การแฮ็คแบบพิสูจน์แนวคิด (PoC) ของแพลตฟอร์มเกม Manarium play-to-earn (P2E) ทำให้นักวิจัยสามารถเปลี่ยนคะแนนโดยพลการเพื่อชนะการแข่งขันรายวันและรวบรวมโทเค็น crypto ในขณะที่หลีกเลี่ยงการซื้อเริ่มต้นที่จำเป็นในการเข้าถึง ระบบ.
การเล่นเกม P2E (หรือที่เรียกว่า GameFi หรือเกม crypto) เกี่ยวข้องกับการใช้ โทเค็นที่ไม่สามารถเปลี่ยนได้ (NFT) เป็นสกุลเงินในเกม: ผู้เล่นสามารถขาย NFT ของตนให้กับนักสะสมและผู้เล่นคนอื่นๆ เพื่อใช้เป็นอวาตาร์และอุปกรณ์สวมบทบาทอื่นๆ และพวกเขาสามารถได้รับจากการชนะเกมหรือผ่านการโฆษณาในเกม
มีหลายรุ่นและจนถึงตอนนี้ P2E ประสบความสำเร็จอย่างล้นหลาม: "ตลาดเล่นเพื่อหารายได้ได้กลายเป็นหนึ่งในช่องทางที่ใหญ่ที่สุดของ Web 3.0" ตามข้อมูล บทวิเคราะห์จาก Hacken เมื่อเดือนสิงหาคมที่ผ่านมาเผยแพร่บนเว็บไซต์ eGamers “มูลค่าตลาดของโครงการ play-to-earn ณ ต้นเดือนกรกฎาคม 2022 อยู่ที่ 6.5 พันล้านดอลลาร์ และปริมาณการซื้อขายต่อวันมากกว่า 850 ล้านดอลลาร์”
เช่นเดียวกับกรณีใน เวทีการเงินแบบกระจายอำนาจ (DeFi)จำนวน crypto ที่เพิ่มขึ้นที่ทำธุรกรรมผ่านเกม P2E ได้ดึงดูดความสนใจจากอาชญากรไซเบอร์ ตามข้อมูลใหม่ บทวิเคราะห์จากนักวิจัยที่ Blaze Information Security. ดังนั้น พวกเขาจึงเริ่มทดสอบความปลอดภัยของแพลตฟอร์ม Manarium และพบกับความไม่ปลอดภัยสามระดับระหว่างทาง
วิธีง่ายๆ ในการเล่นเกมระบบเกม
ในกรณีของ Manarium แพลตฟอร์มนี้รองรับมินิเกมที่แต่ละเกมนำเสนอการแข่งขันรายวัน ผู้ใช้เชื่อมต่อกระเป๋าเงินกับเกมและได้รับการยืนยัน พวกเขาจ่าย 300 ARI (ประเภทของ โทเค็นที่สามารถเปลี่ยนเป็นงานศิลปะ NFT) ในอันเต; จากนั้นพวกเขาก็เล่นในทัวร์นาเมนต์โดยหวังว่าจะชนะส่วนหนึ่งของรางวัลรวม (ในรูปของ ARI ที่มากขึ้น) เมื่อทัวร์นาเมนต์จบลง เซิร์ฟเวอร์ส่วนหลังของเกมจะนับคะแนนและเชื่อมต่อกับสัญญาอัจฉริยะของผู้ชนะเพื่อจ่ายรายได้ให้กับกระเป๋าเงินดิจิทัลที่ได้รับการยืนยันของผู้ใช้
ประการแรก ในการวิเคราะห์ไฟล์ JavaScript ของแพลตฟอร์มหนึ่ง ฟังก์ชันที่มีชื่อชัดเจนได้แจ้งนักวิจัยของ Blaze ว่า "UpdateAccountScore"
ฟังก์ชันส่งผ่านพารามิเตอร์ต่อไปนี้: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,”score”:SCORE}” ) และนักวิจัยพบว่าพวกเขาสามารถเปลี่ยนพารามิเตอร์เหล่านั้นได้ตามต้องการภายในแท็บคอนโซลของอินเทอร์เฟซ Manarium ผ่านทางหน้าต่างเกม
“ช่องโหว่นี้อันตรายกว่าเพราะพวกเขาไม่ได้ตรวจสอบว่าผู้ใช้จ่ายภาษีเริ่มต้น (300 ARI) เพื่อเล่นเกมเมื่อทำการชำระเงิน (สำหรับผู้ชนะ) ดังนั้นใครก็ตามที่เพิ่งดำเนินการบรรทัดรหัสนี้สามารถรับโทเค็นโดยไม่ต้องเล่น เกมหรือการจ่ายภาษี” ตามการวิเคราะห์
Manarium แก้ไขช่องโหว่ได้อย่างรวดเร็ว แต่ตัวแพตช์เองก็มีข้อบกพร่อง เนื่องจากได้เพิ่มข้อมูลประจำตัวแบบฮาร์ดโค้ดเข้าไปด้วย
“ทีม Manarium เปลี่ยนวิธีการส่งสกอร์บอร์ด [ข้อมูล] ไปยังบริการ [แบ็คเอนด์] โดยเพิ่มการตรวจสอบสิทธิ์ก่อนส่งข้อมูล และการตรวจสอบสิทธิ์นี้ต้องทำผ่านบัญชีผู้ดูแลระบบเท่านั้น” ตามการวิเคราะห์ “ปัญหาคือทีม Manarium ฮาร์ดโค้ดข้อมูลประจำตัวของ [admin] ในไฟล์ 'Build.data'”
นั่นทำให้นักวิจัยสามารถจัดการกับข้อมูลเกมได้โดยการป้อนข้อมูลประจำตัว สร้างโทเค็นการตรวจสอบสิทธิ์ และอัปเดตคะแนน
ในการตอบสนอง Manarium จึงใช้สิ่งที่เรียกว่า "Super Anti-Cheat" ซึ่งใช้การวิเคราะห์พฤติกรรมเพื่อกำจัดผู้ละเมิด
Super Anti-Cheat ล้มเหลว
ตามที่นักวิจัยให้รายละเอียดไว้ “โปรแกรมป้องกันการโกงจะตรวจสอบฟิลด์ต่อไปนี้: sessionTime, timeUTC และคะแนน ซึ่งผู้ใช้จะต้องมีเวลาเพียงพอในการทำคะแนน กล่าวอีกนัยหนึ่ง หากผู้ใช้ทำคะแนนได้ 10 คะแนนในเวลาเซสชัน XNUMX วินาที สิ่งนี้เป็นไปไม่ได้ [และ] โปรแกรมป้องกันการโกงจะตรวจจับผู้ที่อาจโกงได้”
อย่างไรก็ตาม นักวิจัยของ Blaze ใช้เวลาน้อยกว่า 20 นาทีในการข้ามกลไกป้องกันการโกง พวกเขาสร้าง “สคริปต์ที่มีพฤติกรรมของมนุษย์ (การหลับธรรมดาและตัวเลขสุ่ม) ที่จะสร้างคะแนนสูงในเวลาที่มนุษย์เข้ากันได้ [ทาง]” ตามโพสต์ และเพื่อเพิ่มการดูถูกการบาดเจ็บ “ในสคริปต์เวอร์ชันถัดไป เราได้ใช้ … มัลติเธรดและสนับสนุนการใช้ประโยชน์จากทั้งสามเกมพร้อมกัน”
ในที่สุด Manarium ก็ปิดระบบโดยกำจัดวิธีแก้ไขหรือสร้างข้อมูลที่ไม่ได้ลงนามโดยผู้ใช้ด้วยการใช้ระบบกุญแจ
Blaze ตรวจสอบการแก้ไขว่าใช้งานได้ แต่การล่า (เกม?) ยังคงอยู่: "การวิจัยในอนาคตจะมุ่งเน้นไปที่การค้นหาคีย์นี้และพยายามบายพาสใหม่อีกครั้ง" โพสต์สรุป
GameFi: ประสิทธิภาพการรักษาความปลอดภัยทางไซเบอร์ต่ำกว่ามาตรฐาน
การวิจัยเพิ่มความกังวลที่เพิ่มขึ้นในภาคเกม crypto การวิเคราะห์จาก Hacken เมื่อเดือนสิงหาคมที่ผ่านมาสรุปว่าเกม P2E โดยทั่วไปมีระดับความพร้อมด้านความปลอดภัยทางไซเบอร์ที่ “ไม่น่าพอใจ” — และการแฮ็กครั้งใหญ่บนแพลตฟอร์มใดแพลตฟอร์มหนึ่งนั้น “เป็นเพียงเรื่องของเวลาเท่านั้น” เพราะพวกเขา “ให้ความสำคัญกับการรักษาความปลอดภัย”
แต่เดิมพันสำหรับนักเล่นเกม P2E และนักลงทุนนั้นสูง ตัวอย่างเช่น ในเดือนมีนาคม 2022 การปล้นทรัพย์สินมูลค่า 625 ล้านดอลลาร์ จัดขึ้นในเกม Axie Infinity นำไปสู่แพลตฟอร์มดังกล่าวโดยเห็นจำนวนผู้ใช้ที่ลดลงอย่างมากและจำนวนเงินที่ผู้เล่นเกมใส่ต่อสัปดาห์ มันเป็นความปราชัยจากที่ได้ ยังไม่ฟื้นตัว
“โครงการ GameFi … ไม่ปฏิบัติตามแม้แต่คำแนะนำด้านความปลอดภัยทางไซเบอร์ที่สำคัญที่สุด ปล่อยให้ผู้ไม่หวังดีเข้าโจมตีหลายจุด” ตามรายงานของ Hacken ซึ่งระบุลักษณะนี้ว่าเป็นการกำกับดูแลที่สำคัญ เนื่องจาก P2E เป้าหมายมีความชุ่มฉ่ำเพียงใด
“แม้ว่าจะเป็นที่เข้าใจกันดีว่าต้องการเป็นเจ้าแรกที่ทำการตลาดบนผลิตภัณฑ์หรือแอปพลิเคชัน ความเสี่ยงในการปรับใช้เกมสินทรัพย์ดิจิทัลเหล่านี้โดยไม่มีการรักษาความปลอดภัยที่เหมาะสมสำหรับความเสี่ยงทั้งแบบ on-chain และ off-chain อาจทำให้องค์กรมีความเสี่ยงสำหรับโฮสต์ จากความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์” Karl Steinkamp ผู้อำนวยการฝ่ายการเปลี่ยนแปลงการจัดส่งและระบบอัตโนมัติของ Coalfire กล่าว
เขากล่าวเสริมว่า “แทนที่จะเป็นเช่นนั้น องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าพวกเขาผ่านขั้นตอนการทำให้ส่วนประกอบแต่ละอย่างของแพลตฟอร์มแข็งแกร่งขึ้นอย่างเพียงพอก่อนที่จะเปิดตัว และหลังจากนั้น เป็นระยะๆ และเกิดขึ้นซ้ำๆ องค์กรอาจใช้เครื่องมือเช่น DArcher และอื่น ๆ เพื่อตรวจสอบความถูกต้องว่าพวกเขาได้จัดการกับความเสี่ยงทั้งแบบ on-chain และ off-chain อย่างเพียงพอ”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :เป็น
- 10
- 2022
- 7
- a
- สามารถ
- ข้างบน
- เข้า
- ตาม
- ลงชื่อเข้าใช้
- นักแสดง
- ที่เพิ่ม
- เพิ่ม
- อย่างเพียงพอ
- ผู้ดูแลระบบ
- การโฆษณา
- หลังจาก
- ทั้งหมด
- จำนวน
- จำนวน
- การวิเคราะห์
- วิเคราะห์
- และ
- ทุกคน
- การใช้งาน
- เป็น
- รอบ
- AS
- สินทรัพย์
- สินทรัพย์
- At
- การโจมตี
- พยายาม
- ดึงดูด
- สิงหาคม
- การยืนยันตัวตน
- อัตโนมัติ
- อวตาร
- หลีกเลี่ยง
- แอ๊กซี่
- แอ็กซี่อินฟินิตี้
- Back-end
- รากฐาน
- BE
- เพราะ
- กลายเป็น
- ก่อน
- การเริ่มต้น
- กำลัง
- ที่ใหญ่ที่สุด
- พันล้าน
- เป็นโรคจิต
- สร้าง
- by
- ที่เรียกว่า
- CAN
- โครงสร้างเงินทุน
- กรณี
- เปลี่ยนแปลง
- ลักษณะ
- รหัส
- รวบรวม
- นักสะสม
- ส่วนประกอบ
- กังวล
- สรุป
- เชื่อมต่อ
- เชื่อมต่อ
- ปลอบใจ
- สัญญา
- ได้
- ที่สร้างขึ้น
- หนังสือรับรอง
- การเข้ารหัสลับ
- การเล่นเกมคริปโต
- โทเค็น CRYPTO
- cryptocurrency
- กระเป๋าสตางค์ cryptocurrency
- เงินตรา
- อาชญากรไซเบอร์
- cybersecurity
- ประจำวัน
- การซื้อขายรายวัน
- Dangerous
- ข้อมูล
- Defi
- การจัดส่ง
- ปรับใช้
- รายละเอียด
- อุปกรณ์
- ดิจิตอล
- สินทรัพย์ดิจิตอล
- ผู้อำนวยการ
- ลง
- แต่ละ
- ได้รับ
- รายได้
- การกำจัด
- การเข้า
- จำเป็น
- แม้
- รัน
- สาขา
- เนื้อไม่มีมัน
- ไฟล์
- ในที่สุด
- เงินทุน
- Firebase
- ชื่อจริง
- แก้ไขปัญหา
- การแก้ไข
- ข้อบกพร่อง
- โฟกัส
- ปฏิบัติตาม
- ดังต่อไปนี้
- สำหรับ
- ฟอร์ม
- พบ
- ราคาเริ่มต้นที่
- ฟังก์ชัน
- อนาคต
- เกม
- เกม fi
- นักเล่นเกม
- เกม
- การเล่นเกม
- แพลตฟอร์มเกม
- General
- สร้าง
- สร้าง
- การสร้าง
- กำหนด
- มากขึ้น
- การเจริญเติบโต
- สับ
- สับ
- มี
- ปล้น
- จุดสูง
- หวัง
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- เป็นมนุษย์
- การดำเนินการ
- เป็นไปไม่ได้
- in
- ในอื่น ๆ
- ในเกม
- ที่เพิ่มขึ้น
- ความไม่มีที่สิ้นสุด
- ข้อมูล
- แรกเริ่ม
- ตัวอย่าง
- แทน
- ดูถูก
- อินเตอร์เฟซ
- นักลงทุน
- IT
- ITS
- ตัวเอง
- JavaScript
- JSON
- กรกฎาคม
- คีย์
- ที่รู้จักกัน
- ชื่อสกุล
- เปิดตัว
- การออกจาก
- นำ
- ชั้น
- ระดับ
- กดไลก์
- Line
- ล็อค
- สำคัญ
- ทำ
- การทำ
- มีนาคม
- ตลาด
- มูลค่าหลักทรัพย์ตามราคาตลาด
- มาก
- เรื่อง
- อาจ..
- กลไก
- ล้าน
- นาที
- โมเดล
- การแก้ไข
- เงิน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การเคลื่อนไหว
- ที่มีชื่อ
- ใหม่
- ถัดไป
- NFT
- NFTS
- จำนวน
- ตัวเลข
- มากมาย
- of
- เสนอ
- on
- บนโซ่
- ONE
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- การควบคุม
- พีทูอี
- เกม P2E
- ต้องจ่าย
- พารามิเตอร์
- ผ่าน
- ปะ
- ชำระ
- การจ่ายเงิน
- การชำระเงิน
- เป็นระยะ
- เวที
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- เล่นเพื่อรับ
- เล่นเพื่อหารายได้ (P2E)
- ผู้เล่น
- เล่น
- PoC
- จุด
- สระ
- เป็นไปได้
- โพสต์
- ก่อน
- รางวัล
- ปัญหา
- ผลิตภัณฑ์
- กำไร
- โครงการ
- เหมาะสม
- การตีพิมพ์
- ใส่
- อย่างรวดเร็ว
- สุ่ม
- การเตรียมความพร้อม
- รับ
- แนะนำ
- กู้
- รายงาน
- จำเป็นต้องใช้
- การวิจัย
- นักวิจัย
- คำตอบ
- ความเสี่ยง
- ความเสี่ยง
- บทบาทการเล่น
- ราก
- s
- พูดว่า
- คะแนน
- ค้นหา
- ที่สอง
- ภาค
- ความปลอดภัย
- เห็น
- ขาย
- การส่ง
- บริการ
- เซสชั่น
- ชุด
- น่า
- แสดง
- ง่าย
- พร้อมกัน
- นอนหลับ
- สมาร์ท
- สัญญาสมาร์ท
- So
- จนถึงตอนนี้
- บาง
- ยังคง
- ที่ประสบความสำเร็จ
- เพียงพอ
- ยิ่งใหญ่
- สนับสนุน
- รองรับ
- ระบบ
- เป้า
- ภาษี
- ทีม
- ทดสอบ
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สาม
- ตลอด
- เวลา
- หมดเวลา
- ไปยัง
- โทเค็น
- ราชสกุล
- เครื่องมือ
- การแข่งขัน
- การแข่งขัน
- เทรด
- ปริมาณการซื้อขาย
- การแปลง
- เข้าใจได้
- การปรับปรุง
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- นำไปใช้
- ตรวจสอบความถูกต้อง
- การตรวจสอบแล้ว
- ตรวจสอบ
- ผ่านทาง
- ปริมาณ
- ความอ่อนแอ
- กระเป๋าสตางค์
- ทาง..
- วิธี
- เว็บ
- 3 เว็บ
- 3.0 เว็บ
- Website
- สัปดาห์
- อะไร
- ที่
- ในขณะที่
- จะ
- ชนะ
- ผู้โชคดี
- การชนะ
- กับ
- ภายใน
- ไม่มี
- คำ
- การทำงาน
- ลมทะเล