أتاح اختراق إثبات المفهوم (PoC) لمنصة الألعاب Manarium play-to-win (P2E) للباحثين تغيير نتائجهم بشكل تعسفي للفوز بالبطولات اليومية وجمع الرموز المشفرة ، مع تجنب الاشتراك الأولي المطلوب للوصول إلى نظام.
تتضمن ألعاب P2E (المعروفة أيضًا باسم GameFi أو ألعاب التشفير) استخدام الرموز المميزة غير القابلة للفطريات (NFTs) كعملة من نوع ما داخل اللعبة: يمكن للاعبين بيع NFTs الخاصة بهم لهواة الجمع واللاعبين الآخرين لاستخدامها كأفاتار وغيرها من أجهزة لعب الأدوار ، ويمكنهم كسبها بالفوز بالألعاب أو من خلال الإعلانات داخل اللعبة.
توجد عدة نماذج ، وحتى الآن ، حققت P2E نجاحًا هائلاً: "أصبح سوق اللعب من أجل الربح أحد أكبر منافذ الويب 3.0" ، وفقًا لـ تحليل من هاكن في أغسطس الماضي ، نُشر على موقع eGamers الإلكتروني. "بلغت القيمة السوقية لمشاريع اللعب من أجل الربح ، اعتبارًا من بداية يوليو 2022 ، 6.5 مليار دولار ، وحجم التداول اليومي أكبر من 850 مليون دولار."
كما هو الحال في ساحة التمويل اللامركزي (DeFi)وفقًا للجديد تحليل من الباحثين في Blaze Information Security. لذلك ، شرعوا في اختبار أمان منصة Manarium وواجهوا ثلاثة مستويات من انعدام الأمن على طول الطريق.
طرق سهلة للعب نظام الألعاب
في حالة Manarium ، تدعم المنصة الألعاب الصغيرة التي تقدم كل منها دورة يومية. يقوم المستخدمون بتوصيل محافظهم باللعبة ويتم التحقق منهم ؛ يدفعون 300 ARI (نوع من الرمز المميز الذي يمكن تبديله بفن NFT) في ما قبل ؛ ثم يلعبون في دورة على أمل الفوز بجزء من مجموع الجوائز (في شكل المزيد من ARI). عندما تنتهي البطولة ، يقوم الخادم الخلفي للعبة بحساب النتائج ، ويتصل بالعقود الذكية للفائزين من أجل دفع الأرباح لمحافظ المستخدمين للعملات المشفرة التي تم التحقق منها.
أولاً ، عند تحليل أحد ملفات JavaScript الخاصة بالمنصة ، قفزت وظيفة مسماة بوضوح إلى باحثي Blaze وهي: "UpdateAccountScore".
تمرر الوظيفة المعلمات التالية: firebase.firestore (). collection (“GameName”). doc (“USER_WALLET”). set (JSON.parse (“{” wallet ”:” USER_WALLET “،” Score ”: SCORE}“ ) ، ووجد الباحثون أنهم كانوا قادرين على تغيير هذه المعلمات حسب الرغبة داخل علامة تبويب وحدة التحكم بواجهة Manarium عبر نافذة اللعبة.
"تعتبر هذه الثغرة الأمنية أكثر خطورة لأنها لم تتحقق مما إذا كان المستخدم قد دفع الضريبة الأولية (300 ARI) للعب اللعبة عند إجراء الدفع (للفائزين) ، لذلك يمكن لأي شخص ينفذ للتو سطر الرمز هذا تلقي الرموز المميزة دون اللعب اللعبة أو دفع الضريبة "بحسب التحليل.
قام Manarium بسرعة بإصلاح الثغرة الأمنية ، لكن التصحيح نفسه كان معيبًا لأنه أضاف بيانات اعتماد مضمنة في هذا المزيج.
"قام فريق Manarium بتغيير طريقة إرسال لوحة النتائج [البيانات] إلى الخدمة [الخلفية] ، عن طريق إضافة المصادقة قبل إرسال البيانات ، ويجب أن تتم هذه المصادقة فقط عبر حساب مسؤول" ، وفقًا للتحليل. "كانت المشكلة هي أن فريق Manarium قام بترميز بيانات اعتماد [admin] في ملف" Build.data. "
سمح ذلك للباحثين بمعالجة بيانات اللعبة عن طريق إدخال بيانات الاعتماد وإنشاء رمز مصادقة وتحديث النتيجة.
رداً على ذلك ، نفذ ماناريوم ما أسماه "مكافحة الغش الفائقة" التي تستخدم التحليل السلوكي لاجتثاث المعتدين.
سوبر مكافحة الغش فشل
وكما أوضح الباحثون ، فإن "مكافحة الغش تتحقق من صحة الحقول التالية: وقت الجلسة ، ووقت التحويل ، والنتيجة ، حيث يجب أن يكون لدى المستخدم وقت كافٍ لتسجيل النتيجة. بعبارة أخرى ، إذا سجل المستخدم 10 نقاط في جلسة مدتها ثانية واحدة ، فهذا مستحيل [و] سيكتشف مكافحة الغش وجود غشاش محتمل ".
ومع ذلك ، فقد استغرق باحثو Blaze أقل من 20 دقيقة لتجاوز آلية مكافحة الغش. لقد قاموا بإنشاء "نص برمجي بسلوك بشري (نوم بسيط وبعض الأرقام العشوائية) من شأنه أن يولد درجة عالية في [طريقة] متوافقة مع الإنسان" ، وفقًا للنشر. ولزيادة الطين بلة ، "في الإصدارات التالية من البرنامج النصي ، قمنا بتنفيذ ... تعدد مؤشرات الترابط ودعم استغلال جميع الألعاب الثلاث في وقت واحد."
أخيرًا أغلق ماناريوم نظامه من خلال القضاء على أي طريقة لتعديل البيانات غير الموقعة أو إنشاؤها بواسطة مستخدم ، باستخدام نظام رئيسي.
تحقق Blaze من أن الإصلاح يعمل ، لكن المطاردة (اللعبة؟) لا تزال جارية: "ستركز الأبحاث المستقبلية على البحث عن هذا المفتاح ومحاولة تجاوز جديد مرة أخرى ،" اختتم المنشور.
GameFi: ضعف أداء الأمن السيبراني
يضيف البحث إلى القلق المتزايد حول قطاع الألعاب المشفرة. خلص تحليل من Hacken في أغسطس الماضي إلى أن ألعاب P2E بشكل عام تتمتع بمستوى "غير مرض" من الاستعداد للأمن السيبراني - وأن الاختراق الكبير على إحدى المنصات "مسألة وقت فقط" لأنها "تضع الأرباح فوق مستوى الأمان".
لكن المخاطر التي يواجهها لاعبو ومستثمرو P2E كبيرة: على سبيل المثال ، في مارس 2022 ، سرقة أصول بقيمة 625 مليون دولار عقدت في لعبة Axie Infinity أدى هذا النظام الأساسي إلى انخفاض كبير في عدد المستخدمين ومقدار الأموال التي يخصصها اللاعبون في الأسبوع. إنها نكسة عانت منها لم يتعافى بعد.
وفقًا لتقرير Hacken ، فإن "مشاريع GameFi ... لا تتبع حتى أهم توصيات الأمن السيبراني ، مما يترك الجهات الخبيثة نقاط دخول عديدة للهجمات" ، والذي يصف هذا بأنه إشراف رئيسي نظرًا لمدى جاذبية الهدف P2E.
"في حين أنه من المفهوم أن تكون أول من يسوق منتجًا أو تطبيقًا ، فإن خطر نشر ألعاب الأصول الرقمية هذه دون الأمان المناسب للمخاطر المتصلة بالسلسلة وخارجها قد تعرض المؤسسة للخطر بالنسبة للمضيف يقول كارل ستينكامب ، مدير تحويل التسليم والأتمتة في شركة Coalfire: "مخاطر الأمن السيبراني".
ويضيف: "بدلاً من ذلك ، يجب على المؤسسات التأكد من أنها مرت بحركات تقوية كل مكون من مكونات نظامها الأساسي بشكل كافٍ قبل الإطلاق ، ثم بعد ذلك ، على أساس دوري ومتكرر. قد تستخدم المنظمة أدوات مثل DArcher وما شابه للتحقق من أنها عالجت بشكل مناسب المخاطر داخل السلسلة وخارجها ".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
