مشکلات امنیتی گیمفای کدام‌اند؟ آشنایی با رایج‌ترین چالش‌های GameFi

پروژه‌های گیمفای، پروژه‌هایی هستند که با ترکیب تکنولوژی بلاکچین و صنعت گیمینگ (Gaming)، پلتفرم‌هایی را برای دارایی‌های درون بازی به وجود می‌آورند. این پلتفرم‌ها با ایجاد مدل‌های بازی برای کسب درآمد (P2E) شرایطی را مهیا می‌کنند تا بازیکنان بتوانند پاداش‌های کریپتویی به دست بیاورند. مزیت دیگر پلتفرم‌های گیمفای این است که گیمرها و بازیکنان، مالکیت واقعی و کنترل کامل دارایی‌های خود را بر عهده دارند. اگرچه محبوبیت پروژه‌های گیم فای روز‎به‌روز بیشتر می‌شود، اما برخی تیم‌ها با فدا کردن کیفیت در ازای سرعت و در نتیجه اقدامات امنیتی ضعیف، اعضای جامعه را در معرض زیان‌های قابل‌توجهی قرارمی‌دهد. این صنعت همواره در چرخه عمر خود با تهدیدات امنیتی قابل توجهی از سوی هکرها مواجه بوده است. با میهن بلاکچین همراه باشید تا ببینیم چالش‌ها و مشکلات امنیتی پروژه‌ های گیمفای در چه زمینه‌هایی است.

نکات کلیدی مقاله: ◾ مشکلات امنیتی پروژه‌های GameFi را می‌توان در دو گروه آنچین و آفچین دسته‌بندی کرد. ◾ چالش‌های امنیتی آنچین بیشتر شامل مدیریت توکن‌های ERC-20 و توکن‌های بی‌همتا (NFT)، ایمنی پل‌های میان‌زنجیره‌ای و حاکمیت سازمان‌های مستقل غیرمتمرکز (DAO) می‌شود. ◾ چالش‌های امنیتی آفچین گیمفای، مسائل مربوط به سرورها و رابط‌های وب را دربر می‌گیرد. ◾ پروژه‌های گیم‌فای باید برخی اقدامات امنیتی از قبیل  انجام آدیت‌ (Audit) و حسابرسی‌های دقیق، شناسایی آسیب‌پذیری‌ها، تست نفوذ و اجرای بهترین رویکردهای عملیاتی و اقدامات کنترلی را در اولویت خود قرار دهند.

چرا امنیت پروژه‌های گیمفای اهمیت دارد؟

صنعت گیمفای به خاطر ارائه مدل «بازی برای کسب درآمد» و فراهم‌کردن فرصت‌های مالی جدید برای بازیکنان، سال ۲۰۲۱ با را استقبال گسترده کاربران پشت‌ سر گذاشت. در سال ۲۰۲۲، پروژه‌های «کسب درآمد در ازای حرکت» (Move To Earn) نقش برجسته‌تری در رشد گیمفای داشتند. به طور کلی در سال ۲۰۲۲، گیمفای با اختصاص ۹.۵ درصد از کل بودجه صنعت کریپتو و رشد سالانه بیش از ۱۱۸ درصد، برترین بخش بازار ارزهای دیجیتال بود.

مهم‌ترین تفاوت گیمفای با گیمینگ سنتی، امکان هک‌شدن دارایی‌های استیک‌شده کاربران و در نتیجه ضرر و زیان‌ قابل‌توجه آن‌ها است. در بدبینانه‌ترین سناریوها، نقایص امنیتی گیمفای می‌توانند منجر به سقوط و بسته‌شدن یک پروژه شود.

به طور مثال در سال ۲۰۲۲ هکرها با سوء استفاده از درب پشتی (Backdoor) در یک نود فراخوانی تابع از راه دور (RPC)، به امضایی در پروژه گیمفای اکسی اینفینیتی (Axie Infinity) دست پیدا کردند. هکرها با استفاده از این نقص امنیتی، در مجموع نزدیک به ۶۰۰ میلیون اتر (ETH) را به صورت غیرمجاز برداشت کردند. هر گونه آسیب‌پذیری در پروژه‌های گیمفای منجر به ضررهای هنگفتی برای سرمایه‌گذاران و بازیکنان می‌شود. همین موضوع اهمیت امنیت این پروژه‌ها را دوچندان می‌کند. در ادامه مشکلات امنیتی پروژه‌های GameFi را در دو بخش آنچین و آفچین بررسی می‌کنیم.

مشکلات امنیتی آنچین در پروژه‌های گیمفای

مشکلات امنیتی در پروژه‌های گیم فای در بخش آنچین را می‌توان در چهار دسته زیر تقسیم‌بندی و معرفی کرد. برویم و با این مشکلات و چالش‌ها آشنا شویم.

۱. آسیب‌پذیری‌توکن‌های ERC-20

معمولا از توکن‌های ERC-20 در پروژه‌های گیمفای به عنوان یک ارز مجازی برای خریدهای درون بازی، مکانیزم‌های پاداش‌دهی به بازیکنان و ابزاری برای معاملات استفاده می‌شود. مدیریت و مینت نادرست این‌ توکن‌ها می‌تواند خطرات امنیتی را رقم بزند. ورود مجدد (Reentrancy) یکی از آسیب‌پذیری‌های رایج است که ممکن است در طول فرایند مینت اتفاق بیفتد. هکر می‌تواند با سوءاستفاده از حفره امنیتی منطقی موجود در قرارداد، یک تابع خاص را به طور مکرر اجرا کند. این سوءاستفاده منجر به ضرب نامحدود توکن‌ها می‌شود.

ثبات و کمیت توکن‌های ERC-20 نقش به‌سزایی در قابلیت اجرای بازی و پایداری آن دارد؛ از این رو پروژه‌ها باید منطق کدها را رعایت کنند و عرضه کل این توکن‌ها را به طور جدی تحت کنترل بگیرند.

پروژه گیمفای دیفای کینگدامز (DeFi Kingdoms) که از نوع بازی‌های P2E است، در سال ۲۰۲۲ مورد حمله «مینت مخرب» قرار گرفت. برخی بازیکنان با استفاده از آسیب‌پذیری منطق بازی، توکن‌های بومی قفل‌شده بازی را مینت کردند. این اقدام منجر به سقوط قیمت توکن بومی بازی DeFi Kingdoms شد.

۲. آسیب‌پذیری توکن‌های بی‌همتا

توکن‌های بی‌همتا در پروژه‌های گیمفای به عنوان دارایی‌های مجازی درون بازی و معمولا در قالب تجهیزات، اداوات جنگی و اقلام استفاده می‌شوند. مالکیت کامل NFTها بر عهده بازیکنان است؛ همچنین ارزش این دارایی‌ها از طریق کنترل تورم و کمیابی حفظ می‌شود. با این‌همه، استفاده نادرست از NFTها می‌تواند منجر به آسیب‌پذیری‌های امنیتی شود.

ارزش NFTها وابسته به کمیابی ویژگی تجهیزات یا ادوات است. بازیکنان نیز معمولا به دنبال کمیاب‌ترین توکن‌های بی‌همتا هستند. در فرایند مینت NFT، ممکن است از اطلاعات مربوط به بلاک مانند برچسب زمانی (Timestamp) به عنوان یک منبع تصادفی ضعیف برای تولید NFT با سطح متفاوتی از کمیابی استفاده شود. یک ماینر می‌تواند با دستکاری زمان ضرب، NFTهای کمیاب را به طور مخرب ضرب کند.

حتی یک منبع تصادفی قابل اعتماد مانند تابع تصادفی قابل تایید چین لینک (Chainlink VRF) نمی‌تواند همه ریسک‌ها و خطرات را از بین ببرد. کاربران مخرب (هکرها) می‌توانند زمانی که شناسه‌ توکن نامطلوب است، عملیات استخراج را قطع کنند و این کار را تا استخراج یک NFT کمیاب ادامه دهند.

ممکن است آسیب‌پذیری‌های احتمالی قراردادهای هوشمند هنگام معامله یا انتقال توکن‌های NFT رخ دهد. به طور مثال برای انتقال NFTهای استاندارد ERC 721 از تابع ()safeTransferFrom استفاده می‌شود. زمانی که گیرنده یک آدرس قرارداد باشد، از تابع ()onERC721Received برای فراخوانی مجدد استفاده می‌شود. در این شرایط احتمال حمله ورود مجدد وجود دارد و مهاجم می‌تواند منطق را در تابع ()onERC721Received اعمال کند.   

در میان NFTهای مبتنی بر استاندارد ERC-1155 نیز احتمال این خطر وجود دارد. در حقیقت تابع ()safeTransferFrom با راه‌اندازی تابع ()onERC1155Received، فرصت حمله ورود مجدد را برای مهاجم فراهم می‌کند.

۳. آسیب‌پذیری بریج‌ها

کاربران پروژه‌های گیمفای با استفاده از پل‌های میان‌زنجیره‌ای می‌توانند دارایی‌های درون بازی را در شبکه‌های مختلف معامله کنند. وجود این پل‌ها برای بهبود تجربه کاربری و تقویت نقدینگی پروژه‌های دیفای ضروری است. یکی از مهم‌ترین ریسک‌های مرتبط با بریج‌های میان‌زنجیره‌ای، از ناسازگاری دارایی‌های درون بازی نشات می‌گیرد. قراردادهای هر دو طرف پل باید اعلام کنند که مقدار دارایی یکسانی پذیرفته و سوزانده می‌شود. به هر حال هکرها می‌توانند با استفاده از نقایص امنیتی قراردادها در بخش تایید و حسابداری، وضعیت تعداد زیادی از دارایی‌ها را به طور ناگهانی و یک‌باره به خطر بیندازند.

۴. آسیب‌پذیری حاکمیت‌های دائو

بسیاری از پروژه‌های گیمفای به‌وسیله دائوها اداراه می‌شوند. در صورتی که اکثر توکن‌های حاکمیتی متعلق به چند بازیگر بزرگ معدود باشد، ممکن است پروژه را با خطر متمرکز شدن مواجه کند. قراردادهای هوشمند مشمول قوانین حاکمیت دائو نیز یک حفره امنیتی به شمار می‌روند؛ زیرا راهی برای دسترسی هکرها به خزانه دائو هستند.

چالش‌های امنیتی آفچین در پروژه‌های گیمفای

اکثر پروژه‌های گیمفای برای مواردی از قبیل عملیات Back-End، رابط‌های وب یا اپلیکیشن‌های موبایلی به سرورهای متمرکز آفچین وابسته هستند. این سرورها از اطلاعات مهمی مانند داده‌های بازی و اکانت‌ بازیکنان پشتیبانی می‌کنند و در برابر حملات مخربی از قبیل بدافزار اسب تروجان و نفوذ آسیب‌پذیر هستند.

در مبحث NFTها، متادیتا شامل اطلاعات توصیفی مهمی است که به صورت خارج از زنجیره و در قالب فایل JSON ذخیره می‌شود. بسیاری از پروژه‌های گیمفای به جای استفاده از زیرساخت‌های غیرمتمرکزی مانند IPFS، متادیتای توکن‌های بی‌همتای خود را روی سرورهای متمرکز ذخیره می‌کنند. این کار احتمال دستکاری متادیتا توسط هکرها را افزایش می‌دهد و منجر به نقض حقوق بازیکنان می‌شود.

در مسائل امنیتی مربوط به پل‌های میان‌زنجیره‌ای، احتمال دسترسی فرد مهاجم به کلیدهای خصوصی یا امضای ولیدیتورها از طریق حملات نفوذ یا فیشینگ وجود دارد. هکرها می‌تواند با سوء استفاده از زیرساخت، یک اکسپلویت (کد مخرب) را برای کنترل دارایی‌های درون بازی اجرا کنند.

ممکن است هکرها در طول انتقال داده، کد مخرب را در شبکه اعمال کنند یا کنترل شبکه را به دست بگیرند. همچنین ممکن است فرد مهاجم با تغییر پکیج داده، شارژ اعتباری‌اش را به صورت تقلبی افزایش دهد و با استفاده از این مبلغ، دارایی‌های بازی را به‌دست بیاورد.

رابط‌های فرانت‌اند، گزینه دیگری برای انجام اقدامات مخرب هستند. اگر در تابلوی امتیازات یک بازی نشت اطلاعاتی رخ دهد، هکرها می‌توانند با ارسال اطلاعات مربوط به آدرس لورفته، سایر اطلاعات حساس مربوطه را به دست بیاورند.

راهکارهای افزایش امنیت در پروژه‌های گیمفای

برای حفظ امنیت پروژه‌های گیمفای، رعایت نکات ایمنی در تمام مراحل اهمیت بسیاری دارد. مهم‌ترین رکن موفقیت پروژه‌های گیمفای، اطمینان از بی‌عیب‌و نقص‌بودن کد قرادادهای هوشمند است. نوشتن کدهای باکیفیت، اجرای آدیت و بازبینی کد به طور مستمر و اعمال تایید رسمی قرارداد هوشمند از جمله اقداماتی است که در این زمینه می‌توان انجام داد.

تامین امنیت سرور و سایر اجزای زیرساخت هم مهم و حیاتی است و برای شناسایی آسیب‌پذیری‌های احتمالی باید تست نفوذ انجام شود. برای انجام تست نفوذ سیستم‌های مبتنی بر بلاکچین و برنامه‌های غیرمتمرکز (DApps)، باید به ویژگی‌های نسل سوم وب (Web ۳) هم توجه داشت؛ از این رو در خصوص کیف‌پول‌های دیجیتال و پروتکل‌های غیرمتمرکز باید نکات احتیاطی ویژه‌ای رعایت شود.

در پروژه‌های گیمفای نکات دیگری مانند «پروسه ایمن زمان اجرا» و «واکنش کامل در شرایط اضطراری» هم باید رعایت شود. پروسه ایمن زمان اجرا، شامل اقداماتی از قبیل نظارت بر رویدادهای امنیتی ایجادشده، افزایش امنیت محیطی و اجرای برنامه‌های باگ بانتی (Bug Bounty Program) است. همچنین پروژه‌ها باید یک فرایند واکنش کامل به شرایط اضطراری را توسعه دهند که شامل مواردی مانند دسترسی و مدیریت حد ضرر (Stop Loss)، ردیابی حمله و آنالیز مسائل باشد.

سوالات متداول (FAQ)

• مهم‌ترین مشکلات امنیتی پروژه‌های گیمفای کدام‌اند؟
  این مشکلات در دو گروه آنچین و آفچین دسته‌بندی می‌شوند که از میان آنها می‌توان به مشکلات مرتبط با توکن‌های ERC-20 و NFTها، بریج‌ها، حاکمیت دائو، سرورها، رابط‌ها و اجرای کدهای مخرب اشاره کرد.
• راه‌حل مقابله با چالش‌های امنیتی GameFi چیست؟
  توجه به صحت کدهای قرارداد هوشمند، تامین امنیت سرور، انجام تست نفوذ و اقداماتی نظیر برنامه‌های باگ بانتی.

سخن پایانی

مشکلات امنیتی پروژه‌ های گیمفای در دو گروه آنچین و آفچین قابل بررسی هستند. مشکلات مربوط به آسیب‌پذیری‌ توکن‌های ERC-20، توکن‌های بی‌همتا، بریج‌ها و حاکمیت دائو در گروه آنچین قرار دارند. مسائل امنیتی آفچین نیز به سرورها، رابط‌ها و اجرای کدهای مخرب مربوط می‌شود. به هر حال این مشکلات فراتر از مواردی است که در اینجا به آن‌ها اشاره شد و باید برای آن‌ها راهکاری اندیشیده شود. وقوع بسیاری از حوادث حاکی از آن است که پروژه‌های در معرض خطر، یا اقدامات امنیتی را کم اهمیت شمرده‌اند یا آن‌ها را به طور کلی نادیده گرفته‌اند. گیمفای بخش مهمی از آینده صنعت گیمینگ است و پروژه‌ها باید با رعایت مسائل امنیتی، منافع جوامع خود را در اولویت قرار دهند. با توجه به نکاتی که در این مقاله خواندید، آیا تامین امنیت حوزه گیمفای اکنون به خوبی انجام می‌شود؟ فکر می‌کنید اجرای برنامه‌های باگ بانتی چقدر به رفع نقایص امنیتی پروژه‌های گیمفای کمک می‌کند؟