Manarium play-to-earn (P2E) oyun platformunun kavram kanıtı (PoC) hack'i, araştırmacıların günlük turnuvaları kazanmak ve kripto jetonları toplamak için puanlarını keyfi olarak değiştirmelerine izin verirken, erişim için gereken ilk buy-in'den kaçındı. sistem.
P2E oyun (GameFi veya kripto oyun olarak da bilinir) kullanmayı içerir fungible token'lar (NFT'ler) Bir tür oyun içi para birimi olarak: Oyuncular, NFT'lerini avatar ve diğer rol yapma cihazları olarak kullanmak üzere diğer koleksiyonculara ve oyunculara satabilir ve bunları oyun kazanarak veya oyun içi reklamcılık yoluyla kazanabilirler.
Birkaç model var ve şimdiye kadar P2E çılgınca başarılı oldu: "Kazanmak için oyna pazarı, Web 3.0'ın en büyük nişlerinden biri haline geldi" Hacken'den bir analiz geçen Ağustos, eGamers web sitesinde yayınlandı. "Temmuz 2022 başı itibarıyla kazan-kazan projelerinin piyasa değeri 6.5 milyar dolar ve günlük işlem hacmi 850 milyon dolardan fazla."
Konuda olduğu gibi merkezi olmayan finans (DeFi) alanıNew York Times'a göre, P2E oyunları aracılığıyla işlem gören kripto miktarının artması, siber suçluların dikkatini çekti. Blaze Information Security'deki araştırmacılardan analiz. Böylece, Manarium platformunun güvenliğini test etmek için yola çıktılar ve yol boyunca üç düzeyde güvensizlikle karşılaştılar.
Oyun Sistemini Oynatmanın Kolay Yolları
Manarium örneğinde, platform her biri günlük bir turnuva sunan mini oyunları destekler. Kullanıcılar cüzdanlarını oyuna bağlar ve doğrulanır; 300 ARI ödüyorlar (bir tür NFT art ile değiştirilebilen jeton) önceden; daha sonra ödül havuzunun bir kısmını (daha fazla ARI şeklinde) kazanma umuduyla bir turnuvada oynarlar. Turnuva sona erdiğinde, oyunun arka uç sunucusu puanları hesaplar ve kazançları kullanıcıların doğrulanmış kripto para birimi cüzdanlarına ödemek için kazananların akıllı sözleşmelerine bağlanır.
İlk olarak, platformun JavaScript dosyalarından birini analiz ederken, Blaze araştırmacılarına açıkça adlandırılmış bir işlev sıçradı: "UpdateAccountScore."
İşlev şu parametreleri iletir: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,”score”:SCORE}” ) ve araştırmacılar, Oyun Penceresi yoluyla Manarium arayüzünün Konsol Sekmesinde bu parametreleri istedikleri zaman değiştirebildiklerini keşfettiler.
"Bu güvenlik açığı daha tehlikeli çünkü ödemeyi yaparken (kazananlar için) kullanıcının oyunu oynamak için başlangıç vergisini (300 ARI) ödeyip ödemediğini doğrulamadılar, bu nedenle bu kod satırını çalıştıran herhangi biri oynamadan jetonları alabilir. oyun ya da vergi ödemek,” analize göre.
Manarium güvenlik açığını hızlı bir şekilde düzeltti, ancak karışıma sabit kodlanmış kimlik bilgileri eklediği için yamanın kendisi kusurluydu.
Analize göre "Manarium Ekibi, verileri göndermeden önce kimlik doğrulaması ekleyerek puan tablosunun [veri] [arka uç] hizmetine nasıl gönderileceğini değiştirdi ve bu kimlik doğrulama yalnızca bir yönetici hesabı aracılığıyla yapılmalıdır." "Sorun şuydu ki, Manarium Ekibi [yönetici] kimlik bilgilerini 'Build.data' dosyasına gömdü."
Bu, araştırmacıların kimlik bilgilerini girerek, bir kimlik doğrulama belirteci oluşturarak ve skoru güncelleyerek oyun verilerini manipüle etmesine izin verdi.
Yanıt olarak Manarium, kötüye kullananların kökünü kazımak için davranışsal analiz kullanan "Süper Hile Önleme" adını verdiği şeyi uyguladı.
Süper Hile Önleme Başarısız
Araştırmacıların ayrıntılı olarak açıkladığı gibi, "Hile önleme şu alanları doğrular: sessionTime, timeUTC ve kullanıcının skor yapmak için yeterli zamana sahip olması gereken skor. Başka bir deyişle, bir kullanıcı bir saniyelik oturum süresinde 10 puan alırsa bu imkansızdır [ve] anti-hile olası bir hileciyi tespit edecektir.”
Ancak, Blaze araştırmacılarının hile önleme mekanizmasını aşması 20 dakikadan az sürdü. Gönderiye göre, "insan davranışına (basit bir uyku ve bazı rasgele sayılar) sahip, zamanlanmış insan uyumlu [yolda] yüksek bir puan oluşturacak bir komut dosyası" oluşturdular. Yaralanmaya hakaret eklemek için, "senaryonun sonraki sürümlerinde, çoklu kullanım ve üç oyunun tümünü aynı anda kullanma desteğini uyguladık."
Manarium nihayet, imzasız verilerin bir anahtar sistem kullanılarak bir kullanıcı tarafından değiştirilmesi veya üretilmesi için herhangi bir yolu ortadan kaldırarak sistemini kilitledi.
Blaze, düzeltmenin işe yaradığını doğruladı, ancak av (oyun?) hala devam ediyor: "Gelecekteki araştırmalar, bu anahtarı aramaya ve yeniden yeni bir baypas girişiminde bulunmaya odaklanacak."
GameFi: Düşük Performanslı Siber Güvenlik
Araştırma, kripto oyun sektörü etrafında büyüyen bir endişeye katkıda bulunuyor. Geçen Ağustos ayında Hacken tarafından yapılan bir analiz, P2E oyunlarının genel olarak "yetersiz" bir siber güvenlik hazırlığına sahip olduğu ve platformlardan birinde büyük bir saldırının "sadece an meselesi" olduğu, çünkü "kârları güvenliğin önüne koyduğu" sonucuna vardı.
Ancak P2E oyuncuları ve yatırımcıları için risk yüksektir: Örneğin, Mart 2022'de 625 milyon dolarlık bir varlık soygunu Axie Infinity oyununda düzenlenen bu platformun, kullanıcı sayısında ve oyuncular tarafından haftalık olarak yatırılan para miktarında büyük bir düşüş görmesine yol açtı. Bu, sahip olduğu bir aksilik henüz iyileşmek için.
Hacken raporuna göre, "GameFi projeleri ... en temel siber güvenlik tavsiyelerine bile uymuyor, kötü niyetli aktörlere saldırılar için çok sayıda giriş noktası bırakıyor" ve bu, P2E'nin ne kadar sulu bir hedef haline geldiği göz önüne alındığında, bunu büyük bir gözetim olarak nitelendiriyor.
“Bir ürünü veya uygulamayı ilk pazarlayan olmak istemek anlaşılır olsa da, bu dijital varlık oyunlarını zincir içi ve zincir dışı riskler için uygun güvenlik olmadan dağıtma riski, kuruluşu bir ana bilgisayar için riske atabilir. Siber güvenlik riskleri," diyor Coalfire'da dağıtım dönüşümü ve otomasyon müdürü Karl Steinkamp.
Bunun yerine kuruluşlar, platformlarının her bir bileşenini lansmandan önce ve ardından periyodik ve yinelenen bir temelde yeterince sağlamlaştırma hareketlerinden geçtiklerinden emin olmalıdır. Kuruluşlar, zincir içi ve zincir dışı riskleri yeterince ele aldıklarını doğrulamak için DArcher ve benzerleri gibi araçları kullanabilir.”
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- Kaynak: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
- :dır-dir
- 10
- 2022
- 7
- a
- Yapabilmek
- yukarıdaki
- erişim
- Göre
- Hesap
- aktörler
- katma
- Ekler
- yeterli olarak
- Gizem
- reklâm
- Sonra
- Türkiye
- miktar
- tutarları
- analiz
- analiz
- ve
- kimse
- Uygulama
- ARE
- etrafında
- AS
- varlık
- Varlıklar
- At
- saldırılar
- teşebbüs
- çekti
- Ağustos
- Doğrulama
- Otomasyon
- Avatarlar
- kaçınma
- eksen
- Axie Sonsuzluk
- Arka uç
- temel
- BE
- Çünkü
- müşterimiz
- önce
- Başlangıç
- olmak
- Biggest
- Milyar
- böcek
- inşa etmek
- by
- denilen
- CAN
- sermayelendirme
- dava
- değişiklik
- karakterize eden
- kod
- toplamak
- koleksiyoncular
- bileşenler
- İlgilendirmek
- sonucuna
- Sosyal medya
- bağlanır
- konsolos
- sözleşmeleri
- olabilir
- çevrimiçi kurslar düzenliyorlar.
- Tanıtım
- kripto
- Kripto Oyun
- KRİPTO TOKENLERİ
- cryptocurrency
- cryptocurrency cüzdanlar
- Para birimi
- SİBER CEZA
- Siber güvenlik
- günlük
- günlük ticaret
- Tehlikeli
- veri
- Defi
- teslim
- dağıtma
- detaylı
- Cihaz
- dijital
- Dijital Varlık
- yönetmen
- aşağı
- her
- kazanmak
- Kazanç
- ortadan
- giriş
- gerekli
- Hatta
- çalıştırır
- Alanlar
- fileto
- dosyalar
- Nihayet
- maliye
- Firebase
- Ad
- sabit
- sabit
- kusurlu
- odak
- takip et
- takip etme
- İçin
- Airdrop Formu
- bulundu
- itibaren
- işlev
- gelecek
- oyun
- oyun
- Gamers
- Games
- kumar
- oyun platformu
- genel
- oluşturmak
- oluşturulan
- üreten
- verilmiş
- büyük
- Büyüyen
- kesmek
- doğramak
- Var
- soygun
- Yüksek
- umut
- ev sahibi
- Ne kadar
- Nasıl Yapılır
- HTTPS
- insan
- uygulanan
- imkânsız
- in
- Diğer
- oyunda
- artan
- Sonsuzluk
- bilgi
- ilk
- örnek
- yerine
- Hakaret
- arayüzey
- Yatırımcılar
- IT
- ONUN
- kendisi
- JavaScript
- json
- Temmuz
- anahtar
- bilinen
- Soyad
- başlatmak
- ayrılma
- Led
- seviye
- seviyeleri
- sevmek
- çizgi
- kilitli
- büyük
- yapmak
- Yapımı
- Mart
- pazar
- Piyasa kapitalizasyonu
- masif
- Mesele
- Mayıs..
- mekanizma
- milyon
- dakika
- modelleri
- değiştirilmiş
- para
- Daha
- çoğu
- hareketler
- adlı
- yeni
- sonraki
- NFT
- NFT'ler
- numara
- sayılar
- sayısız
- of
- teklif
- on
- Zincir Üzerinde
- ONE
- sipariş
- kuruluşlar
- organizasyonlar
- Diğer
- gözetim
- P2E
- P2E oyun
- ödenmiş
- parametreler
- geçer
- Patch
- ödeme yapan
- ödeme
- periyodik
- platform
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- OYNA
- kazanmak için oyna
- kazanarak oyna (P2E)
- oyuncular
- oynama
- PoC
- noktaları
- havuz
- mümkün
- Çivi
- Önceki
- ödül
- Sorun
- PLATFORM
- kar
- Projeler
- uygun
- yayınlanan
- koymak
- hızla
- rasgele
- hazır olma
- teslim almak
- tavsiyeler
- Kurtarmak
- rapor
- gereklidir
- araştırma
- Araştırmacılar
- yanıt
- Risk
- riskler
- Rol yapma oyunu
- kök
- s
- diyor
- Gol
- arama
- İkinci
- sektör
- güvenlik
- görme
- satmak
- gönderme
- hizmet
- Oturum
- set
- meli
- vitrin
- Basit
- aynı anda
- uyku
- akıllı
- Akıllı Sözleşmeler
- So
- şu ana kadar
- biraz
- Yine
- başarılı
- yeterli
- harika
- destek
- Destekler
- sistem
- Hedef
- vergi
- takım
- test
- o
- The
- ve bazı Asya
- Onları
- Bunlar
- üç
- İçinden
- zaman
- zamanlanmış
- için
- simge
- Jeton
- araçlar
- turnuva
- Turnuvalar
- Trading
- Işlem hacmi
- Dönüşüm
- anlaşılabilir
- güncellenmesi
- kullanım
- kullanıcı
- kullanıcılar
- kullanmak
- DOĞRULA
- Doğrulanmış
- doğrulamak
- üzerinden
- hacim
- güvenlik açığı
- Cüzdan
- Yol..
- yolları
- ağ
- Web 3
- Web 3.0
- Web sitesi
- hafta
- Ne
- hangi
- süre
- irade
- kazanmak
- Kazananlar
- kazanan
- ile
- içinde
- olmadan
- sözler
- çalışma
- zefirnet