GameFi有哪些常见的安全问题？如何提高GameFi的安全性？

来源：世链nft数藏（shiliannft.com）

GameFi将区块链技术与游戏相结合，建立出以游戏内资产和数字货币为特色的去中心化平台。它一般采用边玩边赚(P2E)方式，让玩家可以获得数字货币奖赏。GameFi还能赋予玩家真正的所有权与对游戏内资产彻底控制权。虽然GameFi越来越流行，但它在整个生命周期中都面临着来自黑客的不断而严重的危胁。那么，GameFi有哪些常见的安全问题呢？又该如何提高GameFi的安全性呢？下面，我们一起来看看。

GameFi有哪些常见的安全问题？

一、链上安全挑战

1、ERC-20货币漏洞

在GameFi工程中，ERC-20货币常常用作游戏内购买的虚拟货币、玩家奖励制度和互换方式。

ERC-20货币的锻造和管理不当可能会带来安全隐患。在锻造环节中有可能出现一种称为“可重入性”的常见漏洞。攻击者可以借助合同里的逻辑漏洞，重复执行特定作用，进而无尽锻造货币。

做为通用的游戏内贷币，ERC-20货币的稳定数量决定了游戏的可玩度和可持续性。因此，项目应保证代码逻辑并严格控制ERC-20货币的总供给量。

P2EGameFi项目DeFi Kingdoms就在2022年遭到了恶意ERC-20铸币的攻击。一些玩家运用逻辑漏洞锻造了游戏的锁住原生代币，造成货币价钱随后狂跌。

2、NFT漏洞

NFT主要用作GameFi项目中的游戏内虚拟资产，包含装备、道具和纪念品。他们可为玩家提供明确的所有权，并可以通过控制通胀和稀有来维持稳定的价值。可是，不当应用NFT可能会引进安全漏洞。

装备或道具的稀有度会体现在NFT的价值上，玩家一般会寻找最稀少的NFT。在NFT锻造环节中，例如时间戳之类的区块有关信息可能被用作生成不同稀有度级别NFT的弱随机来源。矿工能够在一定程度上控制区块时间戳，进而恶意锻造更少见的NFT。

即便是可靠的偶然性来源，比如Chainlink VRF（可验证随机函数），也无法清除全部风险。恶意用户可以在铸造出没有用的NFT货币ID时注销操作，然后一直反复该过程，直至铸造出稀少的NFT。

当玩家交易和转移NFT时，有可能出现隐性的智能合约漏洞。比如，函数safe Transform()是用于迁移ERC-721NFT。当接收方是合约地址时，将开启函数onerc721Reaceived()开展调整。也有重入攻击潜在风险，攻击者可以在erc721Reaceived()上决定函数中的思路。

ERC-1155NFT里也有这种风险，即函数safe Transform()开启函数onerc1155Received()并允许攻击者开展重入进攻。

3、跨链桥漏洞

GameFi时会应用跨链桥来允许用户通过不同的网络交换游戏内财产。他们针对提高GameFi的感受和流通性也非常重要。

GameFi中跨链桥的一个主要风险来自游戏内财产之间的不一致。跨链桥两侧的合同应保证接受并消毁的财产数量相同。可是，因为合约的验证和结账存有漏洞，攻击者就可以侵略合同，凭空建立大量财产。

4、DAO整治漏洞

很多GameFi项目均由DAO管理，假如大部分治理代币归少数大型参加者全部，这可能会带来中心化风险。定义DAO整治规矩的智能合约为潜在的风险开创了另一个缺口，由于攻击者可以找到浏览DAO库的方式。

二、链下安全挑战

大部分GameFi项目的后面运维、网线端口或移动应用依然依靠链下中心化服务器。这些服务器会存放重要信息，包含游戏数据和所有者账户，他们容易受渗入和木马恶意程序等恶意攻击。

NFT的元数据包括重要的说明性信息，并成为JSON文档存储在链外。可是，很多GameFi项目把它NFT元数据存储在自己中心化服务器上，而非应用IPFS等去中心化基础设施。这增强了相关方或攻击者篡改元数据的概率，进而可能会侵害玩家的权利。

使用跨链桥的情形下，攻击者能通过渗入或网络钓鱼攻击获得验证者的签字或私钥。他们能够破坏系统架构并通过漏洞来控制游戏内财产。

在传输数据环节中，攻击者可能会挟持网络数据包并注入恶意程序。根据修改数据包，攻击者能够实现虚假充值，并篡改企业选购额度获得更多道具。

前面接口也为攻击者带来了另一种恶意渗入系统的途径。如果某款游戏的排名榜发生信息泄露，攻击者可以将泄漏地址有关信息发送到服务器，以获得相应的敏感信息。

如何提高GameFi的安全性？

要保护GameFi项目，一定要在每个阶段都要谨慎行事。保证恰如其分的智能合约代码是GameFi项目成功的基础——这涉及撰写高质量代码、进行定期审计及使用正规的智能合约验证。

维护服务器和其它系统架构部件安全性也非常重要；应当开展渗透测试，及时检验可能的漏洞。应用DApp和基于区块链的系统实现渗透测试时，可以借助Web3作用。因此，必须对数字钱包和去中心化协议采用特定防范措施。

GameFi项目还要遵循其他良好实践，包含安全的运行中流程及完整的应急处置。前者涉及监管触发的安全事故、加强环境安全及其公布漏洞赏金计划。

同时，项目必须制订完整的应急处置步骤，包含止损处理、进攻跟踪和问题分析等方面。

讲到这里，相信大家对于GameFi有哪些常见的安全问题，以及如何提高GameFi的安全性都有一定的了解了。总的来说，GameFi的安全漏洞其实不拘泥于本文中提到的漏洞，很多事情说明，很多项目都忽视或淡化了安全隐患。GameFi是未来游戏业态的重要组成部分。因此，每个项目应始终关注安全隐患，将社区的权益摆在首位。