P2E:网络安全研究发现:P2E项目遭遇黑客攻击只是时间问题

“边玩边赚”(P2E)市场已经成为Web3.0最大的利基市场之一。截至2022年7月初,P2E项目的市值为65亿美元,日交易量超过8.5亿美元。全球有超过30亿电子游戏玩家,电子游戏行业可能会成为加密货币进一步增长的主要渠道。

P2E与虚拟资产有很强的联系,因此它分担了加密货币带来的许多风险,包括网络安全威胁。这个行业吸引的资金越多,就越容易成为不法分子的目标。

在这种环境下,安全成为这个利基领域最紧迫的问题之一。那么P2E目前在安全方面的趋势是什么呢?我们能期望减少黑客攻击的数量,或者为行业制定通用的安全标准吗?

2022年3月,最著名的P2E项目之一AxieInfinity遭受黑客攻击,损失6.25亿美元,这成为P2E利基市场迄今为止最大的黑客攻击。在攻击发生前,该平台每天可以吸引逾200万的用户。

前FBI团队成立网络安全调查公司NAXO:金色财经报道,专注于加密货币和其他新兴技术的网络安全调查公司NAXO宣布正式成立,NAXO由曾领导摧毁臭名昭著的“丝绸之路”市场的前执法人员、计算机科学家和安全研究人员共同创立,提供必要的专业知识和敏捷性,以跟上网络犯罪分子不断演变的策略。NAXO的专长包括:

1.复杂的加密货币和网络调查,以快速彻底地确定事实以支持诉讼、公司调查或执法转介。

2.数字取证和高级数据恢复以发现争议或起诉中的关键证据;

3.网络安全评估和事件响应,包括加密货币领域的客户。[2022/10/20 16:32:43]

AxieInfinity构建在其原生区块链Ronin之上。黑客们攻击Ronin,成功地入侵了AxieInfinity的系统,使用密钥来验证网络上的交易。通过访问5个验证者节点(其中4个直接属于AxieInfinity,另1个是由AxieDAO运行的第三方节点),他们成功地伪造了假提款。SkyMavis团队认为这次黑客攻击与技术漏洞和社会工程有关。

网络安全解决方案提供商:加密货币将推动勒索软件行业发展:12月20日消息,随着人们对加密货币的兴趣日益高涨,网络安全专家警告称,黑客可能会拿出资金充足的攻击手段来利用这个机会。美国网络安全解决方案提供商Palo Alto Networks表示,加密货币将推动勒索软件行业的崛起和发展。该机构发布了新年网络安全领域的一系列预测,称重要基础设施可能会遭受更大规模的攻击。(BusinessLine)[2021/12/20 7:51:25]

让我们使用加密网络安全数据聚合器CER.live中的数据来评估P2E网络安全的情况。CER.live分析了P2E和GameFi项目的数百项指标,制定了最全面的安全排名。

目前,P2E的加密游戏行业包括170多个项目和44个市值都超过500万美元的风投资金。排名前5的是TheSandbox、Decentraland、AxieInfinity、Stepn和Gala。

网络安全会议与会者:美国政府必须“更加严厉地”打击加密行业:8月26日消息,美国全国广播公司财经频道记者Eamon Javers发推表示,拜登的网络安全会议与会者之一表示,美国政府必须“更加严厉地”打击加密货币行业。他引用了一位不愿透露姓名的 CEO 的话,这位 CEO 也出席了长达数小时的会议,会议的重点是与大型科技公司和金融领袖讨论网络安全计划。峰会结束后,谷歌、 IBM 和其他科技巨头承诺投入数十亿美元支持网络安全,他们认为这是十年来的关键问题之一。[2021/8/26 22:38:41]

目前的网络安全分析涵盖了31个项目,结果不理想。虽然只有AxieInfinity发生过安全事故,但这些项目都没有获得AAA、AA甚至A的安全评级。(CER.live采用了经典的评级方法,AAA为最高评级,D为最低评级。低于DDD的评级意味着未来发生黑客攻击或其他安全事件的风险增加。)

声音 | Coinbase联合创始人:Zcash准备增强网络安全性,金融安全将使世界变得更好、更自由:据AMBCrypto消息,Coinbase联合创始人兼首席执行官Brian Armstrong发推表示,“一个可扩展、足够去中心化、默认支持私密交易的(隐私币)区块链将会改变游戏规则。” 他认为,加密货币应该朝着相同的方向发展,就像从HTTP见证的互联网一样,在当前的HTTPS和默认情况下接受的许多其他升级中添加安全因素。 上述推文是关于第二大隐私币Zcash基金会通过合作推出以增强网络安全为首要目标的软件(Zebra Alpha版本)。此外,Zcash背后的ECC公司首席工程师Nathan Wilcox透露,ZCash团队的目标是到2050年让100亿人能够访问该网络,这可能需要对其基础设施进行重大改造。 Brian Armstrong意识到有必要扩容,“默认情况下加密货币有点难以扩展,但我认为可能。有些人正在努力……” Armstrong进一步表示,每个人“拥有金融隐私将会是一个更好/更自由的世界”。[2019/6/24]

最近备受瞩目的黑客攻击表明,代码漏洞和用户放弃基本安全建议是网络攻击的最常见原因;

这些P2E项目都没有保险,这意味着如果黑客攻击发生,除非项目找到其他资金来源,否则用户无法拿回他们的钱;

只有2个项目有bug赏金计划:剩下的29个P2E游戏在永久安全方面只依靠自己的资源;

虽然有14个项目进行了代币审核,但只有5个项目进行了平台审核。

根据CER.live提供的数据,我们可以看到GameFi项目将利润置于安全之上,甚至不遵循最基本的网络安全建议,给不法分子留下了大量的攻击入口。

技术专家兼Farcana首席执行官IlmanShazhaev表示,下一个大问题是区块链桥在Play-to-Earn中的受欢迎程度及其漏洞。然而,在Axie的案例中,黑客们追求的不仅仅是金钱:通过破坏数百万人玩的游戏,黑客或组织的假名会随着他们获得某种名声而迅速传播。

Ilman补充道:“另一个漏洞与内部人士有关,黑客贿赂一名泄露他们所需信息的团队成员,从而窃取用户的资金。这个过程并不总是关于分享登录凭证:有时是偷偷告知黑客代码中的漏洞,即使是在高级网络安全政策的情况下。

当然,我们也不能忘记许多项目的原始性质。许多P2E游戏开发商都希望尽快将游戏推向市场:与此同时,有些开发商为了省钱省时而放弃进行高质量的代码审核。”

那么,GameFi项目应该考虑哪些必要的安全因素呢?

进行智能合约审核

代码的自动和手动分析允许检测不同严重级别的漏洞,并解决安全问题和业务逻辑缺陷。在被审计的项目中,事件发生率最低的智能合同审计服务的供应商有OpenZeppelin、ConsenSys和Hacken等。

推出bug赏金奖励项目

有了在赏金项目,数十名甚至数百名道德高尚的黑客同时对项目的安全性进行独立分析,并因他们发现的漏洞获得金钱奖励。主要的漏洞悬赏平台有BugCrowd、HackerOne、HackenProof、ImmuneFi、Synack和YesWeHack等。

购置保险

有了保险,项目及其用户可以获得全额或部分退款,以弥补他们在黑客攻击中损失的资金。主要的保险供应商有NexusMutual和InsurAce.io和inSure等。

在AxieInfinity被黑客攻击后,许多不法分子意识到,P2E加密游戏积累了巨大的资产,他们通过精心计划的攻击可以轻松从中窃取资产。安全专家承认,P2E游戏的大规模黑客攻击在未来几乎不可避免。P2E和GameFi加密项目的进一步普及将伴随着针对这些玩家的网络犯罪的加剧。

在这种情况下,玩家应该意识到他们必须注意自己的安全。在投入一大笔钱于某款P2E游戏之前,用户至少应该使用CER.live和CoinGecko等独立平台提供的数据对该项目进行基本的安全审查。当然,投资P2E虽然依然有利可图,但也伴随着相当大的风险。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:0ms0-7:599ms