ChainEpic – 区块链行情分析平台

标签: GameFi

  • GameFi有哪些常见的安全问题?

    摘要:

    • GameFi项目面临的安全挑战大致可以归类为链上和链下问题。
    • 链上安全挑战主要涉及ERC-20代币和NFT的管理、跨链桥的安全以及去中心化自治组织(DAO)的治理。
    • 而链下挑战则通常与网络接口和服务器有关。
    • GameFi项目应优先考虑安全防护措施,例如严格审计、漏洞扫描和渗透测试,并实施最佳运营实践和业务控制。

    导语 

    GameFi将区块链技术与游戏相结合,创建出以游戏内资产和数字货币为特色的去中心化平台。它通常采用边玩边赚(P2E)模式,让玩家可以获得加密货币奖励。GameFi还能赋予游戏玩家真正的所有权和对游戏内资产的完全控制权。

    尽管GameFi越来越受欢迎,但它在整个生命周期中都会面临来自黑客的持续而严重的威胁。有些项目可能更看重速度(而不是质量),因此缺乏健全的安全预防措施,这往往会使社区和创作者都面临重大损失的风险。

    为什么GameFi安全很重要?

    GameFi在2021年经历了可观的增长,其P2E模式为玩家提供了新的游戏内增收机会。2022年,边动边赚(move-to-earn)进一步凸显了GameFi的增长潜力。GameFi是2022年加密货币的头部行业,约占行业总资金的9.5%,同比增长超过118%。

    GameFi与传统游戏不同,因为用户面临的风险更大,任何黑客攻击都可能会带来重大损失。在极端情况下,安全漏洞可能会导致项目终止。

    例如,2022年,攻击者利用远程过程调用(RPC)节点中的后门,获取GameFi项目Axie Infinity的签名,从而可以进行未经授权的提款,盗走了总额近6亿美元的ETH。GameFi项目中的任何漏洞都可能给投资者和玩家造成巨大损失,这更凸显了GameFi安全的至关重要。

    链上安全挑战

    ERC-20代币漏洞

    在GameFi项目中,ERC-20代币经常用作游戏内购买的虚拟货币、玩家奖励机制和交换手段。

    ERC-20代币的铸造和管理不当可能会带来安全风险。在铸造过程中可能会出现一种称为“可重入性”的常见漏洞。攻击者可以利用合约中的逻辑漏洞,重复执行特定功能,从而无限铸造代币。

    作为通用的游戏内货币,ERC-20代币的稳定性和数量决定了游戏的可玩性和可持续性。因此,项目应保证代码逻辑并严格控制ERC-20代币的总供应量。

    P2E GameFi项目DeFi Kingdoms就在2022年遭到了恶意ERC-20铸币的攻击。一些玩家利用逻辑漏洞铸造了游戏的锁定原生代币,导致代币价格随后暴跌。

    NFT漏洞

    NFT主要用作GameFi项目中的游戏内虚拟资产,包括装备、道具和纪念品。它们可为玩家提供明确的所有权,并可以通过控制通货膨胀和稀缺来维持稳定的价值。但是,不当使用NFT可能会引入安全漏洞。

    装备或道具的稀有度会反映在NFT的价值上,玩家通常会寻找最稀有的NFT。在NFT铸造过程中,诸如时间戳之类的区块相关信息可能被用作生成不同稀有度级别的NFT的弱随机来源。矿工可以在某种程度上操纵区块时间戳,从而恶意铸造更罕见的NFT。

    即使是可靠的随机性来源,例如Chainlink VRF(可验证随机函数),也不能消除所有风险。恶意用户可以在铸造出不需要的NFT代币ID时撤消操作,然后一直重复该过程,直到铸造出稀有的NFT。

    当玩家交易和转移NFT时,可能会出现潜在的智能合约漏洞。例如,函数safeTransfrom ()是用于转移ERC-721 NFT。当接收方是合约地址时,将触发函数onerc721Reaceived ()进行回调。还有重入攻击的潜在风险,攻击者可以在erc721Reaceived ()上决定函数中的逻辑。 

    ERC-1155 NFT中也有这种风险,即函数safeTransform ()触发函数onerc1155Received ()并允许攻击者进行重入攻击。

    跨链桥漏洞 

    GameFi中会使用跨链桥来允许用户通过不同的网络交换游戏内资产。它们对于增强GameFi的体验和流动性也至关重要。

    GameFi中跨链桥的一个主要风险来自游戏内资产之间的不一致。跨链桥两边的合约应保证接受和销毁的资产数量相同。但是,由于合约的验证和结账存在漏洞,攻击者就可以入侵合约,凭空创建大量资产。

    DAO治理漏洞

    许多GameFi项目都由DAO管理,如果大多数治理代币归少数大型参与者所有,这可能会带来中心化风险。定义DAO治理规则的智能合约为潜在的风险开辟了另一个豁口,因为攻击者可以找到访问DAO库的方法。

    链下安全挑战

    大多数GameFi项目的的后端运维、网络接口或移动应用仍然依赖链下中心化服务器。这些服务器会存储关键信息,包括游戏数据和所有者账户,它们容易受到渗透和木马恶意软件等恶意攻击。

    NFT的元数据包含重要的描述性信息,并作为JSON文件存储在链外。但是,许多GameFi项目将其NFT元数据存储在自己的中心化服务器上,而不是使用IPFS等去中心化基础设施。这增加了相关方或攻击者篡改元数据的可能性,从而可能会侵犯玩家的权利。

    在使用跨链桥的情况下,攻击者可以通过渗透或网络钓鱼攻击获取验证者的签名或私钥。他们可以破坏基础架构并利用漏洞来控制游戏内资产。

    在数据传输过程中,攻击者可能会劫持网络数据包并注入恶意代码。通过修改数据包,攻击者可以实现虚假充值,并篡改单位购买金额获得更多游戏道具。

    前端接口也为攻击者提供了另一种恶意渗透系统的途径。如果某款游戏的排行榜出现信息泄露,攻击者可以将泄露的地址相关信息发送到服务器,以获取相应的敏感信息。

    如何提高安全性

    要保护GameFi项目,一定要在每个阶段都要谨慎行事。确保完美无缺的智能合约代码是GameFi项目成功的基础——这涉及编写高质量的代码、进行定期审计以及使用正式的智能合约验证。

    维护服务器和其他基础架构组件的安全性也至关重要;应该进行渗透测试,及时检测可能的漏洞。使用DApp和基于区块链的系统进行渗透测试时,可以利用Web3功能。因此,必须对数字钱包和去中心化协议采取特定的预防措施。

    GameFi项目还应遵循其他最佳实践,包括安全的运行时流程和完整的应急响应。前者涉及监控触发的安全事件、强化环境安全以及发布漏洞赏金计划。

    同时,项目必须制定完整的应急响应流程,包括止损处置、攻击跟踪和问题分析等方面。

    结语

    GameFi的安全漏洞其实不局限于本文中提到的漏洞,许多事件表明,很多项目都忽略或淡化了安全风险。GameFi是未来游戏业态的重要组成部分。因此,各个项目应始终关注安全问题,将社区的利益放在首位。

  • GameFi的概念及其运作原理

    GameFi是指为玩家提供经济激励,可以边玩边赚的区块链游戏。玩家通常可以通过完成任务、与其他玩家对战以及通关升级来赚取加密货币和NFT奖励。

    与传统电子游戏不同的是,在多数区块链游戏中,玩家可以将游戏内的物品转出游戏的虚拟世界。玩家可以在NFT市场买卖物品,在加密货币交易平台使用赚得的加密货币进行交易。

    导语

    自Axie Infinity兴起以来,GameFi正在快速取代传统游戏行业。边玩边赚是GamiFi吸引玩家的利器。究竟什么是GameFi,它与我们熟悉的电子游戏又有何不同呢?

    什么是GameFi?

    GameFi由Game(游戏)和Finance(金融)两个词组合而成,意指为玩家提供经济激励,可以边玩边赚的区块链游戏。GameFi生态系统使用加密货币、非同质化代币(NFT)和区块链技术打造虚拟游戏环境。

    玩家通常可以通过完成任务、与其他玩家对战以及通关升级来赚取游戏内奖励,还可以将游戏资产转出,在加密货币交易平台和NFT市场进行交易。

    GameFi如何运作?

    GameFi中的奖励多种多样,包括加密货币以及虚拟土地、头像、武器、服饰道具等游戏内资产。每个GameFi项目的模式和游戏经济各不相同。多数游戏内资产是区块链中的NFT,可以直接在NFT市场进行交易。在其他部分项目中,游戏内资产需要先转换成NFT,才能卖出或交易。

    游戏内资产通常能给玩家创造福利,让他们赚得更多奖励。然而,部分游戏中的头像和皮肤只能呈现视觉效果,对玩法和奖励没有任何影响。

    不同游戏玩法不同。玩家通常可以通过完成任务、与其他玩家对战或在拥有的地块搭建货币化建筑来赚取奖励。 在某些游戏中,玩家可以将游戏资产质押或借贷给其他玩家,无需玩游戏也能获得被动收入。下面我们来了解一下GameFi的共性。

    边玩边赚模式(P2E)

    边玩边赚(P2E)这一创新游戏模式是GameFi项目的核心。该模式与传统电子游戏的付费游戏模式截然不同。在付费游戏中,玩家需要先投入资金才能开始游戏。例如,《使命召唤》这类电子游戏要求玩家购买授权或周期性订阅。

    传统电子游戏一般不会为玩家带来任何经济回报,游戏公司掌控所有游戏内资产。相比之下,玩家可以在P2E游戏中完全掌控自己的游戏内资产,更有机会赚得收益。

    必须注意的是,能否掌控资产完全取决于GameFi项目的模式和游戏设计。 区块链技术能够(也应当)让玩家全盘掌控游戏内资产,但现实并非如此。在参与P2E游戏前,玩家务必理解游戏的运作机制,了解项目的幕后团队。

    另须注意的是,部分P2E游戏在免费玩的同时还能产生经济奖励,另一些则需要在购买NFT或加密货币资产后才能开始游戏。因此,务必自己做好调研(DYOR),开展风险评估。如果一款P2E游戏需要注入大笔资金才能参与,并且奖励甚少,您的初始投资很可能血本无归。

    Axie Infinity是最受欢迎的边玩边赚游戏之一。2018年起,这款基于以太坊的NFT游戏人气持续上涨。玩家可使用NFT宠物(Axies)完成每日任务并与其他玩家对战,以此赚取SLP代币。 

    赢得一定的玩家对战(PvP)排名后还能获得AXS奖励。此外,AXS和SLP可用于繁殖新的Axie,新宠物可作为游戏内资产或在官方NFT市场进行交易。

    除买卖交易外,拥有宠物的玩家还可以将Axies借给其他人,即使自己不玩游戏依然能够赚取奖励。这种借贷模式称为“赞助计划”。获得赞助者可以用借入的Axies参与游戏并赚取奖励。 

    换言之,Axie的拥有者可以获得被动收入,而获得赞助者无需投资即可参与游戏。赚得的奖励由双方瓜分。

    数字资产所有权

    如前文所述,区块链技术让玩家拥有数字资产所有权,以各种方式将游戏内资产货币化。

    与电子游戏一样,玩家在游戏中拥有头像、宠物、房屋、武器、工具等资产。不同之处在于,GameFi中的资产可以按区块链中NFT的形式发行或创建(这一过程也称为“NFT铸造”),让玩家全盘掌控自己的资产。这些资产货真价实,所有权均可验证。

    部分热门元宇宙游戏,如《Decentraland》和《The Sandbox》,主打土地所有权概念,玩家可以在游戏中将虚拟土地货币化。在《The Sandbox》中,玩家可以购买虚拟房地产,通过开发地产创造收益。例如,他们可以向这片土地的访客收费,通过发布内容主题与举办活动赚取代币奖励,或将改造后的土地租给其他玩家。

    DeFi应用程序

    一些GameFi项目也有去中心化金融(DeFi)的产品和功能,如质押流动性挖矿与流动性挖矿等。玩家通常可以质押游戏内代币赚取奖励、解锁专属物品或参与全新游戏关卡。

    引入DeFi元素还能加深加密货币游戏的去中心化程度。传统游戏工作室集中掌控游戏更新,而在部分GameFi项目中,游戏社区的玩家可以参与更新决策。玩家可以通过去中心化自治组织(DAO)针对游戏日后的更新呈交提案和投票。

    例如,《Decentraland》的玩家可以在DAO中锁定治理代币(MANA),针对游戏内政策和组织性政策投票。锁定的代币越多,投票权力越大。玩家可以利用这一机制直接与游戏开发商沟通,为游戏开发建言献策。

    视频游戏属于GameFi吗? 

    在传统视频游戏中,玩家同样可以通过赚取游戏内货币和收集数字资产进行角色升级。然而,这些代币和物品不能(或不可以)在游戏外交易。在多数情况下,它们在游戏外毫无价值可言。即便有价值,玩家往往也无法在现实世界中买卖这些资产或将其货币化。

    在区块链游戏中,游戏内代币和资产往往是加密货币和NFT。部分区块链游戏使用虚拟代币,而非加密货币或NFT,但玩家仍可将游戏内资产转换成NFT。也就是说,玩家可以将收益转入加密货币钱包,并在加密货币交易平台或NFT市场交易资产,也可以将加密货币收益转换为法定货币。

    GameFi游戏入门指南

    市场中目前有数千款区块链游戏,这些游戏的运作机制也各不相同。玩家务必小心甄别,避免掉入诈骗项目和虚假网站的陷阱。随意从网站下载游戏或关联钱包均存在安全风险。理想的操作是新建专用的加密货币钱包,在个人承受范围内投资。如果您确定这款游戏安全可靠,可通过以下方式加入游戏。

    1.创建加密货币钱包

    若要参与GameFi游戏,您需要一款兼容的加密货币钱包(例如Trust Wallet或Metamask)。在不同游戏中,您可能需要使用不同的钱包或连接不同的区块链网络。

    例如,首先需要将MetaMask连入币安智能链网络,才能参与链上的区块链游戏。您也可以使用Trust Wallet或其他任何支持的加密货币钱包。您可以查看游戏官网,了解支持的钱包。

    还可以将加密货币钱包关联以太坊区块链,参与以太坊网络运行的大多数游戏。然而,《Axie Infinity》和《Gods Unchained》等游戏的开发商为游戏创建专属钱包,以此削减成本,提升游戏性能。

    虽然《Axie Infinity》构建于以太坊,但其团队开发了一条侧链,也就是Ronin网络。因此,您需要使用官方的Ronin钱包,才能与Axie Infinity生态系统交互。Ronin网络这条侧链显著降低了交易和繁殖Axie的成本以及Axie Infinity玩家的游戏成本。

    2.将钱包与游戏关联

    参与区块链游戏前,您需要将钱包与游戏关联。在关联时,需要仔细甄别游戏官网与虚假仿冒的网站。访问游戏网站,找到关联加密货币钱包的选项。

    传统在线游戏需要设置用户名和密码,但多数区块链游戏将加密货币钱包作为游戏帐户,因此玩家需要在钱包中签署一条消息才能将其与游戏关联。

    3.查看游戏要求 

    多数GameFi项目需要先购买加密代币或游戏内NFT才能参与。每款游戏要求不同,但在加入前务必了解其收益潜力和总体风险,估算赚回初始投资并开始盈利的时间。

    如需加入《Axie Infinity》,您需要在游戏钱包中预存3个Axie。访问Axie市场,使用Ronin钱包中的包装以太币(WETH)即可购买Axie。您可以先从币安等加密货币交易平台购买以太币,再使用Ronin桥将其转入Ronin钱包。欲了解详情,敬请阅读《如何使用Ronin钱包?》

    如果资金不足或不愿承担风险,您可以考虑寻找赞助计划,通过借入NFT参与游戏,但赚得的收益必须与NFT所有者共享。

    GameFi的未来

    2021年,GameFi项目数量猛增,未来可能会持续增加。截至2022年3月,DappRadar云集了超过1400款区块链游戏。热门游戏遍布多个区块链,包括以太坊、币安智能链(BCS)、Polygon、Harmony、Solana等。

    随着区块链技术不断升级,GameFi预计会延续快速发展的势头。拥有游戏内资产的同时还能边玩边赚,让GameFi吸引了一众玩家,在发展中国家更是极具吸引力。

    总结

    比特币诞生初期,人们就开始尝试简单的浏览器游戏,希望赚取比特币的收益。虽然比特币游戏尚未消失,但以太坊和智能合约的崛起显然让区块链游戏焕然一新,为玩家带来更精致、更有趣的游戏体验。

    显而易见的是,GameFi正在将娱乐与经济激励完美融合,不断吸引玩家。随着区块链游戏热度升温,大公司构建自己的元宇宙会成为普遍现象。