P2Eプロジェクトがハッキングされるのは時間の問題、サイバーセキュリティ調査で判明

作者: ハッケン

出典: ハッケン

「遊びながら稼ぐ」(P2E) 市場は、Web 3.0 の最大のニッチ市場の 1 つになりました。 2022年7月初旬の時点で、P2Eプロジェクトの市場価値は65億米ドル、1日の取引高は8億5,000万米ドルを超えています。世界中で 30 億人以上のビデオ ゲーム プレーヤーがいるビデオ ゲーム業界は、仮想通貨のさらなる成長への主要な導管となる可能性があります。

P2E は仮想資産との強いつながりがあるため、サイバーセキュリティの脅威を含む、仮想通貨によってもたらされるリスクの多くを共有します。業界がより多くの資金を集めるほど、犯罪の標的になりやすくなります。

この環境では、セキュリティがこのニッチ分野で最も差し迫った懸念事項の 1 つになります。では、P2E セキュリティの現在のトレンドは何でしょうか?ハッキングの数を減らすことや、業界に共通のセキュリティ標準を作成することは期待できますか?

よく知られた P2E ハッキング攻撃

2022 年 3 月、最も有名な P2E プロジェクトの 1 つである Axie Infinity がハッキングされ、6 億 2,500 万ドルの損失が発生しました。これは、P2E ニッチ市場におけるこれまでで最大のハッキングとなりました。攻撃前、このプラットフォームには 1 日あたり 200 万人を超えるユーザーが集まりました。

Axie Infinity は、ネイティブ ブロックチェーン Ronin 上に構築されています。 Ronin を攻撃したハッカーは、キーを使用してネットワーク上のトランザクションを確認し、Axie Infinity のシステムに侵入することに成功しました。 5 つの検証ノード (そのうち 4 つは Axie Infinity に直接属し、1 つは Axie DAO が運営するサードパーティ ノード) にアクセスすることで、偽の出金を偽造することに成功しました。 Sky Mavis チームは、このハッキングは技術的な脆弱性とソーシャル エンジニアリングに関連していると考えています。

P2Eのセキュリティ

暗号化されたサイバーセキュリティ データ アグリゲータ CER.live のデータを使用して、P2E サイバーセキュリティの状態を評価してみましょう。 CER.live は、P2E および GameFi プロジェクトからの数百のメトリクスを分析して、最も包括的なセキュリティ ランキングを作成します。

現在、P2E 暗号ゲーム業界には 170 以上のプロジェクトと、時価総額 500 万ドルを超える 44 のベンチャー キャピタル ファンドが含まれています。トップ5は、The Sandbox、Decentraland、Axie Infinity、Stepn、Galaです。

現在のサイバーセキュリティ分析は 31 のプロジェクトを対象としていますが、結果は満足のいくものではありません。安全性に関するインシデントが発生したのは Axie Infinity だけですが、これらのプロジェクトはいずれも AAA、AA、さらには A の安全性評価を受けていません。 (CER.live は古典的な評価方法を使用しており、AAA が最高評価、D が最低評価となります。DDD を下回る評価は、将来のハッキングやその他のセキュリティ インシデントのリスクが高いことを意味します。)

重要な発見

• 最近の注目を集めたハッキングでは、コードの脆弱性とユーザーが基本的なセキュリティに関するアドバイスを放棄していることが、サイバー攻撃の最も一般的な理由であることが明らかになりました。
• これらの P2E プロジェクトには保険が適用されていません。つまり、ハッキングが発生した場合、プロジェクトが代替の資金源を見つけない限り、ユーザーはお金を取り戻すことができません。
• バグ報奨金プログラムがあるのは 2 つのプロジェクトだけです。残りの 29 の P2E ゲームは、永続的なセキュリティに関して独自のリソースにのみ依存しています。
• 14 のプロジェクトでトークン監査が行われましたが、プラットフォーム監査が行われたプロジェクトは 5 プロジェクトのみでした。

CER.live が提供したデータによると、GameFi プロジェクトは安全よりも利益を優先しており、最も基本的なネットワーク セキュリティの推奨事項にも従わず、犯罪者にとって多数の攻撃入り口が残されていることがわかります。

その他のセキュリティ上の欠陥: ブリッジ、インサイダー、監査の欠如

技術者でFarcana CEOのIlman Shazhaev氏は、次の大きな問題はPlay-to-Earnにおけるブロックチェーンブリッジの人気とその脆弱性であると述べた。しかし、アクシーの場合、ハッカーが狙っていたのは金銭以上のものでした。何百万人もの人がプレイするゲームを妨害することで、ハッカーや組織の偽名は、ある種の悪名を獲得し、急速に広まりました。

イルマン氏はさらに、「別の侵害には内部関係者が関与しており、必要な情報を漏らしたチームメンバーにハッカーが賄賂を渡し、それによってユーザーの資金を盗んだ。そのプロセスは必ずしもログイン資格情報の共有に関するものではなく、時にはハッカーに脆弱性を密かに伝えていた。先進的なサイバーセキュリティ政策の事例。

もちろん、多くのプロジェクトのありのままの性質も忘れてはいけません。多くの P2E ゲーム開発者は、自分のゲームをできるだけ早く市場に出すことを望んでいます。同時に、一部の開発者は、お金と時間を節約するために、高品質のコード レビューを控えています。 」

GameFi プロジェクトに不可欠なネットワーク セキュリティ サービス

では、GameFi プロジェクトに必要なセキュリティ上の考慮事項は何でしょうか?

1. スマートコントラクトの監査を実施する

コードの自動分析と手動分析により、さまざまな重大度レベルの脆弱性を検出し、セキュリティ問題やビジネス ロジックの欠陥を解決できます。監査対象プロジェクトの中で、インシデント率が最も低いスマート コントラクト監査サービスのサプライヤーには、OpenZeppelin、ConsenSys、および Hacken が含まれます。

1. バグ報奨金プログラムの開始

報奨金プログラムでは、数十、場合によっては数百人の倫理的ハッカーがプロジェクトのセキュリティの独立した分析を同時に実施し、発見した脆弱性に対して金銭的な報酬を受け取ります。主なバグ報奨金プラットフォームには、BugCrowd、HackerOne、HackenProof、ImmuneFi、Synack、YesWeHack などがあります。

1. 保険を買う

保険が適用されていれば、プロジェクトとそのユーザーはハッキングで失った資金の全額または一部の返金を受けることができます。主な保険プロバイダーは、Nexus Mutual、InsurAce.io、inSure などです。

P2E資産を保護する

Axie Infinity がハッキングされた後、多くの犯罪者は、P2E 暗号化ゲームに膨大な資産が蓄積されており、綿密に計画された攻撃によって簡単に盗むことができることに気づきました。セキュリティ専門家は、将来的には P2E ゲームの大規模なハッキングがほぼ避けられないと認めています。 P2E および GameFi 暗号化プロジェクトの人気がさらに高まると、これらのプレーヤーに対するサイバー犯罪も増加するでしょう。

このような状況では、プレーヤーは自分自身の安全に注意する必要があることを認識する必要があります。 P2E ゲームに多額の資金を投入する前に、ユーザーは少なくとも、CER.live や CoinGecko などの独立したプラットフォームから提供されるデータを使用して、プロジェクトの基本的なセキュリティ レビューを実施する必要があります。もちろん、P2E への投資には収益性はありますが、かなりのリスクが伴います。