Peretasan proof-of-concept (PoC) dari platform game Manarium play-to-earn (P2E) memungkinkan peneliti mengubah skor mereka secara sewenang-wenang untuk memenangkan turnamen harian dan mengumpulkan token crypto, sambil menghindari pembelian awal yang diperlukan untuk mengakses sistem.
Game P2E (juga dikenal sebagai GameFi atau game crypto) melibatkan penggunaan token nonfungible (NFT) sebagai semacam mata uang dalam game: Pemain dapat menjual NFT mereka ke kolektor dan pemain lain untuk digunakan sebagai avatar dan perangkat permainan peran lainnya, dan mereka dapat memperolehnya dengan memenangkan game atau melalui iklan dalam game.
Ada beberapa model, dan sejauh ini, P2E telah sangat sukses: "Pasar play-to-earn telah menjadi salah satu ceruk terbesar Web 3.0," menurut analisis dari Hacken Agustus lalu, dipublikasikan di website eGamers. โKapitalisasi pasar proyek play-to-earn, pada awal Juli 2022, adalah $6.5 miliar, dan volume perdagangan harian lebih besar dari $850 juta.โ
Seperti yang terjadi pada arena keuangan terdesentralisasi (DeFi)., meningkatnya jumlah crypto yang ditransaksikan melalui game P2E telah menarik perhatian penjahat dunia maya, menurut yang baru analisis dari para peneliti di Blaze Information Security. Jadi, mereka mulai menguji keamanan platform Manarium dan menemukan tiga tingkat ketidakamanan di sepanjang jalan.
Cara Mudah Memainkan Sistem Permainan
Dalam kasus Manarium, platform mendukung minigame yang masing-masing menawarkan turnamen harian. Pengguna menghubungkan dompet mereka ke game dan diverifikasi; mereka membayar 300 ARI (sejenis token yang dapat ditukar dengan seni NFT) di depan; kemudian mereka bermain di turnamen dengan harapan memenangkan sebagian dari kumpulan hadiah (dalam bentuk lebih banyak ARI). Saat turnamen selesai, server back-end game menghitung skor, dan terhubung dengan kontrak pintar pemenang untuk membayar pendapatan ke dompet cryptocurrency terverifikasi pengguna.
Pertama, dalam menganalisis salah satu file JavaScript platform, sebuah fungsi dengan nama yang jelas melompat ke peneliti Blaze: โUpdateAccountScore.โ
Fungsi meneruskan parameter berikut: firebase.firestore().collection(โGameNameโ).doc(โUSER_WALLETโ).set(JSON.parse(โ{โwalletโ:โUSER_WALLETโ,โscoreโ:SCORE}โ ), dan para peneliti menemukan bahwa mereka dapat mengubah parameter tersebut sesuka hati dalam Tab Konsol antarmuka Manarium melalui Jendela Game.
โKerentanan ini lebih berbahaya karena mereka tidak memverifikasi apakah pengguna membayar pajak awal (300 ARI) untuk memainkan game saat melakukan pembayaran (untuk pemenang), sehingga siapa pun yang hanya mengeksekusi baris kode ini dapat menerima token tanpa bermain. permainan atau membayar pajak,โ menurut analisis.
Manarium dengan cepat memperbaiki kerentanan, tetapi tambalan itu sendiri cacat karena menambahkan kredensial hardcode ke dalam campuran.
โTim Manarium mengubah cara mengirim [data] papan skor ke layanan [back-end], dengan menambahkan otentikasi sebelum mengirim data, dan otentikasi ini harus dilakukan hanya melalui akun admin,โ menurut analisis. โMasalahnya adalah, Tim Manarium meng-hardcode kredensial [admin] pada file 'Build.data.'โ
Itu memungkinkan para peneliti untuk memanipulasi data game dengan memasukkan kredensial, menghasilkan token otentikasi, dan memperbarui skor.
Sebagai tanggapan, Manarium kemudian menerapkan apa yang disebutnya "Super Anti-Cheat" yang menggunakan analisis perilaku untuk membasmi para pelaku.
Super Anti-Cheat Gagal
Seperti yang dirinci oleh para peneliti, โAnti-cheat memvalidasi bidang-bidang berikut: sessionTime, timeUTC, dan skor, di mana pengguna harus memiliki waktu yang cukup untuk membuat skor. Dengan kata lain, jika pengguna mencetak 10 poin dalam waktu sesi satu detik, ini tidak mungkin [dan] anti-cheat akan mendeteksi kemungkinan adanya penipu.โ
Namun, para peneliti Blaze membutuhkan waktu kurang dari 20 menit untuk melewati mekanisme anti-cheat. Mereka menciptakan "skrip dengan perilaku manusia (tidur sederhana dan beberapa angka acak) yang akan menghasilkan skor tinggi dengan waktu yang sesuai dengan manusia," menurut postingan tersebut. Dan untuk menambah penghinaan, "dalam versi skrip berikutnya, kami menerapkan ... multithreading dan dukungan untuk mengeksploitasi ketiga game secara bersamaan."
Manarium akhirnya mengunci sistemnya dengan meniadakan cara apa pun agar data yang tidak ditandatangani dapat dimodifikasi atau dibuat oleh pengguna, dengan menggunakan sistem kunci.
Blaze memverifikasi bahwa perbaikan itu berfungsi, tetapi perburuan (permainan?) Masih aktif: "Penelitian di masa mendatang akan fokus pada pencarian kunci ini dan mencoba lagi jalan pintas baru," posting itu menyimpulkan.
GameFi: Keamanan Siber Berperforma Buruk
Penelitian ini menambah kekhawatiran yang semakin meningkat di sekitar sektor permainan kripto. Sebuah analisis dari Hacken Agustus lalu menyimpulkan bahwa game P2E secara umum memiliki tingkat kesiapan keamanan siber yang "tidak memuaskan" โ dan bahwa peretasan besar-besaran di salah satu platform adalah "hanya masalah waktu" karena mereka "menempatkan keuntungan di atas keamanan".
Tetapi taruhan untuk pemain dan investor P2E tinggi: Misalnya, pada Maret 2022, pencurian aset senilai $625 juta diadakan di game Axie Infinity menyebabkan platform itu melihat penurunan besar-besaran dalam jumlah pengguna dan jumlah uang yang dimasukkan oleh para gamer per minggu. Ini adalah kemunduran dari yang dimilikinya belum pulih.
โProyek GameFi โฆ bahkan tidak mengikuti rekomendasi keamanan siber yang paling penting, meninggalkan banyak aktor jahat sebagai titik masuk untuk serangan,โ menurut laporan Hacken, yang mencirikan ini sebagai pengawasan besar mengingat betapa menariknya target P2E.
โMeskipun dapat dipahami jika ingin menjadi yang pertama memasarkan produk atau aplikasi, risiko penerapan permainan aset digital ini tanpa keamanan yang memadai untuk risiko on-chain dan off-chain dapat menempatkan organisasi pada risiko untuk tuan rumah. risiko keamanan siber,โ kata Karl Steinkamp, โโdirektur transformasi pengiriman dan otomasi di Coalfire.
Dia menambahkan, โSebaliknya, organisasi harus memastikan bahwa mereka telah melakukan langkah-langkah untuk memperkuat setiap komponen platform mereka secara memadai sebelum diluncurkan, dan kemudian setelah itu, secara berkala dan berulang. Organisasi dapat menggunakan alat seperti DArcher dan sejenisnya untuk memvalidasi bahwa mereka telah menangani risiko on-chain dan off-chain secara memadai.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :adalah
- 10
- 2022
- 7
- a
- Sanggup
- atas
- mengakses
- Menurut
- Akun
- aktor
- menambahkan
- Menambahkan
- cukup
- admin
- pengiklanan
- Setelah
- Semua
- jumlah
- jumlah
- analisis
- menganalisis
- dan
- siapapun
- Aplikasi
- ADALAH
- sekitar
- AS
- aset
- Aktiva
- At
- Serangan
- berusaha
- menarik
- Agustus
- Otentikasi
- Otomatisasi
- Avatar
- menghindari
- Aksi
- axie tak terhingga
- Back-end
- dasar
- BE
- karena
- menjadi
- sebelum
- Awal
- makhluk
- Terbesar
- Milyar
- bug
- membangun
- by
- bernama
- CAN
- Kapitalisasi
- kasus
- perubahan
- mencirikan
- kode
- mengumpulkan
- kolektor
- komponen
- Perhatian
- Disimpulkan
- Terhubung
- menghubungkan
- konsul
- kontrak
- bisa
- dibuat
- Surat kepercayaan
- kripto
- Permainan Kripto
- TOKEN KRIPTO
- cryptocurrency
- dompet cryptocurrency
- Currency
- PENJAHAT SIBER
- Keamanan cyber
- harian
- perdagangan harian
- Berbahaya
- data
- Defi
- pengiriman
- penggelaran
- terperinci
- Devices
- digital
- Aset Digital
- Kepala
- turun
- setiap
- mendapatkan
- Pendapatan
- menghilangkan
- masuk
- penting
- Bahkan
- Laksanakan
- Fields
- File
- File
- Akhirnya
- keuangan
- Firebase
- Pertama
- Memperbaiki
- tetap
- cacat
- Fokus
- mengikuti
- berikut
- Untuk
- bentuk
- ditemukan
- dari
- fungsi
- masa depan
- permainan
- permainan fi
- Gamers
- Games
- game
- platform game
- Umum
- menghasilkan
- dihasilkan
- menghasilkan
- diberikan
- lebih besar
- Pertumbuhan
- terjangan
- memotong
- Memiliki
- pencurian
- High
- berharap
- tuan rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- manusia
- diimplementasikan
- mustahil
- in
- Di lain
- dalam permainan
- meningkatkan
- Angka tak terbatas
- informasi
- mulanya
- contoh
- sebagai gantinya
- Menghina
- Antarmuka
- Investor
- IT
- NYA
- Diri
- JavaScript
- json
- Juli
- kunci
- dikenal
- Terakhir
- jalankan
- meninggalkan
- Dipimpin
- Tingkat
- adalah ide yang bagus
- 'like'
- baris
- terkunci
- utama
- membuat
- Membuat
- March
- Pasar
- Kapitalisasi pasar
- besar-besaran
- hal
- Mungkin..
- mekanisme
- juta
- menit
- model
- dimodifikasi
- uang
- lebih
- paling
- gerakan
- Bernama
- New
- berikutnya
- NFT
- NFT
- jumlah
- nomor
- banyak sekali
- of
- menawarkan
- on
- Di Rantai
- ONE
- urutan
- organisasi
- organisasi
- Lainnya
- Kelalaian
- Hlm.2E
- Game P2E
- dibayar
- parameter
- melewati
- tambalan
- Membayar
- pembayaran
- pembayaran
- berkala
- Platform
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- bermain untuk menghasilkan
- bermain untuk menghasilkan (P2E)
- pemain
- bermain
- PoC
- poin
- kolam
- mungkin
- Pos
- Sebelumnya
- hadiah
- Masalah
- Produk
- keuntungan
- memprojeksikan
- tepat
- diterbitkan
- menempatkan
- segera
- acak
- Kesiapan
- menerima
- rekomendasi
- Memulihkan
- melaporkan
- wajib
- penelitian
- peneliti
- tanggapan
- Risiko
- risiko
- Bermain Peran
- akar
- s
- mengatakan
- skor
- mencari
- Kedua
- sektor
- keamanan
- melihat
- menjual
- mengirim
- layanan
- Sidang
- set
- harus
- menampilkan
- Sederhana
- serentak
- tidur
- pintar
- Kontrak Cerdas
- So
- sejauh ini
- beberapa
- Masih
- sukses
- cukup
- besar
- mendukung
- Mendukung
- sistem
- target
- pajak
- tim
- uji
- bahwa
- Grafik
- mereka
- Mereka
- Ini
- tiga
- Melalui
- waktu
- Waktunya
- untuk
- token
- Token
- alat
- turnamen
- turnamen
- Trading
- volume perdagangan
- Transformasi
- dimengerti
- memperbarui
- menggunakan
- Pengguna
- Pengguna
- Penggunaan
- MENGESAHKAN
- diverifikasi
- memeriksa
- melalui
- volume
- kerentanan
- Wallet
- Cara..
- cara
- jaringan
- Web 3
- Web 3.0
- Situs Web
- minggu
- Apa
- yang
- sementara
- akan
- menang
- pemenang
- kemenangan
- dengan
- dalam
- tanpa
- kata
- kerja
- zephyrnet.dll