사이버 보안 연구에 따르면 P2E 프로젝트가 해킹당하는 것은 시간 문제

저자: 해켄

출처: 해켄

"놀면서 돈 벌기"(P2E) 시장은 Web 3.0의 가장 큰 틈새 시장 중 하나가 되었습니다. 2022년 7월 초 현재 P2E 프로젝트의 시장 가치는 65억 달러이며 일일 거래량은 8억 5천만 달러를 초과합니다. 전 세계적으로 30억 명 이상의 비디오 게임 플레이어가 있는 비디오 게임 산업은 암호화폐의 추가 성장을 위한 주요 통로가 될 것입니다.

P2E는 가상 자산과 강력하게 연결되어 있으므로 사이버 보안 위협을 포함하여 암호화폐가 제기하는 많은 위험을 공유합니다. 산업이 더 많은 돈을 끌어들일수록 범죄자의 표적이 되기 쉽습니다.

이러한 환경에서 보안은 이 틈새 시장에서 가장 시급한 문제 중 하나가 됩니다. 그렇다면 P2E 보안의 현재 추세는 무엇입니까? 해킹 횟수를 줄이거 나 업계 공통 보안 표준을 만들 수 있습니까?

잘 알려진 P2E 해킹 공격

2022년 3월 가장 유명한 P2E 프로젝트 중 하나인 Axie Infinity가 해킹을 당해 6억 2,500만 달러의 손실을 입어 지금까지 P2E 틈새 시장에서 가장 큰 해킹이 되었습니다. 공격 이전에 이 플랫폼은 하루에 200만 명 이상의 사용자를 끌어들였습니다.

Axie Infinity는 자체 블록체인인 Ronin 위에 구축되었습니다. Ronin을 공격한 해커는 키를 사용하여 네트워크에서 거래를 확인하여 Axie Infinity의 시스템에 침입했습니다. 5개의 유효성 검사기 노드(그 중 4개는 Axie Infinity에 직접 속하고 1개는 Axie DAO가 운영하는 타사 노드임)에 액세스하여 가짜 인출에 성공했습니다. Sky Mavis 팀은 해킹이 기술적 취약점 및 사회 공학과 관련이 있다고 생각합니다.

P2E 보안

암호화된 사이버 보안 데이터 수집기 CER.live의 데이터를 사용하여 P2E 사이버 보안 상태를 평가해 보겠습니다. CER.live는 P2E 및 GameFi 프로젝트의 수백 가지 메트릭을 분석하여 가장 포괄적인 보안 순위를 생성합니다.

현재 P2E 크립토 게임 산업에는 170개 이상의 프로젝트와 44개의 벤처 캐피탈 펀드가 포함되어 있으며 시가총액은 500만 달러 이상입니다. 상위 5위는 The Sandbox, Decentraland, Axie Infinity, Stepn 및 Gala입니다.

현재 사이버 보안 분석은 31개 프로젝트를 다루며 결과는 만족스럽지 않습니다. Axie Infinity만 안전 사고가 발생했지만 AAA, AA 또는 A 등급의 안전 등급을 받은 프로젝트는 없습니다. (CER.live는 AAA가 가장 높은 등급이고 D가 가장 낮은 고전적인 등급 방법을 사용합니다. DDD 미만의 등급은 향후 해킹 또는 기타 보안 사고의 위험이 증가함을 의미합니다.)

중요한 발견들

• 최근의 세간의 이목을 끄는 해킹은 코드 취약성과 기본 보안 조언을 포기하는 사용자가 사이버 공격의 가장 일반적인 원인임을 보여주었습니다.
• 이러한 P2E 프로젝트 중 어느 것도 보험에 들지 않습니다. 즉, 해킹이 발생하면 프로젝트가 대체 자금 출처를 찾지 않는 한 사용자는 돈을 돌려받을 수 없습니다.
• 2개의 프로젝트에만 버그 바운티 프로그램이 있습니다. 나머지 29개의 P2E 게임은 영구적인 보안 측면에서 자체 리소스에만 의존합니다.
• 14개의 프로젝트가 토큰 감사를 받았지만 5개의 프로젝트만이 플랫폼 감사를 받았습니다.

CER.live에서 제공한 데이터에 따르면 GameFi 프로젝트가 안전보다 이익을 우선시하고 가장 기본적인 네트워크 보안 권장 사항조차 따르지 않아 범죄자에게 많은 공격 입구가 있음을 알 수 있습니다.

기타 보안 결함: 브리지, 내부자 및 감사 부족

기술자이자 Farcana의 CEO인 Ilman Shazhaev는 다음으로 큰 문제는 Play-to-Earn에서 블록체인 브리지의 인기와 취약성이라고 말했습니다. 그러나 Axie의 경우 해커는 돈 이상의 것을 쫓았습니다. 수백만 명이 플레이하는 게임을 방해함으로써 해커 또는 조직의 가명이 일종의 명성을 얻으면서 빠르게 퍼졌습니다.

Ilman은 다음과 같이 덧붙였습니다. "해커가 필요한 정보를 누설한 팀원에게 뇌물을 제공하여 사용자의 자금을 훔친 내부자가 관련된 또 다른 위반 사례가 있습니다. 이 프로세스는 항상 로그인 자격 증명을 공유하는 것이 아닙니다. 첨단 사이버 보안 정책 사례.

물론 우리는 또한 많은 프로젝트의 원시적 특성을 잊을 수 없습니다. 많은 P2E 게임 개발자는 가능한 한 빨리 게임을 시장에 출시하기를 원합니다. 동시에 일부 개발자는 비용과 시간을 절약하기 위해 고품질 코드 검토를 포기합니다. "

GameFi 프로젝트를 위한 필수 네트워크 보안 서비스

그렇다면 GameFi 프로젝트에 필요한 보안 고려 사항은 무엇입니까?

1. 스마트 계약 감사 수행

코드의 자동 및 수동 분석을 통해 다양한 심각도 수준의 취약점을 탐지하고 보안 문제 및 비즈니스 로직 결함을 해결할 수 있습니다. 감사 대상 프로젝트 중 사고율이 가장 낮은 스마트 계약 감사 서비스 공급업체에는 OpenZeppelin, ConsenSys 및 Hacken이 있습니다.

1. 버그 바운티 보상 프로그램 출시

바운티 프로그램을 통해 수십 또는 수백 명의 윤리적 해커가 동시에 프로젝트 보안에 대한 독립적인 분석을 수행하고 발견한 취약점에 대해 금전적 보상을 받습니다. 주요 버그 현상금 플랫폼에는 BugCrowd, HackerOne, HackenProof, ImmuneFi, Synack 및 YesWeHack이 포함됩니다.

1. 보험에 가입하다

보험에 가입하면 프로젝트와 사용자는 해킹으로 손실된 자금에 대해 전액 또는 부분 환불을 받을 수 있습니다. 주요 보험사는 Nexus Mutual, InsurAce.io, inSure 등입니다.

P2E 자산 보호

Axie Infinity가 해킹된 후 많은 범죄자들은 P2E 암호화 게임이 잘 계획된 공격을 통해 쉽게 훔칠 수 있는 막대한 자산을 축적했다는 것을 깨달았습니다. 보안 전문가들은 앞으로 P2E 게임의 대규모 해킹이 거의 불가피하다고 인정합니다. P2E 및 GameFi 암호화 프로젝트의 인기가 높아짐에 따라 이러한 플레이어에 대한 사이버 범죄가 증가할 것입니다.

이러한 상황에서 플레이어는 자신의 안전에 유의해야 합니다. P2E 게임에 많은 돈을 투자하기 전에 사용자는 최소한 CER.live 및 CoinGecko와 같은 독립 플랫폼에서 제공하는 데이터를 사용하여 프로젝트의 기본 보안 검토를 수행해야 합니다. 물론 P2E에 대한 투자는 여전히 수익성이 있지만 상당한 위험이 따릅니다.