Un hack proof-of-concept (PoC) della piattaforma di gioco Manarium play-to-earn (P2E) ha consentito ai ricercatori di modificare arbitrariamente i loro punteggi per vincere tornei giornalieri e raccogliere gettoni crittografici, evitando il buy-in iniziale richiesto per accedere al sistema.
Il gioco P2E (noto anche come GameFi o gioco crittografico) prevede l'utilizzo token non fungibili (NFT) come una sorta di valuta di gioco: i giocatori possono vendere i propri NFT ad altri collezionisti e giocatori per utilizzarli come avatar e altri dispositivi di gioco di ruolo, e possono guadagnarli vincendo giochi o attraverso la pubblicità in-game.
Esistono diversi modelli e finora il P2E ha avuto un enorme successo: "Il mercato del gioco per guadagnare è diventato una delle più grandi nicchie del Web 3.0", secondo un'analisi di Hacken lo scorso agosto, pubblicato sul sito web di eGamers. "La capitalizzazione di mercato dei progetti play-to-earn, all'inizio di luglio 2022, è di $ 6.5 miliardi e il volume degli scambi giornalieri è superiore a $ 850 milioni".
Come avviene nel arena della finanza decentralizzata (DeFi)., secondo new analisi dei ricercatori di Blaze Information Security. Quindi, hanno deciso di testare la sicurezza della piattaforma Manarium e hanno incontrato tre livelli di insicurezza lungo il percorso.
Semplici modi per giocare con il sistema di gioco
Nel caso di Manarium, la piattaforma supporta minigiochi che offrono ciascuno un torneo giornaliero. Gli utenti collegano i loro portafogli al gioco e vengono verificati; pagano 300 ARI (un tipo di token che può essere scambiato per NFT art) in ante; poi giocano in un torneo nella speranza di vincere una parte del montepremi (sotto forma di più ARI). Al termine del torneo, il server di back-end del gioco registra i punteggi e si connette con i contratti intelligenti dei vincitori per pagare i guadagni ai portafogli di criptovaluta verificati degli utenti.
Innanzitutto, nell'analizzare uno dei file JavaScript della piattaforma, ai ricercatori di Blaze è saltata fuori una funzione dal nome evidente: "UpdateAccountScore".
La funzione passa i seguenti parametri: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,”score”:SCORE}” ), e i ricercatori hanno scoperto di essere in grado di modificare quei parametri a piacimento all'interno della scheda Console dell'interfaccia Manarium tramite la finestra di gioco.
"Questa vulnerabilità è più pericolosa perché non hanno verificato se l'utente ha pagato la tassa iniziale (300 ARI) per giocare al gioco quando ha effettuato il pagamento (per i vincitori), quindi chiunque esegua questa riga di codice potrebbe ricevere i token senza giocare il gioco o pagare la tassa”, secondo l'analisi.
Manarium ha risolto rapidamente la vulnerabilità, ma la patch stessa era difettosa perché aggiungeva credenziali hardcoded al mix.
"Manarium Team ha cambiato il modo in cui inviare i [dati] del tabellone segnapunti al servizio [back-end], aggiungendo l'autenticazione prima di inviare i dati e questa autenticazione deve essere eseguita solo tramite un account amministratore", secondo l'analisi. "Il problema era che Manarium Team ha codificato le credenziali [admin] nel file 'Build.data.'"
Ciò ha permesso ai ricercatori di manipolare i dati del gioco inserendo le credenziali, generando un token di autenticazione e aggiornando il punteggio.
In risposta, Manarium ha quindi implementato quello che ha definito un "Super Anti-Cheat" che ha utilizzato l'analisi comportamentale per sradicare gli aggressori.
Super anti-cheat fallito
Come hanno spiegato i ricercatori, “L'anti-cheat convalida i seguenti campi: sessionTime, timeUTC e score, dove l'utente deve avere tempo sufficiente per fare il punteggio. In altre parole, se un utente ottiene 10 punti in una sessione di un secondo, questo è impossibile [e] l'anti-cheat rileverà un possibile imbroglione".
Tuttavia, i ricercatori di Blaze hanno impiegato meno di 20 minuti per aggirare il meccanismo anti-cheat. Hanno creato "una sceneggiatura con un comportamento umano (un semplice sonno e alcuni numeri casuali) che genererà un punteggio elevato in un [modo] compatibile con l'uomo", secondo il post. E per aggiungere la beffa al danno, "nelle versioni successive della sceneggiatura, abbiamo implementato... il multithreading e il supporto per sfruttare tutti e tre i giochi contemporaneamente".
Manarium ha infine bloccato il suo sistema eliminando qualsiasi possibilità per i dati non firmati di essere modificati o generati da un utente, con l'uso di un sistema di chiavi.
Blaze ha verificato che la correzione funzionava, ma la caccia (gioco?) è ancora in corso: "La ricerca futura si concentrerà sulla ricerca di questa chiave e sul tentativo di nuovo un nuovo bypass", ha concluso il post.
GameFi: sicurezza informatica sottoperformante
La ricerca si aggiunge a una crescente preoccupazione per il settore del cripto-gioco. Un'analisi di Hacken dello scorso agosto ha concluso che i giochi P2E in generale hanno un livello "insoddisfacente" di preparazione alla sicurezza informatica e che un grave attacco su una delle piattaforme è "solo una questione di tempo" perché "mettono i profitti al di sopra della sicurezza".
Ma la posta in gioco per i giocatori e gli investitori P2E è alta: ad esempio, nel marzo 2022, una rapina di beni da 625 milioni di dollari tenuto nel gioco Axie Infinity ha portato quella piattaforma a vedere un enorme calo del numero di utenti e della quantità di denaro investita dai giocatori a settimana. È una battuta d'arresto da cui ha ancora da recuperare.
"I progetti GameFi... non seguono nemmeno le raccomandazioni più essenziali sulla sicurezza informatica, lasciando agli attori malintenzionati numerosi punti di ingresso per gli attacchi", secondo il rapporto Hacken, che lo caratterizza come una svista importante dato quanto è diventato succoso un obiettivo P2E.
"Sebbene sia comprensibile voler essere i primi a commercializzare un prodotto o un'applicazione, il rischio di implementare questi giochi di risorse digitali senza un'adeguata sicurezza per i rischi on-chain e off-chain può mettere a rischio l'organizzazione per un host dei rischi per la sicurezza informatica", afferma Karl Steinkamp, direttore della trasformazione e dell'automazione delle consegne presso Coalfire.
Aggiunge: “Invece, le organizzazioni dovrebbero assicurarsi di aver eseguito i movimenti per rafforzare adeguatamente ciascuno dei componenti della loro piattaforma prima del lancio e, successivamente, su base periodica e ricorrente. Le organizzazioni possono utilizzare strumenti come DArcher e simili per confermare di aver adeguatamente affrontato i rischi on-chain e off-chain."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :È
- 10
- 2022
- 7
- a
- capace
- sopra
- accesso
- Secondo
- Il mio account
- attori
- aggiunto
- Aggiunge
- adeguatamente
- Admin
- Pubblicità
- Dopo shavasana, sedersi in silenzio; saluti;
- Tutti
- quantità
- importi
- .
- l'analisi
- ed
- chiunque
- Applicazioni
- SONO
- in giro
- AS
- attività
- Attività
- At
- attacchi
- il tentativo
- attratto
- AGOSTO
- Autenticazione
- Automazione
- avatars
- evitando
- Axie
- Axie Infinity
- Back-end
- base
- BE
- perché
- diventare
- prima
- Inizio
- essendo
- Maggiore
- Miliardo
- bug
- costruire
- by
- detto
- Materiale
- capitalizzazione
- Custodie
- il cambiamento
- caratterizza
- codice
- raccogliere
- collezionisti
- componenti
- Problemi della Pelle
- concluso
- Connettiti
- collega
- consolle
- contratti
- potuto
- creato
- Credenziali
- crypto
- Gioco di criptovalute
- GETTONI CRIPTO
- criptovaluta
- portafogli di criptovaluta
- Valuta
- CIBERCRIMINALE
- Cybersecurity
- alle lezioni
- trading giornaliero
- Pericoloso
- dati
- DeFi
- consegna
- distribuzione
- dettagliati
- dispositivi
- digitale
- Asset digitale
- Direttore
- giù
- ogni
- guadagnare
- Guadagni
- eliminando
- iscrizione
- essential
- Anche
- esegue
- campi
- Compila il
- File
- Infine
- finanziare
- Firebase
- Nome
- Fissare
- fisso
- imperfetta
- Focus
- seguire
- i seguenti
- Nel
- modulo
- essere trovato
- da
- function
- futuro
- gioco
- gamefi
- Gamers
- Giochi
- gaming
- piattaforma di gioco
- Generale
- generare
- generato
- la generazione di
- dato
- maggiore
- Crescita
- incidere
- Tritare
- Avere
- heist
- Alta
- spera
- host
- Come
- Tutorial
- HTTPS
- umano
- implementato
- impossibile
- in
- In altre
- in-game
- crescente
- infinito
- informazioni
- inizialmente
- esempio
- invece
- Insulto
- Interfaccia
- Investitori
- IT
- SUO
- stessa
- JavaScript
- json
- Luglio
- Le
- conosciuto
- Cognome
- lanciare
- partenza
- Guidato
- Livello
- livelli
- piace
- linea
- bloccato
- maggiore
- make
- Fare
- Marzo
- Rappresentanza
- Capitalizzazione di mercato
- massiccio
- Importanza
- Maggio..
- meccanismo
- milione
- Minuti
- modelli
- modificato
- soldi
- Scopri di più
- maggior parte
- movimenti
- Detto
- New
- GENERAZIONE
- NFT
- NFTs
- numero
- numeri
- numerose
- of
- offrire
- on
- In catena
- ONE
- minimo
- organizzazione
- organizzazioni
- Altro
- svista
- P2E
- Gioco P2E
- pagato
- parametri
- Passi
- Toppa
- Paga le
- pagamento
- Pagamento
- periodico
- piattaforma
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Giocare
- gioca per guadagnare
- gioca per guadagnare (P2E)
- giocatori
- gioco
- PoC
- punti
- pool
- possibile
- Post
- Precedente
- premio
- Problema
- Prodotto
- profitti
- progetti
- corretto
- pubblicato
- metti
- rapidamente
- casuale
- prontezza
- ricevere
- raccomandazioni
- Recuperare
- rapporto
- necessario
- riparazioni
- ricercatori
- risposta
- Rischio
- rischi
- Giochi di ruolo
- radice
- s
- dice
- Punto
- ricerca
- Secondo
- settore
- problemi di
- vedendo
- venda
- invio
- servizio
- Sessione
- set
- dovrebbero
- vetrina
- Un'espansione
- contemporaneamente
- sonno
- smart
- Smart Contract
- So
- finora
- alcuni
- Ancora
- di successo
- sufficiente
- Super
- supporto
- supporti
- sistema
- Target
- imposta
- team
- test
- che
- I
- loro
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- tre
- Attraverso
- tempo
- Timed
- a
- token
- Tokens
- strumenti
- torneo
- tornei
- Trading
- volume di trading
- Trasformazione
- comprensibile
- aggiornamento
- uso
- Utente
- utenti
- utilizzare
- CONVALIDARE
- verificato
- verificare
- via
- volume
- vulnerabilità
- Portafogli
- Modo..
- modi
- sito web
- web 3
- web 3.0
- Sito web
- settimana
- Che
- quale
- while
- volere
- vincere
- vincitori
- vincente
- con
- entro
- senza
- parole
- lavoro
- zefiro