پروژههای گیمفای، پروژههایی هستند که با ترکیب تکنولوژی بلاکچین و صنعت گیمینگ (Gaming)، پلتفرمهایی را برای داراییهای درون بازی به وجود میآورند. این پلتفرمها با ایجاد مدلهای بازی برای کسب درآمد (P2E) شرایطی را مهیا میکنند تا بازیکنان بتوانند پاداشهای کریپتویی به دست بیاورند. مزیت دیگر پلتفرمهای گیمفای این است که گیمرها و بازیکنان، مالکیت واقعی و کنترل کامل داراییهای خود را بر عهده دارند. اگرچه محبوبیت پروژههای گیم فای روزبهروز بیشتر میشود، اما برخی تیمها با فدا کردن کیفیت در ازای سرعت و در نتیجه اقدامات امنیتی ضعیف، اعضای جامعه را در معرض زیانهای قابلتوجهی قرارمیدهد. این صنعت همواره در چرخه عمر خود با تهدیدات امنیتی قابل توجهی از سوی هکرها مواجه بوده است. با میهن بلاکچین همراه باشید تا ببینیم چالشها و مشکلات امنیتی پروژه های گیمفای در چه زمینههایی است.
نکات کلیدی مقاله:
◾ مشکلات امنیتی پروژههای GameFi را میتوان در دو گروه آنچین و آفچین دستهبندی کرد.
◾ چالشهای امنیتی آنچین بیشتر شامل مدیریت توکنهای ERC-20 و توکنهای بیهمتا (NFT)، ایمنی پلهای میانزنجیرهای و حاکمیت سازمانهای مستقل غیرمتمرکز (DAO) میشود.
◾ چالشهای امنیتی آفچین گیمفای، مسائل مربوط به سرورها و رابطهای وب را دربر میگیرد.
◾ پروژههای گیمفای باید برخی اقدامات امنیتی از قبیل انجام آدیت (Audit) و حسابرسیهای دقیق، شناسایی آسیبپذیریها، تست نفوذ و اجرای بهترین رویکردهای عملیاتی و اقدامات کنترلی را در اولویت خود قرار دهند.
چرا امنیت پروژههای گیمفای اهمیت دارد؟
صنعت گیمفای به خاطر ارائه مدل «بازی برای کسب درآمد» و فراهمکردن فرصتهای مالی جدید برای بازیکنان، سال ۲۰۲۱ با را استقبال گسترده کاربران پشت سر گذاشت. در سال ۲۰۲۲، پروژههای «کسب درآمد در ازای حرکت» (Move To Earn) نقش برجستهتری در رشد گیمفای داشتند. به طور کلی در سال ۲۰۲۲، گیمفای با اختصاص ۹.۵ درصد از کل بودجه صنعت کریپتو و رشد سالانه بیش از ۱۱۸ درصد، برترین بخش بازار ارزهای دیجیتال بود.
مهمترین تفاوت گیمفای با گیمینگ سنتی، امکان هکشدن داراییهای استیکشده کاربران و در نتیجه ضرر و زیان قابلتوجه آنها است. در بدبینانهترین سناریوها، نقایص امنیتی گیمفای میتوانند منجر به سقوط و بستهشدن یک پروژه شود.
به طور مثال در سال ۲۰۲۲ هکرها با سوء استفاده از درب پشتی (Backdoor) در یک نود فراخوانی تابع از راه دور (RPC)، به امضایی در پروژه گیمفای اکسی اینفینیتی (Axie Infinity) دست پیدا کردند. هکرها با استفاده از این نقص امنیتی، در مجموع نزدیک به ۶۰۰ میلیون اتر (ETH) را به صورت غیرمجاز برداشت کردند. هر گونه آسیبپذیری در پروژههای گیمفای منجر به ضررهای هنگفتی برای سرمایهگذاران و بازیکنان میشود. همین موضوع اهمیت امنیت این پروژهها را دوچندان میکند. در ادامه مشکلات امنیتی پروژههای GameFi را در دو بخش آنچین و آفچین بررسی میکنیم.
مشکلات امنیتی آنچین در پروژههای گیمفای
مشکلات امنیتی در پروژههای گیم فای در بخش آنچین را میتوان در چهار دسته زیر تقسیمبندی و معرفی کرد. برویم و با این مشکلات و چالشها آشنا شویم.
۱. آسیبپذیریتوکنهای ERC-20
معمولا از توکنهای ERC-20 در پروژههای گیمفای به عنوان یک ارز مجازی برای خریدهای درون بازی، مکانیزمهای پاداشدهی به بازیکنان و ابزاری برای معاملات استفاده میشود. مدیریت و مینت نادرست این توکنها میتواند خطرات امنیتی را رقم بزند. ورود مجدد (Reentrancy) یکی از آسیبپذیریهای رایج است که ممکن است در طول فرایند مینت اتفاق بیفتد. هکر میتواند با سوءاستفاده از حفره امنیتی منطقی موجود در قرارداد، یک تابع خاص را به طور مکرر اجرا کند. این سوءاستفاده منجر به ضرب نامحدود توکنها میشود.
ثبات و کمیت توکنهای ERC-20 نقش بهسزایی در قابلیت اجرای بازی و پایداری آن دارد؛ از این رو پروژهها باید منطق کدها را رعایت کنند و عرضه کل این توکنها را به طور جدی تحت کنترل بگیرند.
پروژه گیمفای دیفای کینگدامز (DeFi Kingdoms) که از نوع بازیهای P2E است، در سال ۲۰۲۲ مورد حمله «مینت مخرب» قرار گرفت. برخی بازیکنان با استفاده از آسیبپذیری منطق بازی، توکنهای بومی قفلشده بازی را مینت کردند. این اقدام منجر به سقوط قیمت توکن بومی بازی DeFi Kingdoms شد.
۲. آسیبپذیری توکنهای بیهمتا
توکنهای بیهمتا در پروژههای گیمفای به عنوان داراییهای مجازی درون بازی و معمولا در قالب تجهیزات، اداوات جنگی و اقلام استفاده میشوند. مالکیت کامل NFTها بر عهده بازیکنان است؛ همچنین ارزش این داراییها از طریق کنترل تورم و کمیابی حفظ میشود. با اینهمه، استفاده نادرست از NFTها میتواند منجر به آسیبپذیریهای امنیتی شود.
ارزش NFTها وابسته به کمیابی ویژگی تجهیزات یا ادوات است. بازیکنان نیز معمولا به دنبال کمیابترین توکنهای بیهمتا هستند. در فرایند مینت NFT، ممکن است از اطلاعات مربوط به بلاک مانند برچسب زمانی (Timestamp) به عنوان یک منبع تصادفی ضعیف برای تولید NFT با سطح متفاوتی از کمیابی استفاده شود. یک ماینر میتواند با دستکاری زمان ضرب، NFTهای کمیاب را به طور مخرب ضرب کند.
حتی یک منبع تصادفی قابل اعتماد مانند تابع تصادفی قابل تایید چین لینک (Chainlink VRF) نمیتواند همه ریسکها و خطرات را از بین ببرد. کاربران مخرب (هکرها) میتوانند زمانی که شناسه توکن نامطلوب است، عملیات استخراج را قطع کنند و این کار را تا استخراج یک NFT کمیاب ادامه دهند.
ممکن است آسیبپذیریهای احتمالی قراردادهای هوشمند هنگام معامله یا انتقال توکنهای NFT رخ دهد. به طور مثال برای انتقال NFTهای استاندارد ERC 721 از تابع ()safeTransferFrom استفاده میشود. زمانی که گیرنده یک آدرس قرارداد باشد، از تابع ()onERC721Received برای فراخوانی مجدد استفاده میشود. در این شرایط احتمال حمله ورود مجدد وجود دارد و مهاجم میتواند منطق را در تابع ()onERC721Received اعمال کند.
در میان NFTهای مبتنی بر استاندارد ERC-1155 نیز احتمال این خطر وجود دارد. در حقیقت تابع ()safeTransferFrom با راهاندازی تابع ()onERC1155Received، فرصت حمله ورود مجدد را برای مهاجم فراهم میکند.
۳. آسیبپذیری بریجها
کاربران پروژههای گیمفای با استفاده از پلهای میانزنجیرهای میتوانند داراییهای درون بازی را در شبکههای مختلف معامله کنند. وجود این پلها برای بهبود تجربه کاربری و تقویت نقدینگی پروژههای دیفای ضروری است. یکی از مهمترین ریسکهای مرتبط با بریجهای میانزنجیرهای، از ناسازگاری داراییهای درون بازی نشات میگیرد. قراردادهای هر دو طرف پل باید اعلام کنند که مقدار دارایی یکسانی پذیرفته و سوزانده میشود. به هر حال هکرها میتوانند با استفاده از نقایص امنیتی قراردادها در بخش تایید و حسابداری، وضعیت تعداد زیادی از داراییها را به طور ناگهانی و یکباره به خطر بیندازند.
۴. آسیبپذیری حاکمیتهای دائو
بسیاری از پروژههای گیمفای بهوسیله دائوها اداراه میشوند. در صورتی که اکثر توکنهای حاکمیتی متعلق به چند بازیگر بزرگ معدود باشد، ممکن است پروژه را با خطر متمرکز شدن مواجه کند. قراردادهای هوشمند مشمول قوانین حاکمیت دائو نیز یک حفره امنیتی به شمار میروند؛ زیرا راهی برای دسترسی هکرها به خزانه دائو هستند.
چالشهای امنیتی آفچین در پروژههای گیمفای
اکثر پروژههای گیمفای برای مواردی از قبیل عملیات Back-End، رابطهای وب یا اپلیکیشنهای موبایلی به سرورهای متمرکز آفچین وابسته هستند. این سرورها از اطلاعات مهمی مانند دادههای بازی و اکانت بازیکنان پشتیبانی میکنند و در برابر حملات مخربی از قبیل بدافزار اسب تروجان و نفوذ آسیبپذیر هستند.
در مبحث NFTها، متادیتا شامل اطلاعات توصیفی مهمی است که به صورت خارج از زنجیره و در قالب فایل JSON ذخیره میشود. بسیاری از پروژههای گیمفای به جای استفاده از زیرساختهای غیرمتمرکزی مانند IPFS، متادیتای توکنهای بیهمتای خود را روی سرورهای متمرکز ذخیره میکنند. این کار احتمال دستکاری متادیتا توسط هکرها را افزایش میدهد و منجر به نقض حقوق بازیکنان میشود.
در مسائل امنیتی مربوط به پلهای میانزنجیرهای، احتمال دسترسی فرد مهاجم به کلیدهای خصوصی یا امضای ولیدیتورها از طریق حملات نفوذ یا فیشینگ وجود دارد. هکرها میتواند با سوء استفاده از زیرساخت، یک اکسپلویت (کد مخرب) را برای کنترل داراییهای درون بازی اجرا کنند.
ممکن است هکرها در طول انتقال داده، کد مخرب را در شبکه اعمال کنند یا کنترل شبکه را به دست بگیرند. همچنین ممکن است فرد مهاجم با تغییر پکیج داده، شارژ اعتباریاش را به صورت تقلبی افزایش دهد و با استفاده از این مبلغ، داراییهای بازی را بهدست بیاورد.
رابطهای فرانتاند، گزینه دیگری برای انجام اقدامات مخرب هستند. اگر در تابلوی امتیازات یک بازی نشت اطلاعاتی رخ دهد، هکرها میتوانند با ارسال اطلاعات مربوط به آدرس لورفته، سایر اطلاعات حساس مربوطه را به دست بیاورند.
راهکارهای افزایش امنیت در پروژههای گیمفای
برای حفظ امنیت پروژههای گیمفای، رعایت نکات ایمنی در تمام مراحل اهمیت بسیاری دارد. مهمترین رکن موفقیت پروژههای گیمفای، اطمینان از بیعیبو نقصبودن کد قرادادهای هوشمند است. نوشتن کدهای باکیفیت، اجرای آدیت و بازبینی کد به طور مستمر و اعمال تایید رسمی قرارداد هوشمند از جمله اقداماتی است که در این زمینه میتوان انجام داد.
تامین امنیت سرور و سایر اجزای زیرساخت هم مهم و حیاتی است و برای شناسایی آسیبپذیریهای احتمالی باید تست نفوذ انجام شود. برای انجام تست نفوذ سیستمهای مبتنی بر بلاکچین و برنامههای غیرمتمرکز (DApps)، باید به ویژگیهای نسل سوم وب (Web ۳) هم توجه داشت؛ از این رو در خصوص کیفپولهای دیجیتال و پروتکلهای غیرمتمرکز باید نکات احتیاطی ویژهای رعایت شود.
در پروژههای گیمفای نکات دیگری مانند «پروسه ایمن زمان اجرا» و «واکنش کامل در شرایط اضطراری» هم باید رعایت شود. پروسه ایمن زمان اجرا، شامل اقداماتی از قبیل نظارت بر رویدادهای امنیتی ایجادشده، افزایش امنیت محیطی و اجرای برنامههای باگ بانتی (Bug Bounty Program) است. همچنین پروژهها باید یک فرایند واکنش کامل به شرایط اضطراری را توسعه دهند که شامل مواردی مانند دسترسی و مدیریت حد ضرر (Stop Loss)، ردیابی حمله و آنالیز مسائل باشد.
سوالات متداول (FAQ)
- مهمترین مشکلات امنیتی پروژههای گیمفای کداماند؟
این مشکلات در دو گروه آنچین و آفچین دستهبندی میشوند که از میان آنها میتوان به مشکلات مرتبط با توکنهای ERC-20 و NFTها، بریجها، حاکمیت دائو، سرورها، رابطها و اجرای کدهای مخرب اشاره کرد. - راهحل مقابله با چالشهای امنیتی GameFi چیست؟
توجه به صحت کدهای قرارداد هوشمند، تامین امنیت سرور، انجام تست نفوذ و اقداماتی نظیر برنامههای باگ بانتی.
سخن پایانی
مشکلات امنیتی پروژه های گیمفای در دو گروه آنچین و آفچین قابل بررسی هستند. مشکلات مربوط به آسیبپذیری توکنهای ERC-20، توکنهای بیهمتا، بریجها و حاکمیت دائو در گروه آنچین قرار دارند. مسائل امنیتی آفچین نیز به سرورها، رابطها و اجرای کدهای مخرب مربوط میشود. به هر حال این مشکلات فراتر از مواردی است که در اینجا به آنها اشاره شد و باید برای آنها راهکاری اندیشیده شود. وقوع بسیاری از حوادث حاکی از آن است که پروژههای در معرض خطر، یا اقدامات امنیتی را کم اهمیت شمردهاند یا آنها را به طور کلی نادیده گرفتهاند. گیمفای بخش مهمی از آینده صنعت گیمینگ است و پروژهها باید با رعایت مسائل امنیتی، منافع جوامع خود را در اولویت قرار دهند. با توجه به نکاتی که در این مقاله خواندید، آیا تامین امنیت حوزه گیمفای اکنون به خوبی انجام میشود؟ فکر میکنید اجرای برنامههای باگ بانتی چقدر به رفع نقایص امنیتی پروژههای گیمفای کمک میکند؟
