A Manarium play-to-earn (P2E) játékplatform proof-of-concept (PoC) feltörése lehetővé tette a kutatóknak, hogy önkényesen módosítsák pontszámaikat, hogy napi versenyeket nyerjenek és kripto tokeneket gyűjtsenek, miközben elkerülték a hozzáféréshez szükséges kezdeti nevezést. rendszer.
A P2E játék (más néven GameFi vagy kriptojáték) magában foglalja a használatát nem futtatható tokenek (NFT-k) amolyan játékbeli pénznemként: A játékosok eladhatják NFT-jüket más gyűjtőknek és játékosoknak avatárként és más szerepjáték-eszközként való felhasználásra, és ezeket nyerhetik meg játékok megnyerésével vagy játékon belüli hirdetésekkel.
Számos modell létezik, és eddig a P2E vadul sikeres volt: „A játék a keresnivalók piaca a Web 3.0 egyik legnagyobb rése lett” Hacken elemzése tavaly augusztusban, megjelent az eGamers honlapján. „A játék-kereskedési projektek piaci kapitalizációja 2022. július elején 6.5 milliárd dollár, a napi kereskedési volumen pedig meghaladja a 850 millió dollárt.”
Ahogy az a decentralizált pénzügyek (DeFi) arénája, a P2E játékokon keresztül lebonyolított kriptopénzek növekvő mennyisége felkeltette a kiberbűnözők figyelmét, az új elemzés a Blaze Information Security kutatóitól. Így hát nekiláttak, hogy teszteljék a Manarium platform biztonságát, és útközben három szintű bizonytalanságba ütköztek.
Egyszerű módszerek a játékrendszerrel való játékhoz
A Manarium esetében a platform támogatja a minijátékokat, amelyek mindegyike napi versenyt kínál. A felhasználók csatlakoztatják pénztárcájukat a játékhoz, és ellenőrzik; 300 ARI-t fizetnek (egyfajta token, amely NFT műtárgyra cserélhető) in ante; majd egy versenyen játszanak abban a reményben, hogy megnyerik a nyereményalap egy részét (több ARI formájában). Amikor a verseny véget ér, a játék háttérszervere összeszámolja a pontszámokat, és csatlakozik a nyertesek intelligens szerződéseihez, hogy kifizesse a bevételt a felhasználók ellenőrzött kriptovaluta pénztárcájába.
Először is, a platform egyik JavaScript-fájljának elemzésekor egy nyilvánvalóan elnevezett függvény ugrott be a Blaze kutatói elé: „UpdateAccountScore”.
A függvény a következő paramétereket adja át: firebase.firestore().collection(“Játéknév”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,”score”:SCORE}” ), és a kutatók úgy találták, hogy ezeket a paramétereket tetszés szerint módosíthatják a Manarium felület konzollapján a Game Window segítségével.
"Ez a sérülékenység veszélyesebb, mert nem ellenőrizték, hogy a felhasználó befizette-e a kezdeti adót (300 ARI) a játékért a befizetéskor (a nyerteseknek), így bárki, aki csak végrehajtja ezt a kódsort, játék nélkül megkaphatja a tokeneket. a játék vagy az adó megfizetése” – áll az elemzésben.
A Manarium gyorsan kijavította a sebezhetőséget, de maga a javítás hibás volt, mert keménykódolt hitelesítő adatokat adott hozzá a keverékhez.
"A Manarium Team megváltoztatta az eredményjelző [adatok] [back-end] szolgáltatásba való küldésének módját, az adatok elküldése előtt hitelesítést adott hozzá, és ezt a hitelesítést csak adminisztrátori fiókon keresztül kell elvégezni" - áll az elemzésben. „A probléma az volt, hogy a Manarium Team keményen kódolta az [admin] hitelesítő adatokat a „Build.data” fájlban.”
Ez lehetővé tette a kutatók számára, hogy manipulálják a játék adatait a hitelesítő adatok megadásával, hitelesítési token generálásával és a pontszám frissítésével.
Válaszul a Manarium bevezette az úgynevezett „Super Anti-Cheat”-et, amely viselkedéselemzést használt a bántalmazók kiirtására.
Super Anti-Cheat Fail
Ahogy a kutatók részletezték: „A csalás elleni védelem a következő mezőket érvényesíti: sessionTime, timeUTC és score, ahol a felhasználónak elegendő idővel kell rendelkeznie a pontozáshoz. Más szóval, ha egy felhasználó 10 pontot szerez egy másodperces munkamenet alatt, ez lehetetlen [és] a csalás elleni védelem észleli a lehetséges csalót.”
A Blaze kutatóinak azonban kevesebb mint 20 percébe telt, hogy megkerüljék a csalás elleni mechanizmust. A közlemény szerint „egy olyan emberi viselkedést (egy egyszerű alvást és néhány véletlenszerű számot) tartalmazó forgatókönyvet készítettek, amely időzített, emberrel kompatibilis [módon] magas pontszámot generál”. És hogy sértő legyen a sérülés, „a forgatókönyv következő verzióiban bevezettük… a többszálas megoldást és a három játék egyidejű kihasználásának támogatását.”
A Manarium végül lezárta rendszerét azáltal, hogy megszüntette az aláíratlan adatok felhasználó általi módosítását vagy generálását egy kulcsrendszer használatával.
Blaze ellenőrizte, hogy a javítás működik, de a vadászat (játék?) még mindig tart: „A jövőbeli kutatások ennek a kulcsnak a felkutatására és egy új megkerülési kísérletre fognak összpontosítani” – zárult a bejegyzés.
GameFi: Alulteljesítő kiberbiztonság
A kutatás fokozza az aggodalmakat a kriptojáték-szektor körül. A Hacken tavaly augusztusi elemzése arra a következtetésre jutott, hogy a P2E játékok általában „nem kielégítő” szintű kiberbiztonsági felkészültséggel rendelkeznek – és az egyik platformon végrehajtott jelentős feltörés „csak idő kérdése”, mert „a profitot a biztonság fölé helyezik”.
A P2E-játékosok és a befektetők tétje azonban nagy: 2022 márciusában például 625 millió dolláros eszközrablás történt. az Axie Infinity játékban került megrendezésre ahhoz vezetett, hogy ez a platform hatalmas visszaesést tapasztalt a felhasználók számában és a játékosok által hetente befektetett pénzben. Ez egy visszaesés, amiből megvan még felépülni.
„A GameFi projektek… még a leglényegesebb kiberbiztonsági ajánlásokat sem követik, így a rosszindulatú szereplők számos belépési pontot hagynak a támadások számára” – áll a Hacken-jelentésben, amely ezt jelentős mulasztásként jellemzi, tekintettel arra, hogy a célpont P2E mennyire lédússá vált.
"Bár érthető, hogy elsőként akarunk piacra dobni egy terméket vagy alkalmazást, az a kockázat, hogy ezeket a digitális eszközökkel rendelkező játékokat a láncon belüli és a láncon kívüli kockázatok megfelelő biztonsága nélkül telepítik, veszélybe sodorhatják a szervezetet a gazdagép szempontjából. a kiberbiztonsági kockázatokról” – mondja Karl Steinkamp, a Coalfire szállítási átalakítási és automatizálási igazgatója.
Hozzáteszi: „Ehelyett a szervezeteknek meg kell győződniük arról, hogy platformjuk minden egyes összetevőjét megfelelően megerősítették az indulás előtt, majd ezt követően időszakonként és ismétlődően. A szervezetek olyan eszközöket használhatnak, mint a DArcher és hasonlók annak ellenőrzésére, hogy megfelelően kezelték-e a láncon belüli és a láncon kívüli kockázatokat.”
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :is
- 10
- 2022
- 7
- a
- Képes
- felett
- hozzáférés
- Szerint
- Fiók
- szereplők
- hozzáadott
- Hozzáteszi
- megfelelő
- admin
- Hirdetés
- Után
- Minden termék
- összeg
- Összegek
- elemzés
- elemzése
- és a
- bárki
- Alkalmazás
- VANNAK
- körül
- AS
- vagyontárgy
- Eszközök
- At
- Támadások
- megkísérlése
- vonzott
- Augusztus
- Hitelesítés
- Automatizálás
- karakterekkel
- elkerülve
- Tengely
- Axie Végtelen
- Back-end
- alap
- BE
- mert
- válik
- előtt
- Kezdet
- hogy
- Legnagyobb
- Billió
- bogarak
- épít
- by
- hívott
- TUD
- tőkésítés
- eset
- változik
- jellemzését
- kód
- gyűjt
- gyűjtők
- alkatrészek
- Vonatkozik
- megkötött
- Csatlakozás
- összeköt
- Konzol
- szerződések
- tudott
- készítette
- Hitelesítő adatok
- crypto
- Crypto Gaming
- KRIPTO JEGYEK
- cryptocurrency
- cryptocurrency pénztárcák
- Valuta
- KIBERBŰNÖZŐ
- Kiberbiztonság
- napi
- napi kereskedelem
- Veszélyes
- dátum
- Defi
- kézbesítés
- bevezetéséhez
- részletes
- Eszközök
- digitális
- Digitális eszköz
- Igazgató
- le-
- minden
- pénzt keres
- Kereset
- megszüntetése
- belépés
- alapvető
- Még
- végrehajtja
- Fields
- filé
- Fájlok
- Végül
- finanszíroz
- Firebase
- vezetéknév
- Rögzít
- rögzített
- hibás
- Összpontosít
- következik
- következő
- A
- forma
- talált
- ból ből
- funkció
- jövő
- játék
- játék fi
- Játékosok
- Games
- szerencsejáték
- játékplatform
- általános
- generál
- generált
- generáló
- adott
- nagyobb
- Növekvő
- csapkod
- szelet
- Legyen
- rablás
- Magas
- reméli,
- vendéglátó
- Hogyan
- How To
- HTTPS
- emberi
- végre
- lehetetlen
- in
- Más
- játékban
- növekvő
- Végtelenség
- információ
- kezdetben
- példa
- helyette
- Sértés
- Felület
- Befektetők
- IT
- ITS
- maga
- JavaScript
- json
- július
- Kulcs
- ismert
- keresztnév
- indít
- kilépő
- Led
- szint
- szintek
- mint
- vonal
- zárt
- fontos
- csinál
- Gyártás
- március
- piacára
- Piac tőkésítés
- tömeges
- Anyag
- Lehet..
- mechanizmus
- millió
- Perc
- modellek
- módosított
- pénz
- több
- a legtöbb
- mozgások
- Nevezett
- Új
- következő
- NFT
- NFT
- szám
- számok
- számos
- of
- ajánlat
- on
- Láncon
- ONE
- érdekében
- szervezet
- szervezetek
- Más
- Felügyelet
- P2E
- P2E játék
- fizetett
- paraméterek
- bérletek
- Tapasz
- Fizet
- fizet
- fizetés
- időszakos
- emelvény
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- játszani, hogy keressen
- játék a keresetért (P2E)
- játékos
- játék
- PoC
- pont
- medence
- lehetséges
- állás
- Előzetes
- díj
- Probléma
- Termékek
- nyereség
- projektek
- megfelelő
- közzétett
- tesz
- gyorsan
- véletlen
- Készenlét
- kap
- ajánlások
- Meggyógyul
- jelentést
- kötelező
- kutatás
- kutatók
- válasz
- Kockázat
- kockázatok
- Szerepjáték
- gyökér
- s
- azt mondja,
- pontszám
- keres
- Második
- szektor
- biztonság
- látás
- elad
- elküldés
- szolgáltatás
- ülés
- készlet
- kellene
- kirakat
- Egyszerű
- egyszerre
- alvás
- okos
- Intelligens szerződések
- So
- eddig
- néhány
- Még mindig
- sikeres
- elegendő
- szuper
- támogatás
- Támogatja
- rendszer
- cél
- adó
- csapat
- teszt
- hogy
- A
- azok
- Őket
- Ezek
- három
- Keresztül
- idő
- időzített
- nak nek
- jelképes
- tokenek
- szerszámok
- verseny
- Versenyek
- Kereskedés
- kereskedési volumen
- Átalakítás
- érthető
- frissítése
- használ
- használó
- Felhasználók
- hasznosít
- ÉRVÉNYESÍT
- ellenőrzött
- ellenőrzése
- keresztül
- kötet
- sebezhetőség
- Pénztárcák
- Út..
- módon
- háló
- Web 3
- Web 3.0
- weboldal
- hét
- Mit
- ami
- míg
- lesz
- nyer
- nyertesei
- nyerő
- val vel
- belül
- nélkül
- szavak
- dolgozó
- zephyrnet