Este artículo es un envío de la comunidad. El autor es Zhangchi Qin, auditor de contratos inteligentes de la empresa de seguridad holística blockchain Salus Security.

Las opiniones en este artículo pertenecen al colaborador/autor y no reflejan necesariamente las de Binance Academy.

TLDR:

  • Los proyectos de GameFi enfrentan varios desafíos de seguridad que pueden clasificarse como problemas dentro y fuera de la cadena.

  • Los desafíos de seguridad en cadena involucran principalmente la gestión de tokens ERC-20 y NFT, la seguridad de los puentes entre cadenas y la gobernanza de la organización autónoma descentralizada (DAO).

  • Los desafíos fuera de la cadena, por otro lado, suelen estar relacionados con servidores e interfaces web.

  • Los proyectos de GameFi deben priorizar las medidas de seguridad, como auditorías rigurosas, escaneo de vulnerabilidades y pruebas de penetración, así como implementar mejores prácticas operativas y controles comerciales.

Introducción

GameFi combina la tecnología blockchain con los juegos para crear plataformas descentralizadas con activos del juego y monedas digitales. Por lo general, presenta un modelo de juego para ganar (P2E) que permite a los jugadores ganar recompensas criptográficas. GameFi también brinda a los jugadores una verdadera propiedad y control total sobre sus activos en el juego.

Si bien GameFi está ganando popularidad, se enfrenta a continuas e importantes amenazas de piratería a lo largo de su ciclo de vida. Algunos proyectos pueden valorar la velocidad por encima de la calidad y, por lo tanto, carecen de precauciones de seguridad sólidas, lo que pone tanto a la comunidad como a los creadores en riesgo de sufrir pérdidas significativas.

¿Por qué es importante la seguridad de GameFi?

GameFi experimentó un crecimiento considerable en 2021 con su modelo P2E que ofrece a los jugadores nuevas oportunidades financieras dentro del juego. En 2022, los proyectos de movimiento para ganar resaltaron aún más el potencial de crecimiento de GameFi. GameFi fue el principal sector de las criptomonedas en 2022, representando aproximadamente el 9,5% de la financiación total de la industria y un crecimiento interanual de más del 118%.

GameFi se diferencia de los juegos tradicionales porque hay más en juego para los usuarios y cualquier pirateo podría significar pérdidas significativas para ellos. En escenarios extremos, las violaciones de seguridad podrían poner fin a un proyecto.

Por ejemplo, los atacantes explotaron una puerta trasera en un nodo de llamada a procedimiento remoto (RPC) para obtener una firma en el proyecto GameFi Axie Infinity en 2022, lo que permitió a los atacantes realizar retiros no autorizados por un total de casi 600 millones de dólares en ETH. Cualquier vulnerabilidad en los proyectos de GameFi podría provocar pérdidas masivas tanto para los inversores como para los jugadores, lo que subraya la importancia crítica de la seguridad de GameFi.

Desafíos de seguridad en cadena

Vulnerabilidades del token ERC-20

Los tokens ERC-20 se utilizan con frecuencia en proyectos GameFi como moneda virtual para compras dentro del juego, mecanismos de recompensa para los jugadores y medio de intercambio.

La acuñación y gestión inadecuadas de tokens ERC-20 pueden introducir riesgos de seguridad. Una vulnerabilidad común, llamada reentrada, puede surgir durante el proceso de acuñación. Los ataques pueden aprovechar la laguna lógica en un contrato para ejecutar repetidamente una función específica, lo que resulta en la acuñación infinita de tokens.

Como monedas universales en el juego, la estabilidad y cantidad de los tokens ERC-20 determinan la jugabilidad y sostenibilidad de un juego. Por lo tanto, los proyectos deben garantizar la lógica de los códigos y controlar estrictamente el suministro total de tokens ERC-20.

El proyecto P2E GameFi, DeFi Kingdoms, fue atacado mediante acuñación maliciosa de ERC-20 en 2022. Algunos jugadores aprovecharon la vulnerabilidad lógica para acuñar los tokens nativos bloqueados del juego, lo que provocó que el precio del token cayera en picado después.

Vulnerabilidades de NFT

Los NFT se utilizan principalmente como activos virtuales dentro de los proyectos GameFi, incluidos equipos, accesorios y recuerdos. Ofrecen a los jugadores una propiedad clara y pueden mantener un valor estable mediante el control de la inflación y la escasez. Sin embargo, el uso inadecuado de las NFT puede introducir vulnerabilidades de seguridad.

El valor de los NFT se refleja en la rareza de los equipos o accesorios, y los jugadores suelen buscar los NFT más raros. Durante el proceso de acuñación de NFT, la información relacionada con el bloque, como las marcas de tiempo, puede usarse como una fuente aleatoria débil para generar NFT con diferentes niveles de rareza. Un minero puede manipular la marca de tiempo del bloque hasta cierto punto para acuñar NFT más raros de manera maliciosa.

Incluso una fuente confiable de aleatoriedad, como Chainlink VRF (función aleatoria verificable), no elimina todos los riesgos. Los usuarios malintencionados pueden revocar operaciones mientras crean ID de tokens NFT no deseados y repetir el proceso hasta que se acuña un NFT poco común.

Cuando los jugadores intercambian y transfieren NFT, pueden ocurrir posibles vulnerabilidades en los contratos inteligentes. Por ejemplo, la función safeTransferFrom() se utiliza para transferir NFT ERC-721. Cuando el receptor es una dirección de contrato, la función onERC721Received() se activará para una devolución de llamada. Luego existe el riesgo potencial de ataques de reentrada, mediante los cuales los atacantes pueden dictar la lógica dentro de la función en ERC721Received().

Este riesgo también existe entre los NFT ERC-1155, donde la función safeTransferFrom() activa la función onERC1155Received() y permite a los atacantes llevar a cabo un ataque de reentrada.

Vulnerabilidades del puente

Los puentes entre cadenas se utilizan en GameFi para permitir a los usuarios intercambiar activos del juego a través de diferentes redes. También son fundamentales para mejorar las experiencias y la liquidez de GameFi.

Un riesgo importante de los puentes entre cadenas en GameFi proviene de las inconsistencias entre los activos del juego. Los contratos a ambos lados del puente deberían garantizar que se aceptará y quemará la misma cantidad de activos. Sin embargo, debido a las lagunas en los contratos de verificación y contabilidad, los atacantes pueden comprometerlos para crear una gran cantidad de activos de la nada.

Vulnerabilidades de gobernanza de DAO

Muchos proyectos de GameFi están gobernados por DAO, lo que puede introducir el riesgo de centralización si la mayoría de los tokens de gobernanza son propiedad de unos pocos actores importantes. Los contratos inteligentes que definen las reglas de gobernanza de DAO abren otro lugar para posibles compromisos, ya que los atacantes pueden encontrar formas de acceder a la tesorería de DAO.

Desafíos de seguridad fuera de la cadena

La mayoría de los proyectos de GameFi todavía dependen de servidores centralizados fuera de la cadena para operaciones de back-end, interfaces web o aplicaciones móviles. Estos servidores albergan información crítica, incluidos datos de juegos y cuentas de propietarios, y son vulnerables a ataques maliciosos como penetración y malware troyano.

Cuando se trata de NFT, los metadatos contienen información descriptiva importante y se almacenan fuera de la cadena como archivos JSON. Sin embargo, muchos proyectos de GameFi almacenan sus metadatos NFT en sus propios servidores centralizados en lugar de utilizar una infraestructura descentralizada como IPFS. Esto aumenta la probabilidad de que partes relacionadas o atacantes alteren los metadatos, lo que podría infringir los derechos de los jugadores.

En el contexto de puentes entre cadenas, los atacantes pueden obtener firmas de validadores o claves privadas mediante ataques de penetración o phishing. Pueden comprometer la infraestructura y ejecutar un exploit para controlar los activos del juego.

Durante la transmisión de datos, los atacantes pueden secuestrar e inyectar el paquete de red con código malicioso. Al modificar el paquete de datos, los atacantes pueden implementar recargas falsas y usar el monto de compra de la unidad para obtener más artículos del juego.

Las interfaces frontales brindan a los atacantes otra vía para infiltrarse maliciosamente en el sistema. Si se produce una fuga de información en la tabla de clasificación de un juego, los atacantes pueden enviar la información relacionada con la dirección filtrada al servidor para obtener la información confidencial correspondiente.

Formas de mejorar la seguridad

Para salvaguardar los proyectos de GameFi, es fundamental actuar con precaución en cada etapa. Garantizar códigos de contratos inteligentes impecables es la base de un proyecto GameFi exitoso; esto implica escribir código de alta calidad, realizar auditorías periódicas y utilizar una verificación formal de contratos inteligentes.

También es fundamental mantener la seguridad de los servidores y otros componentes de la infraestructura; Se deben realizar pruebas de penetración para detectar posibles vulnerabilidades. Con los sistemas basados ​​en DApp y blockchain, las pruebas de penetración traen consigo características Web3. Como tal, se necesitan precauciones específicas para las billeteras digitales y los protocolos descentralizados.

Los proyectos de GameFi también deben cumplir con otras mejores prácticas, incluido un proceso de ejecución seguro y una respuesta de emergencia completa. El primero implica monitorear los eventos de seguridad desencadenados, reforzar la seguridad del entorno y lanzar programas de recompensas por errores.

Al mismo tiempo, los proyectos deben desarrollar un proceso completo de respuesta a emergencias que incluya aspectos como la eliminación de pérdidas, el seguimiento de ataques y el análisis de problemas.

Pensamientos finales

Las vulnerabilidades de seguridad de GameFi van más allá de las mencionadas en este artículo y muchos incidentes han demostrado que los proyectos han ignorado o minimizado los riesgos de seguridad. GameFi es una parte importante del futuro de los juegos. Como tal, los proyectos siempre deben prestar atención a las cuestiones de seguridad y anteponer los intereses de sus comunidades.

Otras lecturas

  • ¿Qué es GameFi y cómo funciona?

  • ¿Qué son los juegos NFT y cómo funcionan?

  • ¿Qué es una auditoría de seguridad de contrato inteligente?


Descargo de responsabilidad y advertencia de riesgo: este contenido se le presenta "tal cual" solo para información general y fines educativos, sin representación ni garantía de ningún tipo. No debe interpretarse como asesoramiento financiero, legal o de otro tipo, ni pretende recomendar la compra de ningún producto o servicio específico. Debe buscar su propio consejo de asesores profesionales adecuados. Cuando el artículo sea aportado por un colaborador externo, tenga en cuenta que las opiniones expresadas pertenecen al colaborador externo y no reflejan necesariamente las de Binance Academy. Lea nuestro descargo de responsabilidad completo aquí para obtener más detalles. Los precios de los activos digitales pueden ser volátiles. El valor de su inversión puede subir o bajar y es posible que no recupere el monto invertido. Usted es el único responsable de sus decisiones de inversión y Binance Academy no es responsable de las pérdidas en las que pueda incurrir. Este material no debe interpretarse como asesoramiento financiero, legal o de otro tipo. Para obtener más información, consulte nuestros Términos de uso y Advertencia de riesgos.