Manarium play-to-earn (P2E) oyun platformunun kavram kanıtı (PoC) hack’i, araştırmacıların günlük turnuvaları kazanmak ve kripto jetonları toplamak için puanlarını keyfi olarak değiştirmelerine izin verirken, erişim için gereken ilk buy-in’den kaçındı. sistem.
P2E oyun (GameFi veya kripto oyun olarak da bilinir), bir tür oyun içi para birimi olarak değiştirilemez jetonların (NFT’ler) kullanılmasını içerir: Oyuncular, NFT’lerini avatarlar ve diğer rol yapma cihazları olarak kullanmak üzere diğer koleksiyonculara ve oyunculara satabilir ve onlar oyun kazanarak veya oyun içi reklam yoluyla kazanabilirler.
Birkaç model var ve şimdiye kadar P2E çılgınca başarılı oldu: “Kazanmak için oyna pazarı, Web 3.0’ın en büyük nişlerinden biri haline geldi”. Hacken’den bir analiz geçen Ağustos, eGamers web sitesinde yayınlandı. “Temmuz 2022 başı itibarıyla kazan-kazan projelerinin piyasa değeri 6,5 milyar dolar ve günlük işlem hacmi 850 milyon dolardan fazla.”
Yeni bir araştırmaya göre, merkezi olmayan finans (DeFi) alanında olduğu gibi, P2E oyunları aracılığıyla işlem gören kripto miktarının artması siber suçluların dikkatini çekti. Blaze Information Security’deki araştırmacılardan analiz. Böylece, Manarium platformunun güvenliğini test etmek için yola çıktılar ve yol boyunca üç düzeyde güvensizlikle karşılaştılar.
Oyun Sistemini Oynatmanın Kolay Yolları
Manarium örneğinde, platform her biri günlük bir turnuva sunan mini oyunları destekler. Kullanıcılar cüzdanlarını oyuna bağlar ve doğrulanır; 300 ARI ödüyorlar (bir tür NFT art ile değiştirilebilen jeton) önceden; daha sonra ödül havuzunun bir kısmını (daha fazla ARI şeklinde) kazanma umuduyla bir turnuvada oynarlar. Turnuva sona erdiğinde, oyunun arka uç sunucusu puanları hesaplar ve kazançları kullanıcıların doğrulanmış kripto para birimi cüzdanlarına ödemek için kazananların akıllı sözleşmelerine bağlanır.
İlk olarak, platformun JavaScript dosyalarından birini analiz ederken, Blaze araştırmacılarına açık bir şekilde adlandırılmış bir işlev sıçradı: “UpdateAccountScore.”
İşlev şu parametreleri iletir: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“\”wallet\”:\”USER_WALLET\”,\”score) \”:SCORE”) ve araştırmacılar, Oyun Penceresi yoluyla Manarium arayüzünün Konsol Sekmesi içinde bu parametreleri istedikleri zaman değiştirebildiklerini keşfettiler.
“Bu güvenlik açığı daha tehlikeli çünkü ödemeyi yaparken (kazananlar için) kullanıcının oyunu oynamak için başlangıç vergisini (300 ARI) ödeyip ödemediğini doğrulamadılar, bu nedenle bu kod satırını çalıştıran herhangi biri oynamadan jetonları alabilir. Oyun mu yoksa vergi mi ödüyoruz” analizine göre.
Manarium güvenlik açığını hızlı bir şekilde düzeltti, ancak karışıma sabit kodlanmış kimlik bilgileri eklediği için yamanın kendisi kusurluydu.
“Manarium Ekibi puan tablosunu gönderme şeklini değiştirdi [data] için [back-end] hizmeti, verileri göndermeden önce kimlik doğrulaması ekleyerek ve bu kimlik doğrulamanın yalnızca bir yönetici hesabı aracılığıyla yapılması gerektiğini” analize göre. “Sorun şuydu, Manarium Ekibi [admin] ‘Build.data’ dosyasındaki kimlik bilgileri.”
Bu, araştırmacıların kimlik bilgilerini girerek, bir kimlik doğrulama belirteci oluşturarak ve skoru güncelleyerek oyun verilerini manipüle etmesine izin verdi.
Yanıt olarak Manarium, istismarcıları ortadan kaldırmak için davranışsal analiz kullanan “Süper Hile Önleme” adını verdiği şeyi uyguladı.
Süper Hile Önleme Başarısız
Araştırmacıların detaylandırdığı gibi, “Hile önleme şu alanları doğrular: sessionTime, timeUTC ve skor; burada kullanıcının skor yapmak için yeterli zamana sahip olması gerekir. Başka bir deyişle, bir kullanıcı bir oturum süresinde 10 puan alırsa ikincisi, bu imkansız [and] hile önleme, olası bir hileciyi tespit edecektir.”
Ancak, Blaze araştırmacılarının hile önleme mekanizmasını aşması 20 dakikadan az sürdü. Zamanlanmış insan uyumlu bir modda yüksek bir puan oluşturacak bir insan davranışına (basit bir uyku ve bazı rastgele sayılar) sahip bir komut dosyası yarattılar. [way],” gönderiye göre. Ve yaralanmaya hakaret eklemek için, “senaryonun sonraki sürümlerinde, çoklu kullanım ve üç oyunun tümünü aynı anda kullanma desteğini uyguladık.”
Manarium nihayet, imzasız verilerin bir anahtar sistem kullanılarak bir kullanıcı tarafından değiştirilmesi veya üretilmesi için herhangi bir yolu ortadan kaldırarak sistemini kilitledi.
Blaze, düzeltmenin çalıştığını doğruladı, ancak av (oyun?) hala devam ediyor: “Gelecekteki araştırmalar, bu anahtarı aramaya ve yeniden yeni bir geçiş denemeye odaklanacak.”
GameFi: Düşük Performanslı Siber Güvenlik
Araştırma, kripto oyun sektörü etrafında büyüyen bir endişeye katkıda bulunuyor. Geçen Ağustos ayında Hacken tarafından yapılan bir analiz, P2E oyunlarının genel olarak “yetersiz” bir siber güvenlik hazırlığına sahip olduğu ve platformlardan birindeki büyük bir saldırının “sadece an meselesi” olduğu, çünkü “kârları güvenliğin önüne koyduğu” sonucuna vardı.
Ancak P2E oyuncuları ve yatırımcıları için risk yüksektir: Örneğin, Mart 2022’de 625 milyon dolarlık bir varlık soygunu Axie Infinity oyununda düzenlenen bu platformun, kullanıcı sayısında ve oyuncular tarafından haftalık olarak yatırılan para miktarında büyük bir düşüş görmesine yol açtı. Bu, sahip olduğu bir aksilik henüz iyileşmek için.
Hacken raporuna göre, “GameFi projeleri … en temel siber güvenlik tavsiyelerine bile uymuyor, kötü niyetli aktörlere saldırılar için çok sayıda giriş noktası bırakıyor” ve bu, P2E’nin ne kadar sulu bir hedef haline geldiği göz önüne alındığında, bunu büyük bir gözetim olarak nitelendiriyor.
“Bir ürünü veya uygulamayı ilk pazarlayan olmak istemek anlaşılır olsa da, bu dijital varlık oyunlarını zincir içi ve zincir dışı riskler için uygun güvenlik olmadan dağıtma riski, organizasyonu bir ana bilgisayar için riske atabilir. Siber güvenlik riskleri,” diyor Coalfire’da dağıtım dönüşümü ve otomasyon müdürü Karl Steinkamp.
“Bunun yerine kuruluşlar, lansmandan önce ve ardından periyodik ve yinelenen bir temelde platformlarının her bir bileşenini yeterince sağlamlaştırma hareketlerinden geçtiklerinden emin olmalıdır. Kuruluşlar, DArcher gibi araçları kullanabilir ve zincir içi ve zincir dışı riskleri yeterince ele aldıklarını doğrulamak gibi.”