Beosin 对于 GameFi 的生态安全非常重视,此前已审计多个 GameFi 项目与游戏公链。

封面:Photo by Harpal Singh on Unsplash

GameFi 在经历 2021 年以 Axie Infinity 为代表的 GameFi 游戏热潮和泡沫破裂后,于 2023 年下半年开始恢复,3A 链游 Bigtime 的爆火引起了市场对于 GameFi 的广泛关注。2024 年 1 月 9 日,Arbitrum Layer3 Xai 游戏专有链正式推出;1 月 12 日,游戏平台 SkyArk Chronicles 完成由 Binance Labs 领投的 1500 万美元融资。新公链+新游戏的组合成为市场的关注重点,不少用户对 GameFi 在未来的表现寄予厚望。

Beosin 审计过的 GameFi 项目包括 Ronin Network、SpaceRunners、WastedLands、Good Games Guild 等,在审计的过程中我们也发现了 GameFi 项目方容易忽略的安全问题,这一点非常值得警惕!GameFi 赛道目前的发展情况如何?其中有哪些值得关注的项目?GameFi 赛道又将面临哪些安全挑战?今天 Beosin 团队将为大家一一解析。

目录

GameFi 赛道整体分析

2021 年,GameFi 相关项目融资总计超过 15 亿美元,除去 GameFi 代币的市值,仅 GameFi 项目的开发公司的总估值就近百亿美元。在经历 Web3 市场的寒冬后,据 Blockchaingamer 统计,约 31% 的 GameFi 项目已停止开发或是处于不活跃状态。

source: https://www.footprint.network/@Higi/Inactive-games-Dashboard

得益于市场的回暖和新 GameFi 项目带来的热度,目前 GameFi 整体活跃度有较大提升。以以太坊的头部链游为例,Gala、Stepn、Axie、Sandbox 等游戏在 2023 年年底的交易量创近一年新高。

source: https://dune.com/datafi/gamefi

在 2023 年 10 月,一级市场在 GameFi 赛道的融资超 1 亿美金,不少 GameFi 项目再次募集千万美元的资金继续用于游戏的开发、测试和推广。2024 年随着大量游戏的公测和正式上线,市场对于 GameFi 的关注度大概率上升。

GameFi 赛道重点项目

注:以下内容不构成投资建议。

游戏应用平台

1.  Ronin Network

Ronin 是一个专门为游戏设计的 EVM 区块链,由 Sky Mavis 推出,他们是曾经红极一时的链游 Axie Infinity 的开发团队,该项目已经产生了超过 13 亿美元的收入。

在经历 2022 年的安全事件后,Ronin Network 放弃采用原先的 Proof of Authority(PoA) 共识。PoA 基于信誉的共识机制,由 Sky Mavis 团队根据可信度挑选节点验证者,由他们来验证交易。节点验证者中有 Binance 和 Animoca Brands 这类知名公司。PoA 共识机制可以快速确认交易,但导致 Ronin Network 太过中心化。2023 年,Sky Mavis 决定降低中心化的风险并在 2023 年 4 月 12 日正式将共识机制升级为 DPOS。Beosin 对 Ronin Network 的主网、智能合约等方面进行了全面审计,并提供了详细的安全审计报告。本次 Beosin 安全团队对 Ronin Network 的安全审计,共发现 1 个高风险、4 个中风险、3 个低风险和 3 个提示风险。在 Beosin 安全团队的协助下,这些高、中、低相关风险已得到修复,这些修复措施有效提升了 Ronin 的安全性和稳定性,保障了用户资产的安全。

source: https://beosin.com/audits/Ronin%20Network_202303031441.pdf

升级共识后的 Ronin Network 比起之前更加去中心化,验证者节点数由 9 个增加到 22 个,且共有 27 个候选验证者。但 Sky Mavis 规定治理验证者一定为验证者,而 Sky Mavis、Yield Guild Games、NonFungible.com、Nansen、Google、DappRadar DAO 和 Animoca Brands 这类公司被定为治理验证者,还剩 15 个验证者的名额给到社区。

目前,Ronin Network 总 TVL 约 1.5 亿美元,其生态项目正在快速发展。Sky Mavis 开发了 Axie Infinity、Ronin Wallet、游戏 NFT 交易市场 Marketplace 与游戏整合平台 Mavis Hub。在 2023 年,Ronin 已和 Directive Games、Tribes、Bali Games 和 Bowled.io 等游戏工作室进行合作,将在 Ronin Network 上线多款游戏。

2.  Immuatable X

Immutable X 是专注与 NFT 与 GameFi 的 zk-Rollup Layer2,专门用于交易和转移 NFT,具有快速交易确认、零 gas 费用和高可扩展性。Immutable X 使用 StarkEx 技术构建。

Immutalbe X 使用的是类似于 Plasma 的 zk-Rollup 方案称为 Validium,与其它 zk-Rollup 方案不同的是 Validium 的数据是存储在链下的,这可以减少链上的计算量,进一步提高 TPS。其方案对比如下图所示:

Validium 的链下数据安全性主要依赖链下节点安全性,为实现高性能,Immutable X 使用链下交易牺牲了一定的安全性。如果一定数量的验证者被控制,则用户的资金可能被恶意冻结或者被转移。目前 Immutalbe X 生态中已运行多款游戏,如 Gods Unchained、Guild of Guardians 和 Illuvium,其中 Guild of Guardians 与 Illuvium 已发行游戏代币。

link: https://eagleeye.space/relation/immutable

3.  Xai

Xai 是基于 Arbitrum Nitro 构建的 Layer3,专注于 GameFi 项目的孵化和用户体验。其主要特点在于钱包的后端集成、提供无交易手续费的游戏体验和独特的游戏经济设计。目前 Xai 与游戏团队 Ex Populus 合作,在 Xai 链上开发 Final Form 和 LAMOverse 两款游戏。

Xai 已发行代币 XAI,该代币将作为 Xai 链的 gas 代币和节点奖励,更多用途需等待其网络中游戏上线才能知晓。目前 Xai 已收录至 EagleEye,用户可查询或监控相关链上活动。

link: https://eagleeye.space/detail/xai

4.  Oasys

Oasys 是一条专为游戏设计的以太坊侧链,采用 PoS 机制,具有 Layer1 和 Layer2。其中 Layer1 只用于运行代币、NFT、跨链桥和 Rollup 合约,游戏运行在专有的、零 gas 费的 Layer2 上。这种设计提高了交易速度和游戏体验。

Oasys Layer2 采用 Optimistic Rollup,但取消了 Optimistic Rollup 的 7 天挑战期,以提升用户体验。取消挑战期是由于其网络节点类似先前的 Ronin Network,由机构和公司控制,对于网络的资产和交易有绝对的控制权。

link: https://oasys.gamefi.org/

当前 Oasys 已有 6 条 Layer2,36 款游戏运行在这些 Layer2 上,玩家可以参与这些游戏获得 Oasys 的原生代币 OAS 奖励。

5.  Gala

Gala Games 在 2023 年 11 月宣布与 DWF Labs 达成战略合作关系,以推动 Galachain 的大规模采用。本次合作让这个在 2021 年大火的 GameFi 项目再度受到市场关注。

Gala Games 已上线多款游戏,并将其业务拓展至音乐和电影领域。在 2023 年 1 月,Gala Games 优化了其代币模型,在 Gala 平台上用 Gala 代币进行购买与支付时,所花费的 Gala 代币将被分配给节点以增加节点收益。用户可通过 EagleEye 监测 Gala 代币的链上活动:

link: https://eagleeye.space/detail/gala

6.  Myria

Myria 是专为 GameFi 开发的以太坊 Layer2。与 Immutable X 类似,Myria 与 StarkWare 合作开发,采用 StarkWare 的 STARK 证明器和 zk-Rollup 技术,但其交易最终将由以太坊网络确认。其代币为 MYRIA,链上流动性不足,主要交易量集中在 OKX、Bitget 等中心化交易所。

link: https://eagleeye.space/detail/myria

目前 Myria 已发布多款免费游戏,如 Metarush、Metakart、Block Royale、Starstrike Legends 和 Mooville Farm,致力于构建类似 Gala Games 的游戏平台。

全链游戏

全链游戏(fully onchain game)是指所有的游戏逻辑和状态都运行和存储在区块链网络上的游戏。此前由于区块链网络的性能瓶颈和基础设施的欠缺,大部分 GameFi 游戏只将游戏资产上链。而在 2023 年,全链游戏有了非常显著的进展,吸引了一部分开发者参与全链游戏的开发中。其原因如下:

1.  a16z、Jump Crypto 等投资机构对于全链游戏的重视和推动,支持全链游戏这个子赛道的发展。

2.  AA 钱包开始逐渐普及,用户无需对每一步链上操作都进行签名,可以在完成一回合/多步操作后进行签名,更新游戏状态。这提高了用户参与全链游戏的体验。

3.   游戏引擎的发展降低了开发者开发全链游戏的门槛。目前 Starknet 的 Dojo 游戏引擎、引入 OP Stack 的 MUD 游戏引擎最受开发者欢迎。

在 2023 年,全链游戏已成为 GameFi 赛道的一个重点。而许多全链游戏目前已进入测试网阶段,具有一定的可玩性,以下是目前市场较为关注的全链游戏。

1.  Realms World

Realms World 是 Loot NFT 项目的游戏生态系统,目前 Realms World 已有 Loot Survivor、Realms: Eternum 等 8 款游戏,这些游戏都是基于 Starknet 的 Dojo 制作。其中 Loot Survivor 是一款生存冒险类游戏,采用了独特的 Play2Die 机制,玩家在游戏中需要与怪物战斗/逃跑、升级角色各种属性、收集装备以延长生存时间,并争夺排行榜中的更高位置。

link: https://realms.world/

Realms: Eternum 是一款 MMO 策略游戏,玩家将建立和发展自己的王国,同时抵御其他玩家对自己王国的攻击。Eternum 中的每个王国实际都是一个 NFT,该 NFT 也用于 Realms World 的治理,并且可以通过质押 NFT 以赚取 Realms World 的生态代币 LORDS。

目前 EagleEye 已收录 LORDS 代币,用户可在 EagleEye 上监控 LORDS 代币的链上异动:

link: https://eagleeye.space/detail/lords

2.  Sky  Strife

Sky Strife 是一款基于 MUD 游戏引擎构建的全链游戏。它以快节奏的实时战略 (RTS) 战斗为特色,其背后团队为构建 MUD 引擎的 Lattice 团队。Sky Strife 的游戏玩法与其他即时战略类游戏类似,以 Sky Strife 的四人地图为例,开局后四个玩家分别位于地图各自的主基地中。玩家的目标是争夺更多的资源以生产士兵,出兵攻占其他玩家的主基地。玩家需要在生产士兵、控制地图中的资源、防御基地和攻击其他玩家的基地之间分配资源,制定合适的策略。

Sky Strife 目前处于测试网阶段,其代币为 ORB,目前还未发行。Sky Strife 的开发团队计划迭代地将 Sky Strife 转变为一个拥有资源、逻辑和可以自由构建的经济的自治世界,允许社区在 Sky Strife 世界中开发新的链上游戏、游戏规则和游戏模块。

3.  Cellula

Cellula 是一款全链人工生命模拟游戏。玩家在 Cellula 中通过组合和拼装生命最小的单元——细胞,创造出形态和外观各异的人工 “生命”。玩家可以观察这些 “生命” 在虚拟空间中成长、繁殖和进化的过程。Cellula 使用以太坊区块高度充当 “时间”,每个 “生命 “都会随着以太坊成长和进化。

link: https://play.cellula.life/home

Web2.5 游戏

除全链游戏外,其它 GameFi 游戏可划分为 Web2.5 游戏,即游戏资产上链,游戏大部分逻辑由中心化服务器处理的链游。2023-2024 年,有许多此类游戏开启公测或是正式上线,如多人在线角色扮演游戏 Bigtime、第一人称射击游戏 Matr1x FIRE 和 SHRAPNEL、策略类游戏 GasHero。

目前这类游戏吸取了 2021 年链游的失败教训,以 Play & Earn 为主,从游戏画面、游戏玩法、游戏体验上优化 Play 部分;从代币经济设计上优化 Earn 部分,以免费或是低门槛吸引用户。

GameFi 安全挑战

GameFi 将不仅为玩家提供了代币激励,还赋予了玩家对于游戏资产的所有权,以加密经济和去中心化为特点打造游戏项目。而 GameFi 的发展中面临着许多安全漏洞与黑客的攻击,这些威胁不仅对用户的资产安全构成了严重威胁,也对整个 GameFi 生态的健康发展带来了严重的负面影响。

Beosin 对于 GameFi 的生态安全非常关注,此前火爆的 Fren PetxPet 等链游项目一经推出,Beosin 就对其代币和游戏合约进行安全分析,以避免潜在漏洞攻击。那么,GameFi 有哪些常见的安全问题呢?又该如何提高 GameFi 的安全性呢?针对此,Beosin 梳理了以下安全风险和建议。

1.  链上安全挑战

1.1.  代币合约漏洞

GameFi 项目通常采用 1 种或者多种代币作为游戏内购买道具、奖励玩家的货币。而代币合约用于管理代币的铸造、交易和销毁,如果代币合约存在漏洞可能会对整个游戏的经济体系造成毁灭打击。

代币合约通常具有中心化风险,即代币合约的所有者/管理员权限过高,合约所有者/管理员可修改代币交易费用,阻止用户买入或卖出,添加地址黑名单,无限增发、甚至重置任意地址的代币余额。

用户可通过 EagleEye 平台查询代币合约地址的风险。EagleEye 会对代币合约风险进行检测和提示,帮助用户规避潜在损失。以下是对 xPet 项目 $BPET 代币的无限铸币提醒:

1.2 业务合约漏洞

GameFi 业务合约通常负责游戏的主要玩法实现和奖励分发,大部分开发者会将其业务合约实现成可升级合约。对于可升级合约的安全,Beosin 建议:

(1)  初始化合约与依赖项。开发者可能会在部署合约时忘记初始化合约和依赖项,导致合约存在严重漏洞。

(2)  注意存储冲突。升级合约时修改存储可能会导致不同版本合约之间的存储冲突,不同的变量可能指向同一存储位置,导致数据错误和资金损失。

(3)  注意权限控制。开发者需对合约的升级权限进行限制,避免攻击者获得合约升级的控制权。黑客可能通过窃取私钥或是实现治理攻击从而获得合约升级权限。

1.3 NFT 漏洞

NFT 主要作为 GameFi 项目中的玩家所持有的游戏资产,项目方可通过 NFT 的数量和稀有度确保游戏资产的价值。然而,NFT 的不当实现可能会引入安全风险。

如何实现随机性是项目方需要格外重视的问题。GameFi 项目通常会推出盲盒、游戏任务中随机产生奖励等活动。在此类 NFT 铸造环节中,项目方可能使用区块时间戳之类的信息作为生成不同稀有程度的 NFT 的信息源。而区块时间戳可能被预测或者控制,导致不公平的游戏竞争。建议项目方使用 Chainlink VRF(可验证随机函数)以减少此类风险。

此外,项目方需要安全存储其 NFT 的元数据、图像和元数据的 IPFS 哈希值,避免 NFT 稀有度数据提前泄露。否则,黑客可定位相关 NFT 的元数据,在铸造过程中锁定最稀有的 NFT 进行铸造。

当玩家交易 NFT 时,项目方需注意 ERC-1155 代币和 ERC-721 代币的区别,ERC-1155 是 ERC-721 的一种改进,支持在单个合约中创建可替代代币和 NFT 的多代币。ERC-721 代币需多次划转,而 ERC-1155 代币则能批量划转,项目方在实现相关代币转账时需注意区分。此前,Arbitrum 链的 TreasureDAO 就因此被黑客攻击。

1.4 跨链桥漏洞

多链 GameFi 项目以及 GameFi 应用链会使用跨链桥让用户通过不同的区块链网络映射游戏内的资产。跨链桥对于提高游戏/生态的流动性、吸引用户方面是非常重要的部分。而 GameFi 跨链桥有两个主要风险:

一是由于合约漏洞,不同网络之间映射的游戏资产不一致。黑客可能通过合约漏洞,在某一网络增发游戏资产进行获利。

二是跨链桥验证节点风险。此前 Ronin Network 因节点私钥泄漏导致其跨链桥损失 6.2 亿美元,建议 GameFi 应用链需增加其跨链桥的验证节点,同时安全存储私钥,以避免验证节点被恶意控制造成损失。

2.  链下安全挑战

除全链游戏外,大部分 GameFi 项目的一部分后端逻辑和接口依然依靠链下中心化服务器。这些服务器会存放重要信息,包含一部分游戏逻辑、游戏数据和玩家账户信息。这些服务器容易受到恶意攻击。

2.1 篡改 NFT 数据

在前面一部分,我们强调 NFT 的元数据非常重要。可是,很多 GameFi 项目将其 NFT 元数据存储在中心化服务器上,而非在 Arweave 这类去中心化基础设施。这增加了攻击者或者项目内部篡改元数据的风险,侵害了玩家对其游戏资产的所有权和利益。

2.2 钓鱼攻击

攻击者能通过钓鱼攻击获得项目方的敏感信息,如管理游戏金库的钱包私钥,GitHub 账号等。进而黑客可通过供应链攻击或者钓鱼攻击扩大攻击规模,造成更多损失。

总结

GameFi 在经历 3 年的探索后,已出现越来越多的专有游戏公链和更优质的游戏项目,其中全链游戏是更加 Web3 原生的叙事,但其处于极早期阶段,整个赛道都还需要时间去迭代。在参与 GameFi 赛道的建设时,开发者需注意避免上述的安全风险,以构建更可靠的 GameFi 项目。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。