Ett proof-of-concept (PoC)-hack av spelplattformen Manarium play-to-earn (P2E) gjorde det möjligt för forskare att godtyckligt ändra sina poäng för att vinna dagliga turneringar och samla kryptotokens, samtidigt som de undvek det initiala inköpet som krävs för att komma åt systemet.
P2E-spel (även känt som GameFi eller kryptospel) involverar användning nonfungible tokens (NFT) som en sorts valuta i spelet: Spelare kan sälja sina NFT:er till andra samlare och spelare för användning som avatarer och andra rollspelsenheter, och de kan tjäna dem genom att vinna spel eller genom reklam i spelet.
Det finns flera modeller, och hittills har P2E varit enormt framgångsrika: "Play-to-earn-marknaden har blivit en av de största nischerna av Web 3.0", enligt en analys från Hacken i augusti förra året, publicerad på eGamers hemsida. "Börsvärdet för play-to-earn-projekt, i början av juli 2022, är $6.5 miljarder, och den dagliga handelsvolymen är större än $850 miljoner."
Som är fallet i decentraliserad finans (DeFi) arena, de ökande mängderna krypto som transaktioner via P2E-spel har lockat till sig cyberbrottslingar, enligt nya analys från forskare vid Blaze Information Security. Så de gav sig i kast med att testa säkerheten på Manarium-plattformen och stötte på tre nivåer av osäkerhet längs vägen.
Enkla sätt att spela spelsystemet
I Manariums fall stöder plattformen minispel som var och en erbjuder en daglig turnering. Användare ansluter sina plånböcker till spelet och verifieras; de betalar 300 ARI (en typ av token som kan bytas ut mot NFT-konst) i ante; sedan spelar de i en turnering i hopp om att vinna en del av prispotten (i form av mer ARI). När turneringen är över räknar spelets back-end-server poängen och ansluter till vinnarnas smarta kontrakt för att betala ut intäkterna till användarnas verifierade kryptovaluta-plånböcker.
Först, när man analyserade en av plattformens JavaScript-filer, hoppade en uppenbarligen namngiven funktion ut till Blaze-forskare: "UpdateAccountScore."
Funktionen skickar följande parametrar: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,,”score”:SCORE}” ), och forskarna fann att de kunde ändra dessa parametrar efter behag inom Manarium-gränssnittets konsolflik via spelfönstret.
"Denna sårbarhet är farligare eftersom de inte verifierade om användaren betalade den ursprungliga skatten (300 ARI) för att spela spelet när han gjorde betalningen (för vinnare), så alla som bara kör den här kodraden kunde få tokens utan att spela spelet eller betala skatten”, enligt analysen.
Manarium fixade snabbt sårbarheten, men själva patchen var felaktig eftersom den lade till hårdkodade referenser i mixen.
"Manarium Team ändrade sättet att skicka resultattavlan [data] till [back-end]-tjänsten, genom att lägga till autentisering innan data skickades, och denna autentisering måste endast göras via ett administratörskonto," enligt analysen. "Problemet var att Manarium Team hårdkodade [admin] autentiseringsuppgifterna på filen 'Build.data'."
Det gjorde det möjligt för forskarna att manipulera speldata genom att ange referenserna, generera en autentiseringstoken och uppdatera poängen.
Som svar implementerade Manarium sedan vad det kallade ett "Super Anti-cheat" som använde beteendeanalys för att utrota missbrukare.
Super Anti-fusk misslyckande
Som forskarna förklarade, "Anti-fusket validerar följande fält: sessionTime, timeUTC och score, där användaren måste ha tillräckligt med tid för att göra poängen. Med andra ord, om en användare får 10 poäng under en sessionstid på en sekund är detta omöjligt [och] anti-fusket kommer att upptäcka en möjlig fuskare."
Det tog dock Blaze-forskarna mindre än 20 minuter att kringgå anti-fuskmekanismen. De skapade "ett skript med ett mänskligt beteende (en enkel sömn och några slumpmässiga siffror) som kommer att generera en hög poäng på ett tidsinställt mänskligt kompatibelt [sätt]", enligt inlägget. Och för att lägga förolämpning till skada, "i nästa versioner av skriptet implementerade vi ... multithreading och stödet för att utnyttja alla tre spelen samtidigt."
Manarium låste till slut sitt system genom att eliminera alla sätt för osignerad data att ändras eller genereras av en användare, med hjälp av ett nyckelsystem.
Blaze verifierade att korrigeringen fungerade, men jakten (vilt?) pågår fortfarande: "Framtida forskning kommer att fokusera på att söka efter den här nyckeln och försöka igen en ny bypass", avslutades inlägget.
GameFi: Underpresterande cybersäkerhet
Forskningen bidrar till ett växande trumslag av oro kring kryptospelsektorn. En analys från Hacken förra augusti drog slutsatsen att P2E-spel i allmänhet har en "otillfredsställande" nivå av cybersäkerhetsberedskap - och att ett stort hack på en av plattformarna "bara är en tidsfråga" eftersom de "sätter vinster över säkerhet."
Men insatserna för P2E-spelare och investerare är höga: Till exempel, i mars 2022, ett rån av tillgångar på 625 miljoner dollar hölls i Axie Infinity-spelet ledde till att den plattformen såg en enorm minskning av antalet användare och mängden pengar som spelare satte in per vecka. Det är ett bakslag som det har gjort ännu att återhämta sig.
"GameFi-projekt … följer inte ens de mest väsentliga rekommendationerna för cybersäkerhet, vilket lämnar illvilliga aktörer många ingångspunkter för attacker", enligt Hacken-rapporten, som karakteriserar detta som en stor förbiseende med tanke på hur saftigt ett mål P2E har blivit.
"Även om det är förståeligt att vilja vara först med att marknadsföra en produkt eller applikation, kan risken med att distribuera dessa digitala tillgångsspel utan rätt säkerhet för riskerna i kedjan och utanför kedjan sätta organisationen i riskzonen för en värd av cybersäkerhetsrisker”, säger Karl Steinkamp, chef för leveranstransformation och automation på Coalfire.
Han tillägger, "Istället bör organisationer se till att de har gått igenom stegen att tillräckligt härda var och en av komponenterna i deras plattform innan de lanseras, och sedan efter det, på en periodisk och återkommande basis. Organisationer kan använda verktyg som DArcher och liknande för att validera att de har tagit itu med risker i kedjan och utanför kedjan."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :är
- 10
- 2022
- 7
- a
- Able
- ovan
- tillgång
- Enligt
- Konto
- aktörer
- lagt till
- Lägger
- adekvat
- administration
- reklam
- Efter
- Alla
- mängd
- mängder
- analys
- analys
- och
- någon
- Ansökan
- ÄR
- runt
- AS
- tillgång
- Tillgångar
- At
- Attacker
- försök
- attraheras
- AUGUSTI
- Autentisering
- Automation
- Avatars
- undvika
- axie
- Axie oändlighet
- Back-end
- grund
- BE
- därför att
- blir
- innan
- Börjar
- Där vi får lov att vara utan att konstant prestera,
- störst
- Miljarder
- fel
- SLUTRESULTAT
- by
- kallas
- KAN
- kapitalisering
- Vid
- byta
- karaktäriserar
- koda
- samla
- samlare
- komponenter
- Oro
- ingås
- Kontakta
- ansluter
- Konsol
- kontrakt
- kunde
- skapas
- referenser
- crypto
- Kryptospel
- CRYPTO TOKEN
- kryptovaluta
- cryptocurrency plånböcker
- Valuta
- IT-KRIMINELL
- Cybersäkerhet
- dagligen
- daglig handel
- Dangerous
- datum
- Defi
- leverans
- utplacera
- detaljerad
- enheter
- digital
- Digital tillgång
- Direktör
- ner
- varje
- tjänar
- Resultat
- eliminera
- inträde
- väsentlig
- Även
- Utför
- Fält
- Fil
- Filer
- Slutligen
- finansiering
- Firebase
- Förnamn
- Fast
- fixerad
- bristfällig
- Fokus
- följer
- efter
- För
- formen
- hittade
- från
- fungera
- framtida
- lek
- spel fi
- Spelare
- Games
- Gaming
- spelplattform
- Allmänt
- generera
- genereras
- generera
- ges
- större
- Odling
- hacka
- kotlett
- Har
- heist
- Hög
- hoppas
- värd
- Hur ser din drömresa ut
- How To
- HTTPS
- humant
- genomföras
- omöjligt
- in
- I andra
- i spelet
- ökande
- Oändlighet
- informationen
- inledande
- exempel
- istället
- Förolämpning
- Gränssnitt
- För Investerare
- IT
- DESS
- sig
- JavaScript
- json
- Juli
- Nyckel
- känd
- Efternamn
- lansera
- lämnar
- Led
- Nivå
- nivåer
- tycka om
- linje
- låst
- större
- göra
- Framställning
- Mars
- marknad
- Marknadsvärde
- massiv
- Materia
- Maj..
- mekanism
- miljon
- minuter
- modeller
- modifierad
- pengar
- mer
- mest
- motioner
- Som heter
- Nya
- Nästa
- NFT
- NFT
- antal
- nummer
- talrik
- of
- erbjudanden
- on
- On-Chain
- ONE
- beställa
- organisation
- organisationer
- Övriga
- Tillsyn
- P2E
- P2E-spel
- betalas
- parametrar
- passerar
- Lappa
- Betala
- betalar
- betalning
- periodisk
- plattform
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- spela för att tjäna
- spela för att tjäna (P2E)
- spelare
- i
- PoC
- poäng
- poolen
- möjlig
- Inlägg
- Innan
- Priset
- Problem
- Produkt
- vinster
- projekt
- rätt
- publicerade
- sätta
- snabbt
- slumpmässig
- Beredskap
- motta
- rekommendationer
- Recover
- rapport
- Obligatorisk
- forskning
- forskare
- respons
- Risk
- risker
- Rollspel
- rot
- s
- säger
- göra
- söka
- Andra
- sektor
- säkerhet
- se
- sälja
- skicka
- service
- session
- in
- skall
- visa
- Enkelt
- samtidigt
- sova
- smarta
- Smarta kontrakt
- So
- än så länge
- några
- Fortfarande
- framgångsrik
- tillräcklig
- super
- stödja
- Stöder
- system
- Målet
- skatt
- grupp
- testa
- den där
- Smakämnen
- deras
- Dem
- Dessa
- tre
- Genom
- tid
- Timed
- till
- token
- tokens
- verktyg
- turnering
- turneringar
- Handel
- handelsvolym
- Transformation
- förståeligt
- uppdatering
- användning
- Användare
- användare
- utnyttja
- BEKRÄFTA
- verifierade
- verifiera
- via
- volym
- sårbarhet
- Plånböcker
- Sätt..
- sätt
- webb
- Webb 3
- Webb 3.0
- Webbplats
- vecka
- Vad
- som
- medan
- kommer
- vinna
- vinnare
- vinna
- med
- inom
- utan
- ord
- arbetssätt
- zephyrnet