Beosin 對於 GameFi 的生態安全非常重視,此前已審計多個 GameFi 專案與遊戲公鏈。
封面:Photo by Harpal Singh on Unsplash
GameFi 在經歷 2021 年以 Axie Infinity 為代表的 GameFi 遊戲熱潮和泡沫破裂後,於 2023 年下半年開始恢復,3A 鏈游 Bigtime 的爆火引起了市場對於 GameFi 的廣泛關注。 2024 年 1 月 9 日,Arbitrum Layer3 Xai 遊戲專有鏈正式推出; 1 月 12 日,遊戲平臺 SkyArk Chronicles 完成由 Binance Labs 領投的 1500 萬美元融資。 新公鏈+新遊戲的組合成為市場的關注重點,不少使用者對 GameFi 在未來的表現寄予厚望。
Beosin 審計過的 GameFi 專案包括 Ronin Network、SpaceRunners、WastedLands、Good Games Guild 等,在審計的過程中我們也發現了 GameFi 專案方容易忽略的安全問題,這一點非常值得警惕! GameFi 賽道目前的發展情況如何? 其中有哪些值得關注的專案? GameFi 賽道又將面臨哪些安全挑戰? 今天 Beosin 團隊將為大家一一解析。
GameFi 賽道整體分析
2021 年,GameFi 相關專案融資總計超過 15 億美元,除去 GameFi 代幣的市值,僅 GameFi 專案的開發公司的總估值就近百億美元。 在經歷 Web3 市場的寒冬後,據 Blockchaingamer 統計,約 31% 的 GameFi 專案已停止開發或是處於不活躍狀態。
得益於市場的回暖和新 GameFi 專案帶來的熱度,目前 GameFi 整體活躍度有較大提升。 以乙太坊的頭部鏈游為例,Gala、Stepn、Axie、Sandbox 等遊戲在 2023 年年底的交易量創近一年新高。
在 2023 年 10 月,一級市場在 GameFi 賽道的融資超 1 億美金,不少 GameFi 專案再次募集千萬美元的資金繼續用於遊戲的開發、測試和推廣。 2024 年隨著大量遊戲的公測和正式上線,市場對於 GameFi 的關注度大概率上升。
GameFi 賽道重點專案
注:以下內容不構成投資建議。
遊戲應用平臺
1. Ronin Network
Ronin 是一個專門為遊戲設計的 EVM 區塊鏈,由 Sky Mavis 推出,他們是曾經紅極一時的鏈遊 Axie Infinity 的開發團隊,該專案已經產生了超過 13 億美元的收入。
在經歷 2022 年的安全事件後,Ronin Network 放棄採用原先的 Proof of Authority(PoA)共識。 PoA 基於信譽的共識機制,由 Sky Mavis 團隊根據可信度挑選節點驗證者,由他們來驗證交易。 節點驗證者中有 Binance 和 Animoca Brands 這類知名公司。 PoA 共識機制可以快速確認交易,但導致 Ronin Network 太過中心化。 2023 年,Sky Mavis 決定降低中心化的風險並在 2023 年 4 月 12 日正式將共識機制升級為 DPOS。 Beosin 對 Ronin Network 的主網、智能合約等方面進行了全面審計,並提供了詳細的安全審計報告。 本次 Beosin 安全團隊對 Ronin Network 的安全審計,共發現 1 個高風險、4 個中風險、3 個低風險和 3 個提示風險。 在 Beosin 安全團隊的協助下,這些高、中、低相關風險已得到修復,這些修復措施有效提升了 Ronin 的安全性和穩定性,保障了用戶資產的安全。
升級共識後的 Ronin Network 比起之前更加去中心化,驗證者節點數由 9 個增加到 22 個,且共有 27 個候選驗證者。 但 Sky Mavis 規定治理驗證者一定為驗證者,而 Sky Mavis、Yield Guild Games、NonFungible.com、Nansen、Google、DappRadar DAO 和 Animoca Brands 這類公司被定為治理驗證者,還剩 15 個驗證者的名額給到社區。
目前,Ronin Network 總 TVL 約 1.5 億美元,其生態專案正在快速發展。 Sky Mavis 開發了 Axie Infinity、Ronin Wallet、遊戲 NFT 交易市場 Marketplace 與遊戲整合平臺 Mavis Hub。 在 2023 年,Ronin 已和 Directive Games、Tribes、Bali Games 和 Bowled.io 等遊戲工作室進行合作,將在 Ronin Network 上線多款遊戲。
2. Immuatable X
Immutable X 是專注與 NFT 與 GameFi 的 zk-Rollup Layer2,專門用於交易和轉移 NFT,具有快速交易確認、零 gas 費用和高可擴充性。 Immutable X 使用 StarkEx 技術構建。
Immutalbe X 使用的是類似於 Plasma 的 zk-Rollup 方案稱為 Validium,與其它 zk-Rollup 方案不同的是 Validium 的數據是存儲在鏈下的,這可以減少鏈上的計算量,進一步提高 TPS。 其方案對比如下圖所示:
Validium 的鏈下數據安全性主要依賴鏈下節點安全性,為實現高性能,Immutable X 使用鏈下交易犧牲了一定的安全性。 如果一定數量的驗證者被控制,則用戶的資金可能被惡意凍結或者被轉移。 目前 Immutalbe X 生態中已運行多款遊戲,如 Gods Unchained、Guild of Guardians 和 Illuvium,其中 Guild of Guardians 與 Illuvium 已發行遊戲代幣。
3. Xai
Xai 是基於 Arbitrum Nitro 構建的 Layer3,專注於 GameFi 專案的孵化和用戶體驗。 其主要特點在於錢包的後端集成、提供無交易手續費的遊戲體驗和獨特的遊戲經濟設計。 目前 Xai 與遊戲團隊 Ex Populus 合作,在 Xai 鏈上開發 Final Form 和 LAMOverse 兩款遊戲。
Xai 已發行代幣 XAI,該代幣將作為 Xai 鏈的 gas 代幣和節點獎勵,更多用途需等待其網路中遊戲上線才能知曉。 目前 Xai 已收錄至 EagleEye,用戶可查詢或監控相關鏈上活動。
4. Oasys
Oasys 是一條專為遊戲設計的乙太坊側鏈,採用 PoS 機制,具有 Layer1 和 Layer2。 其中 Layer1 只用於運行代幣、NFT、跨鏈橋和 Rollup 合約,遊戲運行在專有的、零 gas 費的 Layer2 上。 這種設計提高了交易速度和遊戲體驗。
Oasys Layer2 採用 Optimistic Rollup,但取消了 Optimistic Rollup 的 7 天挑戰期,以提升用戶體驗。 取消挑戰期是由於其網路節點類似先前的 Ronin Network,由機構和公司控制,對於網路的資產和交易有絕對的控制權。
當前 Oasys 已有 6 條 Layer2,36 款遊戲運行在這些 Layer2 上,玩家可以參與這些遊戲獲得 Oasys 的原生代幣 OAS 獎勵。
5. Gala
Gala Games 在 2023 年 11 月宣佈與 DWF Labs 達成戰略合作關係,以推動 Galachain 的大規模採用。 本次合作讓這個在 2021 年大火的 GameFi 專案再度受到市場關注。
Gala Games 已上線多款遊戲,並將其業務拓展至音樂和電影領域。 在 2023 年 1 月,Gala Games 優化了其代幣模型,在 Gala 平臺上用 Gala 代幣進行購買與支付時,所花費的 Gala 代幣將被分配給節點以增加節點收益。 用戶可通過 EagleEye 監測 Gala 代幣的鏈上活動:
6. Myria
Myria 是專為 GameFi 開發的乙太坊 Layer2。 與 Immutable X 類似,Myria 與 StarkWare 合作開發,採用 StarkWare 的 STARK 證明器和 zk-Rollup 技術,但其交易最終將由乙太坊網路確認。 其代幣為 MYRIA,鏈上流動性不足,主要交易量集中在 OKX、Bitget 等中心化交易所。
目前 Myria 已發佈多款免費遊戲,如 Metarush、Metakart、Block Royale、Starstrike Legends 和 Mooville Farm,致力於構建類似 Gala Games 的遊戲平臺。
全鏈遊戲
全鏈遊戲(fully onchain game)是指所有的遊戲邏輯和狀態都運行和存儲在區塊鏈網路上的遊戲。 此前由於區塊鏈網路的性能瓶頸和基礎設施的欠缺,大部分 GameFi 遊戲只將遊戲資產上鏈。 而在 2023 年,全鏈遊戲有了非常顯著的進展,吸引了一部分開發者參與全鏈遊戲的開發中。 其原因如下:
1. a16z、Jump Crypto 等投資機構對於全鏈遊戲的重視和推動,支援全鏈遊戲這個子賽道的發展。
2. AA 錢包開始逐漸普及,使用者無需對每一步鏈上操作都進行簽名,可以在完成一回合/多步操作後進行簽名,更新遊戲狀態。 這提高了用戶參與全鏈遊戲的體驗。
3. 遊戲引擎的發展降低了開發者開發全鏈遊戲的門檻。 目前 Starknet 的 Dojo 遊戲引擎、引入 OP Stack 的 MUD 遊戲引擎最受開發者歡迎。
在 2023 年,全鏈遊戲已成為 GameFi 賽道的一個重點。 而許多全鏈遊戲目前已進入測試網階段,具有一定的可玩性,以下是目前市場較為關注的全鏈遊戲。
1. Realms World
Realms World 是 Loot NFT 專案的遊戲生態系統,目前 Realms World 已有 Loot Survivor、Realms: Eternum 等 8 款遊戲,這些遊戲都是基於 Starknet 的 Dojo 製作。 其中 Loot Survivor 是一款生存冒險類遊戲,採用了獨特的 Play2Die 機制,玩家在遊戲中需要與怪物戰鬥/逃跑、升級角色各種屬性、收集裝備以延長存留時間,並爭奪排行榜中的更高位置。
Realms: Eternum 是一款 MMO 策略遊戲,玩家將建立和發展自己的王國,同時抵禦其他玩家對自己王國的攻擊。 Eternum 中的每個王國實際都是一個 NFT,該 NFT 也用於 Realms World 的治理,並且可以通過質押 NFT 以賺取 Realms World 的生態代幣 LORDS。
目前 EagleEye 已收錄 LORDS 代幣,用戶可在 EagleEye 上監控 LORDS 代幣的鏈上異動:
2. Sky Strife
Sky Strife 是一款基於 MUD 遊戲引擎構建的全鏈遊戲。 它以快節奏的即時戰略(RTS)戰鬥為特色,其背後團隊為構建 MUD 引擎的 Lattice 團隊。 Sky Strife 的遊戲玩法與其他即時戰略類遊戲類似,以 Sky Strife 的四人地圖為例,開局后四個玩家分別位於地圖各自的主基地中。 玩家的目標是爭奪更多的資源以生產士兵,出兵攻佔其他玩家的主基地。 玩家需要在生產士兵、控制地圖中的資源、防禦基地和攻擊其他玩家的基地之間分配資源,制定合適的策略。
Sky Strife 目前處於測試網階段,其代幣為 ORB,目前還未發行。 Sky Strife 的開發團隊計劃反覆運算地將 Sky Strife 轉變為一個擁有資源、邏輯和可以自由構建的經濟的自治世界,允許社區在 Sky Strife 世界中開發新的鏈上遊戲、遊戲規則和遊戲模組。
3. Cellula
Cellula 是一款全鏈人工生命模擬遊戲。 玩家在 Cellula 中通過組合和拼裝生命最小的單元——細胞,創造出形態和外觀各異的人工「生命」。。 玩家可以觀察這些「生命」在虛擬空間中成長、繁殖和進化的過程。 Cellula 使用乙太坊區塊高度充當「時間」,每個「生命」都會隨著乙太坊成長和進化。
Web2.5 遊戲
除全鏈遊戲外,其它 GameFi 遊戲可劃分為 Web2.5 遊戲,即遊戲資產上鏈,遊戲大部分邏輯由中心化伺服器處理的鏈遊。 2023-2024 年,有許多此類遊戲開啟公測或是正式上線,如多人在線角色扮演遊戲 Bigtime、第一人稱射擊遊戲 Matr1x FIRE 和 SHRAPNEL、策略類遊戲 GasHero。
目前這類遊戲吸取了 2021 年鏈游的失敗教訓,以 Play & Earn 為主,從遊戲畫面、遊戲玩法、遊戲體驗上優化 Play 部分; 從代幣經濟設計上優化 Earn 部分,以免費或是低門檻吸引使用者。
GameFi 安全挑戰
GameFi 將不僅為玩家提供了代幣激勵,還賦予了玩家對於遊戲資產的擁有權,以加密經濟和去中心化為特點打造遊戲專案。 而 GameFi 的發展中面臨著許多安全漏洞與駭客的攻擊,這些威脅不僅對使用者的資產安全構成了嚴重威脅,也對整個 GameFi 生態的健康發展帶來了嚴重的負面影響。
Beosin 對於 GameFi 的生態安全非常關注,此前火爆的 Fren Pet、xPet 等鏈遊專案一經推出,Beosin 就對其代幣和遊戲合約進行安全分析,以避免潛在漏洞攻擊。 那麼,GameFi 有哪些常見的安全問題呢? 又該如何提高 GameFi 的安全性呢? 針對此,Beosin 梳理了以下安全風險和建議。
1. 鏈上安全挑戰
1.1. 代幣合約漏洞
GameFi 專案通常採用 1 種或者多種代幣作為遊戲內購買道具、獎勵玩家的貨幣。 而代幣合約用於管理代幣的鑄造、交易和銷毀,如果代幣合約存在漏洞可能會對整個遊戲的經濟體系造成毀滅打擊。
代幣合約通常具有中心化風險,即代幣合約的所有者/管理員許可權過高,合約擁有者/管理員可修改代幣交易費用,阻止使用者買入或賣出,添加位址黑名單,無限增發、甚至重置任意位址的代幣餘額。
用戶可通過 EagleEye 平臺查詢代幣合約地址的風險。 EagleEye 會對代幣合約風險進行檢測和提示,幫助使用者規避潛在損失。 以下是對 xPet 專案 $BPET 代幣的無限鑄幣提醒:
1.2 業務合約漏洞
GameFi 業務合約通常負責遊戲的主要玩法實現和獎勵分發,大部分開發者會將其業務合約實現成可升級合約。 對於可升級合約的安全,Beosin 建議:
(1)初始化合約與依賴項。 開發者可能會在部署合約時忘記初始化合約和依賴項,導致合約存在嚴重漏洞。
(2)注意存儲衝突。 升級合約時修改存儲可能會導致不同版本合約之間的存儲衝突,不同的變數可能指向同一存儲位置,導致數據錯誤和資金損失。
(3)注意許可權控制。 開發者需對合約的升級許可權進行限制,避免攻擊者獲得合約升級的控制權。 駭客可能通過竊取私鑰或是實現治理攻擊從而獲得合約升級許可權。
1.3 NFT 漏洞
NFT 主要作為 GameFi 專案中的玩家所持有的遊戲資產,專案方可通過 NFT 的數量和稀有度確保遊戲資產的價值。 然而,NFT 的不當實現可能會引入安全風險。
如何實現隨機性是專案方需要格外重視的問題。 GameFi 專案通常會推出盲盒、遊戲任務中隨機產生獎勵等活動。 在此類 NFT 鑄造環節中,專案方可能使用區塊時間戳之類的資訊作為生成不同稀有程度的 NFT 的資訊源。 而區塊時間戳可能被預測或者控制,導致不公平的遊戲競爭。 建議專案方使用 Chainlink VRF(可驗證隨機函數)以減少此類風險。
此外,專案方需要安全存儲其 NFT 的元數據、圖像和元數據的 IPFS 哈希值,避免 NFT 稀有度數據提前洩露。 否則,駭客可定位相關 NFT 的元數據,在鑄造過程中鎖定最稀有的 NFT 進行鑄造。
當玩家交易 NFT 時,專案方需注意 ERC-1155 代幣和 ERC-721 代幣的區別,ERC-1155 是 ERC-721 的一種改進,支援在單個合約中創建可替代代幣和 NFT 的多代幣。 ERC-721 代幣需多次划轉,而 ERC-1155 代幣則能批量划轉,專案方在實現相關代幣轉帳時需注意區分。 此前,Arbitrum 鏈的 TreasureDAO 就因此被駭客攻擊。
1.4 跨鏈橋漏洞
多鏈 GameFi 專案以及 GameFi 應用鏈會使用跨鏈橋讓使用者通過不同的區塊鏈網路映射遊戲內的資產。 跨鏈橋對於提高遊戲/生態的流動性、吸引使用者方面是非常重要的部分。 而 GameFi 跨鏈橋有兩個主要風險:
一是由於合約漏洞,不同網路之間映射的遊戲資產不一致。 駭客可能通過合約漏洞,在某一網路增發遊戲資產進行獲利。
二是跨鏈橋驗證節點風險。 此前 Ronin Network 因節點私鑰洩漏導致其跨鏈橋損失 6.2 億美元,建議 GameFi 應用鏈需增加其跨鏈橋的驗證節點,同時安全存儲私鑰,以避免驗證節點被惡意控制造成損失。
2. 鏈下安全挑戰
除全鏈遊戲外,大部分 GameFi 專案的一部分後端邏輯和介面依然依靠鏈下中心化伺服器。 這些伺服器會存放重要資訊,包含一部分遊戲邏輯、遊戲數據和玩家賬戶資訊。 這些伺服器容易受到惡意攻擊。
2.1 篡改 NFT 數據
在前面一部分,我們強調 NFT 的元數據非常重要。 可是,很多 GameFi 專案將其 NFT 元數據存儲在中心化伺服器上,而非在 Arweave 這類去中心化基礎設施。 這增加了攻擊者或者項目內部篡改元數據的風險,侵害了玩家對其遊戲資產的擁有權和利益。
2.2 釣魚攻擊
攻擊者能通過釣魚攻擊獲得專案方的敏感資訊,如管理遊戲金庫的錢包私鑰,GitHub 帳號等。 進而駭客可通過供應鏈攻擊或者釣魚攻擊擴大攻擊規模,造成更多損失。
總結
GameFi 在經歷 3 年的探索后,已出現越來越多的專有遊戲公鏈和更優質的遊戲專案,其中全鏈遊戲是更加 Web3 原生的敘事,但其處於極早期階段,整個賽道都還需要時間去反覆運算。 在參與 GameFi 賽道的建設時,開發者需注意避免上述的安全風險,以構建更可靠的 GameFi 專案。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
