Взлом для проверки концепции (PoC) игровой платформы Manarium, работающей по принципу «играй, чтобы заработать» (P2E), позволил исследователям произвольно изменять свои очки, чтобы выигрывать ежедневные турниры и собирать крипто-токены, избегая при этом первоначального взноса, необходимого для доступа к система.
Игры P2E (также известные как GameFi или криптоигры) включают использование невзаимозаменяемые токены (NFT) как своего рода внутриигровая валюта: игроки могут продавать свои NFT другим коллекционерам и игрокам для использования в качестве аватаров и других ролевых устройств, и они могут зарабатывать их, выигрывая игры или с помощью внутриигровой рекламы.
Существует несколько моделей, и до сих пор P2E была чрезвычайно успешной: «Рынок «играй, чтобы заработать» стал одной из самых больших ниш Web 3.0», согласно анализ от Hacken в августе прошлого года, опубликовано на сайте eGamers. «Рыночная капитализация проектов «играй, чтобы заработать» на начало июля 2022 года составляет 6.5 млрд долларов, а ежедневный объем торгов превышает 850 млн долларов».
Как это имеет место в арена децентрализованных финансов (DeFi), увеличение количества транзакций криптовалюты через игры P2E привлекло внимание киберпреступников анализ от исследователей Blaze Information Security. Итак, они решили протестировать безопасность платформы Manarium и столкнулись с тремя уровнями незащищенности.
Простые способы игры с игровой системой
В случае с Manarium платформа поддерживает мини-игры, каждая из которых предлагает ежедневный турнир. Пользователи подключают свои кошельки к игре и проходят верификацию; они платят 300 ARI (тип токен, который можно обменять на искусство NFT) в анте; затем они участвуют в турнире в надежде выиграть часть призового фонда (в виде большего количества ARI). Когда турнир заканчивается, внутренний сервер игры подсчитывает очки и подключается к смарт-контрактам победителей, чтобы выплачивать прибыль на проверенные криптовалютные кошельки пользователей.
Во-первых, при анализе одного из JavaScript-файлов платформы исследователи Blaze обнаружили явно названную функцию: «UpdateAccountScore».
Функция передает следующие параметры: firebase.firestore().collection("GameName").doc("USER_WALLET").set(JSON.parse("{"wallet":"USER_WALLET","score":SCORE}” ), и исследователи обнаружили, что они могут изменять эти параметры по желанию на вкладке консоли интерфейса Manarium через окно игры.
«Эта уязвимость более опасна, потому что они не проверяли, заплатил ли пользователь первоначальный налог (300 ARI) для игры при совершении платежа (для победителей), поэтому любой, кто просто выполнит эту строку кода, может получить токены, не играя. игра или уплата налога», — говорится в анализе.
Manarium быстро устранил уязвимость, но сам патч был ошибочным, потому что добавлял жестко запрограммированные учетные данные.
«Команда Manarium изменила способ отправки табло [данных] в [внутреннюю] службу, добавив аутентификацию перед отправкой данных, и эта аутентификация должна выполняться только через учетную запись администратора», — говорится в анализе. «Проблема заключалась в том, что команда Manarium жестко закодировала учетные данные [admin] в файле Build.data».
Это позволило исследователям манипулировать игровыми данными, вводя учетные данные, генерируя токен аутентификации и обновляя счет.
В ответ на это Manarium внедрила то, что она назвала «Супер-античитом», в котором использовался поведенческий анализ для искоренения злоумышленников.
Супер античит фейл
Как уточнили исследователи, «античит проверяет следующие поля: sessionTime, timeUTC и счет, где у пользователя должно быть достаточно времени, чтобы набрать счет. Другими словами, если пользователь набирает 10 баллов за время сеанса в одну секунду, это невозможно [и] античит обнаружит возможного мошенника».
Однако исследователям Blaze потребовалось менее 20 минут, чтобы обойти античитерский механизм. Согласно сообщению, они создали «скрипт с человеческим поведением (простой сон и несколько случайных чисел), который будет генерировать высокий балл по времени, совместимым с человеком [способом]». И в довершение ко всему, «в следующих версиях скрипта мы реализовали… многопоточность и поддержку одновременного использования всех трех игр».
Manarium, наконец, заблокировал свою систему, устранив любые способы изменения или создания пользователем неподписанных данных с использованием системы ключей.
Блейз подтвердил, что исправление работает, но охота (игра?) все еще продолжается: «Будущие исследования будут сосредоточены на поиске этого ключа и повторной попытке нового обхода», — говорится в сообщении.
GameFi: неэффективная кибербезопасность
Исследование добавляет к растущему беспокойству вокруг крипто-игрового сектора. Анализ, проведенный Hacken в августе прошлого года, пришел к выводу, что P2E-игры в целом имеют «неудовлетворительный» уровень готовности к кибербезопасности и что крупный взлом одной из платформ — «лишь вопрос времени», потому что они «ставят прибыль выше безопасности».
Но ставки для P2E-геймеров и инвесторов высоки: например, в марте 2022 года произошло ограбление активов на 625 миллионов долларов. проводится в игре Axie Infinity привело к тому, что на этой платформе наблюдалось резкое падение числа пользователей и количества денег, вкладываемых геймерами в неделю. Это неудача, из-за которой он еще не поправиться.
«Проекты GameFi… не следуют даже самым важным рекомендациям по кибербезопасности, оставляя злоумышленникам многочисленные точки входа для атак», — говорится в отчете Hacken, который характеризует это как серьезную оплошность, учитывая, насколько привлекательной стала цель P2E.
«Хотя желание быть первым на рынке продукта или приложения понятно, риск развертывания этих игр с цифровыми активами без надлежащей защиты от рисков в сети и вне сети может подвергнуть организацию риску для хоста. рисков кибербезопасности», — говорит Карл Штайнкамп, директор по трансформации и автоматизации доставки в Coalfire.
Он добавляет: «Вместо этого организации должны удостовериться, что они выполнили действия по надлежащему усилению защиты каждого из компонентов своей платформы до запуска, а затем после этого на периодической и повторяющейся основе. Организации могут использовать такие инструменты, как DArcher и тому подобное, чтобы подтвердить, что они адекватно справились с рисками в сети и за ее пределами».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :является
- 10
- 2022
- 7
- a
- в состоянии
- выше
- доступ
- По
- Учетная запись
- актеры
- добавленный
- Добавляет
- адекватно
- Администратор
- Реклама
- После
- Все
- количество
- суммы
- анализ
- анализ
- и
- кто угодно
- Применение
- МЫ
- около
- AS
- активы
- Активы
- At
- нападки
- попытки
- привлекаемый
- Август
- Аутентификация
- автоматизация
- Аватары
- избегающий
- Axie
- Axie Infinity
- Back-конец
- основа
- BE
- , так как:
- становиться
- до
- начало
- не являетесь
- Крупнейшая
- миллиард
- ошибки
- строить
- by
- под названием
- CAN
- капитализация
- случаев
- изменение
- характеризоваться
- код
- собирать
- Коллекционеры
- компоненты
- Беспокойство
- в заключении исследования, финансируемого Центрами по контролю и профилактике заболеваний (CDC) и написанного бывшим начальником полиции Вермонта
- Свяжитесь
- подключает
- Консоли
- контрактов
- может
- создали
- Полномочия
- крипто-
- Крипто-игры
- КРИПТО ТОКЕНЫ
- криптовалюта
- кошельки с криптовалютами
- Валюта
- КИБЕРПРЕСТУПНИК
- Информационная безопасность
- ежедневно
- ежедневная торговля
- опасно
- данным
- Defi
- поставка
- развертывание
- подробный
- Устройства
- Интернет
- Цифровой актив
- директор
- вниз
- каждый
- зарабатывать
- Заработок
- уничтожение
- запись
- существенный
- Даже
- Выполняет
- Поля
- Файл
- Файлы
- в заключение
- финансы
- Firebase
- First
- фиксированный
- фиксированной
- недостатки
- Фокус
- следовать
- после
- Что касается
- форма
- найденный
- от
- функция
- будущее
- игра
- GameFi
- Геймеры
- Игры
- игровой
- игровая платформа
- Общие
- порождать
- генерируется
- порождающий
- данный
- большой
- Рост
- мотыга
- Рубить
- Есть
- ограбление
- High
- надеется,
- кашель
- Как
- How To
- HTTPS
- человек
- в XNUMX году
- что она
- in
- В других
- в игре
- повышение
- Infinity
- информация
- начальный
- пример
- вместо
- обида
- Интерфейс
- Инвесторы
- IT
- ЕГО
- саму трезвость
- JavaScript
- JSON
- июль
- Основные
- известный
- Фамилия
- запуск
- уход
- привело
- уровень
- уровни
- такое как
- линия
- запертый
- основной
- сделать
- Создание
- Март
- рынок
- Рыночная капитализация
- массивный
- Вопрос
- Май..
- механизм
- миллиона
- Минут
- Модели
- модифицировало
- деньги
- БОЛЕЕ
- самых
- движения
- Названный
- Новые
- следующий
- NFT
- NFTs
- номер
- номера
- многочисленный
- of
- предлагают
- on
- В сети
- ONE
- заказ
- организация
- организации
- Другое
- надзор
- P2E
- P2E игры
- выплачен
- параметры
- проходит
- Патчи
- ОПЛАТИТЬ
- платить
- оплата
- периодический
- Платформа
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- играть, чтобы заработать
- играй ради заработка (P2E)
- игроки
- игры
- PoC
- пунктов
- бассейн
- возможное
- После
- Предварительный
- приз
- Проблема
- Продукт
- доходы
- проектов
- правильный
- опубликованный
- положил
- быстро
- случайный
- Готовность
- Получать
- рекомендаций
- Recover
- отчету
- обязательный
- исследованиям
- исследователи
- ответ
- Снижение
- рисках,
- Ролевая
- корень
- s
- говорит
- Гол
- поиск
- Во-вторых
- сектор
- безопасность
- видя
- продаем
- отправка
- обслуживание
- Сессия
- набор
- должен
- демонстрации
- просто
- одновременно
- спать
- умный
- Смарт-контракты
- So
- уже
- некоторые
- По-прежнему
- успешный
- достаточный
- супер
- поддержка
- Поддержка
- система
- цель
- налог
- команда
- тестXNUMX
- который
- Ассоциация
- их
- Их
- Эти
- три
- Через
- время
- Timed
- в
- знак
- Лексемы
- инструменты
- турнир
- Турниры
- Торговля
- объем торгов
- трансформация
- понятный
- обновление
- использование
- Информация о пользователе
- пользователей
- использовать
- VALIDATE
- проверено
- проверить
- с помощью
- объем
- уязвимость
- Кошельки
- Путь..
- способы
- Web
- Веб-3
- Веб-3.0
- Вебсайт
- неделя
- Что
- который
- в то время как
- будете
- выиграть
- Победители
- победа
- в
- без
- слова
- работает
- зефирнет