می شوند. اگر اکثر توکن های حاکمیتی متعلق به چند بازیکن بزرگ باشد، پروژه در معرض خطر متمرکز شدن است. قراردادهای هوشمند مشمول قوانین حاکمیت دائو نیز به عنوان یک آسیب پذیری امنیتی در نظر گرفته می شوند؛ زیرا آنها راهی برای دزدان دریایی برای دسترسی به خزانه دائو فراهم می کنند.

چالش های امنیتی آفلاین در پروژه های گیم فای

اکثر پروژه های GameFi برای مواردی مانند عملیات back-end، رابط های وب یا برنامه های تلفن همراه به سرورهای متمرکز آفچین متکی هستند. این سرورها از اطلاعات مهمی مانند داده های بازی و حساب های بازیکنان پشتیبانی می کنند و در برابر حملات مخربی مانند تروجان ها و هک آسیب پذیر هستند.

در مورد NFTها، ابرداده شامل اطلاعات توصیفی مهمی است که خارج از زنجیره در قالب فایل جیسون ذخیره می شود. بسیاری از پروژه های گیم فای به جای استفاده از زیرساخت های غیرمتمرکز مانند IPFS، ابرداده های رمز منحصر به فرد خود را در سرورهای متمرکز ذخیره می کنند. این امر امکان دستکاری ابرداده ها توسط هکرها را افزایش می دهد و منجر به نقض حقوق بازیکنان می شود.

در مسائل امنیتی مربوط به پل های زنجیره ای، این احتمال وجود دارد که مهاجم از طریق حملات هک یا فیشینگ به کلیدهای خصوصی یا امضای اعتبارسنجی ها دسترسی پیدا کند. با سوء استفاده از زیرساخت، هکرها می توانند یک اکسپلویت (کد مخرب) را برای کنترل دارایی های بازی اجرا کنند. هکرها می توانند کدهای مخرب را به شبکه تزریق کنند یا در حین انتقال داده کنترل شبکه را در دست بگیرند. همچنین این امکان وجود دارد که مهاجم به طور متقلبانه با تغییر بسته داده، کارمزد اعتبار خود را افزایش دهد و از این مبلغ برای به دست آوردن دارایی های بازی استفاده کند. رابط های فرانت اند گزینه دیگری برای اعمال مخرب هستند. اگر اطلاعات رتبه بندی بازی لو رفت، هکرها می توانند با ارسال اطلاعات مربوط به آدرس دزدیده شده، اطلاعات حساس دیگری را به دست آورند.

راهکارهایی برای افزایش امنیت در پروژه های گیم فای

برای حفظ امنیت پروژه های گیم فای رعایت نکات امنیتی در تمامی مراحل بسیار مهم است. مهمترین رکن برای موفقیت پروژه های Gamifi اطمینان از بی عیب و نقص بودن کد قرارداد هوشمند است. نوشتن کدهای با کیفیت، ممیزی و بررسی مستمر کد و اجرای تاییدیه رسمی قرارداد هوشمند از جمله اقداماتی است که در این زمینه می توان انجام داد.

ایمن سازی سرور و سایر اجزای زیرساخت نیز مهم و حیاتی است و برای شناسایی آسیب پذیری های احتمالی باید تست نفوذ انجام شود. به منظور انجام تست نفوذ سیستم های مبتنی بر بلاک چین و برنامه های غیرمتمرکز (DApps)، باید به ویژگی های نسل سوم وب (وب 3) توجه شود. بنابراین، در مورد کیف پول های دیجیتال و پروتکل های غیرمتمرکز باید اقدامات احتیاطی ویژه ای انجام شود.

در پروژه های گیم فای نکات دیگری مانند «فرایند اجرای ایمن» و «پاسخ جامع اضطراری» نیز باید رعایت شود. فرآیند اجرای ایمن شامل اقداماتی مانند نظارت بر رویدادهای امنیتی ایجاد شده، افزایش امنیت محیطی و اجرای برنامه‌های باگ بانتی است. علاوه بر این، پروژه ها باید یک فرآیند پاسخ اضطراری جامع را توسعه دهند که شامل عناصری مانند مدیریت دسترسی و تلفات، ردیابی حمله و تجزیه و تحلیل مشکل باشد.