本文為社區投稿。作者為整體區塊鏈安全公司Salus Security的智慧合約審計師Zhangchi Qin。

本文的觀點是投稿人/作者的觀點，未必反應幣安學院的觀點。

摘要：

• GameFi專案面臨的安全挑戰大致可以歸類為鏈上和鏈下問題。

• 鏈上安全挑戰主要涉及ERC-20代幣和NFT的管理、跨鏈橋的安全以及去中心化自治組織(DAO)的治理。

• 而鏈下挑戰則通常與網路介面和伺服器有關。

• GameFi專案應優先考慮安全防護措施，例如嚴格審計、漏洞掃描和滲透測試，並實施最佳營運實務和業務控制。

導語 

GameFi將區塊鏈技術與遊戲結合，創造出以遊戲內資產和數位貨幣為特色的去中心化平台。它通常採用邊玩邊賺(P2E)模式，讓玩家可以獲得加密貨幣獎勵。 GameFi還能賦予遊戲玩家真正的所有權和對遊戲內資產的完全控制權。

儘管GameFi越來越受歡迎，但它在整個生命週期中都會面臨來自駭客的持續而嚴重的威脅。有些項目可能更重視速度（而不是品質），因此缺乏健全的安全預防措施，這往往會使社區和創作者都面臨重大損失的風險。

為什麼GameFi安全很重要？

GameFi在2021年經歷了可觀的成長，其P2E模式為玩家提供了新的遊戲內增收機會。 2022年，邊動邊賺(move-to-earn)進一步凸顯了GameFi的成長潛力。 GameFi是2022年加密貨幣的頭部產業，約佔產業總資金的9.5%，較去年同期成長超過118%。

GameFi與傳統遊戲不同，因為用戶面臨的風險更大，任何駭客攻擊都可能會帶來重大損失。在極端情況下，安全漏洞可能會導致專案終止。

例如，2022年，攻擊者利用遠端過程呼叫(RPC)節點中的後門，取得GameFi專案Axie Infinity的簽章，從而可以進行未經授權的提款，盜走了總額近6億美元的ETH。 GameFi專案中的任何漏洞都可能對投資者和玩家造成巨大損失，這更凸顯了GameFi安全的至關重要。

鏈上安全挑戰

ERC-20代幣漏洞

在GameFi專案中，ERC-20代幣經常用作遊戲內購買的虛擬貨幣、玩家獎勵機制和交換手段。

ERC-20代幣的鑄造和管理不當可能會帶來安全風險。在鑄造過程中可能會出現一種稱為「可重入性」的常見漏洞。攻擊者可以利用合約中的邏輯漏洞，重複執行特定功能，從而無限鑄造代幣。

作為通用的遊戲內貨幣，ERC-20代幣的穩定性和數量決定了遊戲的可玩性和可持續性。因此，專案應保證代碼邏輯並嚴格控制ERC-20代幣的總供應量。

P2E GameFi專案DeFi Kingdoms就在2022年遭到了惡意ERC-20鑄幣的攻擊。一些玩家利用邏輯漏洞鑄造了遊戲的鎖定原生代幣，導致代幣價格隨後暴跌。

NFT漏洞

裝備或道具的稀有度會反映在NFT的價值上，玩家通常會尋找最稀有的NFT。在NFT鑄造過程中，諸如時間戳之類的區塊相關資訊可能被用作生成不同稀有度等級的NFT的弱隨機來源。礦工可以在某種程度上操縱區塊時間戳，從而惡意鑄造更罕見的NFT。

即使是可靠的隨機性來源，例如Chainlink VRF（可驗證隨機函數），也無法消除所有風險。惡意用戶可以在鑄造出不必要的NFT代幣ID時撤銷操作，然後一直重複這個過程，直到鑄造出稀有的NFT。

當玩家交易和轉移NFT時，可能會出現潛在的智能合約漏洞。例如，函數safeTransfrom ()是用來轉移ERC-721 NFT。當接收方是合約位址時，將觸發函數onerc721Reaceived ()進行回呼。還有重入攻擊的潛在風險，攻擊者可以在erc721Reaceived ()上決定函數中的邏輯。

ERC-1155 NFT中也有這種風險，即函數safeTransform ()觸發函數onerc1155Received ()並允許攻擊者進行重做入攻擊。

跨鏈橋漏洞 

GameFi中跨鏈橋的一個主要風險來自遊戲內資產之間的不一致。跨鏈橋兩邊的合約應保證接受和銷毀的資產數量相同。但是，由於合約的驗證和結帳存在漏洞，攻擊者就可以入侵合約，並憑空創建大量資產。

DAO治理漏洞

許多GameFi專案都由DAO管理，如果大多數治理代幣歸少數大型參與者所有，這可能會帶來中心化風險。定義DAO治理規則的智慧合約為潛在的風險開啟了另一個豁口，因為攻擊者可以找到存取DAO函式庫的方法。

鏈下安全挑戰

大多數GameFi專案的後端維運、網路介面或行動應用仍然依賴鏈下中心化伺服器。這些伺服器會儲存關鍵訊息，包括遊戲資料和所有者帳戶，它們容易受到滲透和木馬惡意軟體等惡意攻擊。

NFT的元資料包含重要的描述性訊息，並作為JSON檔案儲存在鏈外。但是，許多GameFi專案將其NFT元資料儲存在自己的中心化伺服器上，而不是使用IPFS等去中心化基礎架構。這增加了相關方或攻擊者篡改元資料的可能性，從而可能侵犯玩家的權利。

在使用跨鏈橋的情況下，攻擊者可以透過滲透或網路釣魚攻擊來取得驗證者的簽章或私鑰。他們可以破壞基礎架構並利用漏洞來控制遊戲內資產。

在資料傳輸過程中，攻擊者可能會劫持網路封包並注入惡意程式碼。透過修改資料包，攻擊者可以實現虛假充值，並篡改單位購買金額以獲得更多遊戲道具。

前端介面也為攻擊者提供了另一種惡意滲透系統的途徑。如果某款遊戲的排行榜出現資訊洩露，攻擊者可以將洩露的地址相關資訊傳送到伺服器，以獲取相應的敏感資訊。

如何提高安全性

要保護GameFi項目，一定要在每個階段都要謹慎行事。確保完美無缺的智慧合約程式碼是GameFi專案成功的基礎——這涉及編寫高品質的程式碼、進行定期審計以及使用正式的智能合約驗證。

維護伺服器和其他基礎架構組件的安全性也至關重要；應該進行滲透測試，及時檢測可能的漏洞。使用DApp和基於區塊鏈的系統進行滲透測試時，可以利用Web3功能。因此，必須對數位錢包和去中心化協議採取特定的預防措施。

GameFi專案也應遵循其他最佳實踐，包括安全的運行時流程和完整的緊急應變。前者涉及監控觸發的安全事件、強化環境安全、發布漏洞賞金計畫。

同時，專案必須制定完整的緊急應變流程，包括停損處置、攻擊追蹤和問題分析等面向。

結語

GameFi的安全漏洞其實不限於本文中提到的漏洞，許多事件表明，許多專案都忽略或淡化了安全風險。 GameFi是未來遊戲業態的重要組成部分。因此，各個項目應始終關注安全問題，將社區的利益放在首位。

延伸閱讀

• GameFi的概念及其運作原理

• NFT遊戲概念及其運作原理簡介

• 什麼是智慧合約安全審計？

免責聲明與風險提示：本文內容以「現況」提供，僅作一般資訊及教育用途，不構成任何陳述或保證。本文不應被理解為財務、法律或其他專業建議，且未推薦您購買任何特定產品或服務。如需投資諮詢，請尋求專業意見。如果文章是由第三方貢獻者提供的，請注意：這些觀點屬於第三方貢獻者，不一定反映幣安學院的觀點。欲知詳情，請點擊此處參閱我們的《免責聲明》全文。數位資產價格可能會有所波動。您的投資價值可能會下跌或上漲，且您可能無法收回投資本金。您對自己的投資決策全權負責，幣安對您可能遭受的任何損失概不負責。本文所有內容均不構成財務、法律或其他專業建議。如需其他信息，請參閱我們的《使用條款》和《風險提示》。