Et proof-of-concept (PoC)-hack af Manarium play-to-earn (P2E)-spilplatformen gjorde det muligt for forskere vilkårligt at ændre deres resultater for at vinde daglige turneringer og indsamle krypto-tokens, mens de undgik det indledende buy-in, der kræves for at få adgang til system.
P2E-gaming (også kendt som GameFi eller krypto-gaming) involverer at bruge nonfungible tokens (NFT'er) som en slags valuta i spillet: Spillere kan sælge deres NFT'er til andre samlere og spillere til brug som avatarer og andre rollespilsenheder, og de kan tjene dem ved at vinde spil eller gennem annoncering i spillet.
Der findes flere modeller, og indtil videre har P2E haft vildt succes: "Play-to-earn-markedet er blevet en af de største nicher af Web 3.0," ifølge en analyse fra Hacken august sidste år, offentliggjort på eGamers hjemmeside. "Markedsværdien af play-to-earn-projekter er i begyndelsen af juli 2022 $6.5 milliarder, og det daglige handelsvolumen er større end $850 millioner."
Som det er tilfældet i decentraliseret finans (DeFi) arena, har de stigende mængder af kryptotransaktioner, der bliver handlet via P2E-spil, tiltrukket cyberkriminelle meddelelser, ifølge ny analyse fra forskere ved Blaze Information Security. Så de satte sig for at teste sikkerheden på Manarium-platformen og stødte på tre niveauer af usikkerhed undervejs.
Nemme måder at spille spilsystemet på
I Manariums tilfælde understøtter platformen minispil, der hver tilbyder en daglig turnering. Brugere forbinder deres tegnebøger til spillet og bliver verificeret; de betaler 300 ARI (en type token, der kan byttes til NFT-kunst) i ante; så spiller de i en turnering i håb om at vinde en del af præmiepuljen (i form af mere ARI). Når turneringen er slut, opgør spillets back-end-server resultaterne og forbinder med vindernes smarte kontrakter for at udbetale indtjeningen til brugernes verificerede cryptocurrency-punge.
For det første, ved at analysere en af platformens JavaScript-filer, sprang en åbenlyst navngivet funktion ud til Blaze-forskere: "UpdateAccountScore."
Funktionen videregiver følgende parametre: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,”score”:SCORE}” ), og forskerne fandt ud af, at de var i stand til at ændre disse parametre efter behag i Manarium-grænsefladens konsolfane via spilvinduet.
"Denne sårbarhed er mere farlig, fordi de ikke bekræftede, om brugeren betalte den oprindelige skat (300 ARI) for at spille spillet, da han foretog betalingen (for vindere), så enhver, der bare udfører denne kodelinje, kunne modtage tokens uden at spille spillet eller betale skatten,« ifølge analysen.
Manarium rettede hurtigt sårbarheden, men selve patchen var fejlbehæftet, fordi den tilføjede hårdkodede legitimationsoplysninger til blandingen.
"Manarium Team ændrede måden, hvordan man sender resultattavlen [data] til [back-end]-tjenesten, ved at tilføje godkendelse før afsendelse af dataene, og denne godkendelse må kun udføres via en administratorkonto," ifølge analysen. "Problemet var, at Manarium Team hardkodede [admin]-legitimationsoplysningerne på filen 'Build.data'."
Det gjorde det muligt for forskerne at manipulere spildataene ved at indtaste legitimationsoplysningerne, generere et autentificeringstoken og opdatere scoren.
Som svar implementerede Manarium derefter, hvad det kaldte en "Super Anti-Cheat", der brugte adfærdsanalyse til at udrydde misbrugere.
Super Anti-snyd fiasko
Som forskerne detaljerede, "Anti-snydet validerer følgende felter: sessionTime, timeUTC og score, hvor brugeren skal have tilstrækkelig tid til at score. Med andre ord, hvis en bruger scorer 10 point i en sessionstid på et sekund, er dette umuligt [og] anti-snyderen vil opdage en mulig snyder."
Det tog imidlertid Blaze-forskerne mindre end 20 minutter at omgå anti-snydemekanismen. De skabte "et script med en menneskelig adfærd (en simpel søvn og nogle tilfældige tal), der vil generere en høj score på en tidsbestemt menneskekompatibel [måde]," ifølge indlægget. Og for at føje spot til skade, "i de næste versioner af scriptet implementerede vi ... multithreading og støtte til at udnytte alle tre spil samtidigt."
Manarium låste endelig sit system ned ved at eliminere enhver måde, hvorpå usignerede data kunne ændres eller genereres af en bruger ved brug af et nøglesystem.
Blaze bekræftede, at rettelsen virkede, men jagten (vildt?) er stadig i gang: "Fremtidig forskning vil fokusere på at søge efter denne nøgle og forsøge igen en ny bypass," konkluderede indlægget.
GameFi: Underpræsterende cybersikkerhed
Forskningen bidrager til et voksende trommeslag af bekymring omkring krypto-gaming-sektoren. En analyse fra Hacken i august sidste år konkluderede, at P2E-gaming generelt har et "utilfredsstillende" niveau af cybersikkerhedsberedskab - og at et større hack på en af platformene "kun er et spørgsmål om tid", fordi de "sætter overskud over sikkerhed."
Men indsatsen for P2E-spillere og investorer er høje: For eksempel, i marts 2022, et tyveri af aktiver på $625 millioner afholdt i Axie Infinity-spillet førte til, at platformen så et massivt fald i antallet af brugere og mængden af penge sat ind af spillere om ugen. Det er et tilbageslag, som det har endnu at komme sig.
"GameFi-projekter ... følger ikke selv de mest essentielle cybersikkerhedsanbefalinger, hvilket efterlader ondsindede aktører adskillige indgangspunkter for angreb," ifølge Hacken-rapporten, der karakteriserer dette som en stor forglemmelse, i betragtning af hvor saftigt et mål P2E er blevet.
"Selvom det er forståeligt at ville være den første, der markedsfører et produkt eller en applikation, kan risikoen ved at implementere disse digitale aktivspil uden den rette sikkerhed for on-chain og off-chain risici sætte organisationen i fare for en vært af cybersikkerhedsrisici,” siger Karl Steinkamp, direktør for leveringstransformation og automatisering hos Coalfire.
Han tilføjer: "I stedet bør organisationer sikre sig, at de har gennemgået en passende hærdning af hver af komponenterne i deres platform forud for lanceringen og derefter på en periodisk og tilbagevendende basis. Organisationer kan bruge værktøjer som DArcher og lignende til at validere, at de har håndteret on-chain og off-chain risici tilstrækkeligt."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :er
- 10
- 2022
- 7
- a
- I stand
- over
- adgang
- Ifølge
- Konto
- aktører
- tilføjet
- Tilføjer
- tilstrækkeligt
- admin
- Reklame
- Efter
- Alle
- beløb
- beløb
- analyse
- analysere
- ,
- nogen
- Anvendelse
- ER
- omkring
- AS
- aktiv
- Aktiver
- At
- Angreb
- forsøger
- tiltrukket
- AUGUST
- Godkendelse
- Automation
- avatars
- undgå
- Axie
- Axie Infinity
- Back-end
- grundlag
- BE
- fordi
- bliver
- før
- Begyndelse
- være
- Største
- Billion
- bugs
- bygge
- by
- kaldet
- CAN
- kapitalisering
- tilfælde
- lave om
- karakteriserer
- kode
- indsamler
- samlere
- komponenter
- Bekymring
- indgået
- Tilslut
- forbinder
- Konsol
- kontrakter
- kunne
- oprettet
- Legitimationsoplysninger
- krypto
- Krypto spil
- CRYPTO TOKENS
- cryptocurrency
- cryptocurrency tegnebøger
- Valuta
- CYBERKRIMINAL
- Cybersecurity
- dagligt
- daglig handel
- Dangerous
- data
- Defi
- levering
- implementering
- detaljeret
- Enheder
- digital
- Digital aktiver
- Direktør
- ned
- hver
- tjene
- Indtjening
- eliminere
- indrejse
- væsentlig
- Endog
- Udfører
- Fields
- File (Felt)
- Filer
- Endelig
- finansiere
- Firebase
- Fornavn
- Fix
- fast
- fejlbehæftet
- Fokus
- følger
- efter
- Til
- formular
- fundet
- fra
- funktion
- fremtiden
- spil
- spil fi
- Gamers
- Spil
- spil
- spilplatform
- Generelt
- generere
- genereret
- generere
- given
- større
- Dyrkning
- hack
- kotelet
- Have
- heist
- Høj
- håber
- host
- Hvordan
- How To
- HTTPS
- menneskelig
- implementeret
- umuligt
- in
- I andre
- in-game
- stigende
- Uendelighed
- oplysninger
- initial
- instans
- i stedet
- Fornærme
- grænseflade
- Investorer
- IT
- ITS
- selv
- JavaScript
- json
- juli
- Nøgle
- kendt
- Efternavn
- lancere
- forlader
- Led
- Niveau
- niveauer
- ligesom
- Line (linje)
- låst
- større
- lave
- Making
- Marts
- Marked
- Markedsbogstaver
- massive
- Matter
- Kan..
- mekanisme
- million
- minutter
- modeller
- modificeret
- penge
- mere
- mest
- bevægelser
- Som hedder
- Ny
- næste
- NFT
- NFT'er
- nummer
- numre
- talrige
- of
- tilbyde
- on
- On-Chain
- ONE
- ordrer
- organisation
- organisationer
- Andet
- Tilsyn
- P2E
- P2E spil
- betalt
- parametre
- gennemløb
- patch
- Betal
- betale
- betaling
- periodisk
- perron
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- spil for at tjene
- play-to-earn (P2E)
- spillere
- spiller
- PoC
- punkter
- pool
- mulig
- Indlæg
- Forud
- præmie
- Problem
- Produkt
- overskud
- projekter
- passende
- offentliggjort
- sætte
- hurtigt
- tilfældig
- Readiness
- modtage
- anbefalinger
- Recover
- indberette
- påkrævet
- forskning
- forskere
- svar
- Risiko
- risici
- Rollespil
- rod
- s
- siger
- score
- søgning
- Anden
- sektor
- sikkerhed
- se
- sælger
- afsendelse
- tjeneste
- Session
- sæt
- bør
- udstillingsvindue
- Simpelt
- samtidigt
- søvn
- Smart
- Smarte kontrakter
- So
- indtil nu
- nogle
- Stadig
- vellykket
- tilstrækkeligt
- Super
- support
- Understøtter
- systemet
- mål
- skat
- hold
- prøve
- at
- deres
- Them
- Disse
- tre
- Gennem
- tid
- Tidsindstillet
- til
- token
- Tokens
- værktøjer
- turnering
- Turneringer
- Trading
- handelsvolumen
- Transformation
- forståelig
- opdatering
- brug
- Bruger
- brugere
- udnytte
- VALIDATE
- verificeres
- verificere
- via
- bind
- sårbarhed
- Punge
- Vej..
- måder
- web
- Web 3
- Web 3.0
- Hjemmeside
- uge
- Hvad
- som
- mens
- vilje
- vinde
- vindere
- vindende
- med
- inden for
- uden
- ord
- arbejder
- zephyrnet