P2E:网络安全研究发现：P2E项目遭遇黑客攻击只是时间问题_AXI

“边玩边赚”(P2E)市场已经成为Web3.0最大的利基市场之一。截至2022年7月初，P2E项目的市值为65亿美元，日交易量超过8.5亿美元。全球有超过30亿电子游戏玩家，电子游戏行业可能会成为加密货币进一步增长的主要渠道。

P2E与虚拟资产有很强的联系，因此它分担了加密货币带来的许多风险，包括网络安全威胁。这个行业吸引的资金越多，就越容易成为不法分子的目标。

在这种环境下，安全成为这个利基领域最紧迫的问题之一。那么P2E目前在安全方面的趋势是什么呢？我们能期望减少黑客攻击的数量，或者为行业制定通用的安全标准吗?

2022年3月，最著名的P2E项目之一AxieInfinity遭受黑客攻击，损失6.25亿美元，这成为P2E利基市场迄今为止最大的黑客攻击。在攻击发生前，该平台每天可以吸引逾200万的用户。

ETC官方正扩充ETC核心开发团队以增强网络安全:9月3日，Ethereum Classic Labs官方发推宣布，正扩充ETC核心开发团队和ETC Labs团队，以增强ETC网络安全。官方已聘请Core-Geth开发人员Luke Williams及开发人员关系维护者Dean Pappas。官方表示，鉴于近期ETC频繁遭受51%攻击，且根据ETC网络安全计划，ETC Labs将竭尽全力提高网络安全性，承诺投入更多资源、包括人力财力。[2020/9/3]

AxieInfinity构建在其原生区块链Ronin之上。黑客们攻击Ronin，成功地入侵了AxieInfinity的系统，使用密钥来验证网络上的交易。通过访问5个验证者节点(其中4个直接属于AxieInfinity，另1个是由AxieDAO运行的第三方节点)，他们成功地伪造了假提款。SkyMavis团队认为这次黑客攻击与技术漏洞和社会工程有关。

ETC Labs制定网络安全计划以应对网络攻击:ETC Labs制定网络安全计划以应对近期ETC网络遭遇攻击一事。该安全计划包括立即预防攻击措施和长期修复措施。其中，立即预防攻击措施具体包括：1.与矿工和矿池的合作进行防御性挖矿；2.增强网络监控功能；3.与列入白名单地址的交易所密切协调并设置安全的确认时间；4.实施由ETCCore开发的“Permapoint”终局仲裁系统，以1在保持节点间共识的同时，积极抑制链重组。长期修复措施主要为提案，具体为：1.通过检查点或PirlGuard等功能来增加51％攻击强度，规范完成后，可在大约3个月内通过硬分叉实现这些目标；2.更改工作量证明挖矿算法，正在考虑的两个替代方案是Keccak-256或RandomX，只要测试成功完成，就可以在大约6个月内通过硬分叉实现这些目标；3.通过MINERVOTE协助实施此类更改；4.在达成社区共识的条件下，引入资金管理系统。这些提案的时间线为，8月达成粗略共识，9月在CoreGeth和HyperledgerBesu客户端中实施，10月在测试网中实施抵抗攻击措施（即检查点），11月主网激活检查点，12月激活用于新挖矿算法的公共测试网，明年1月主网激活新的挖矿算法。[2020/8/20]

让我们使用加密网络安全数据聚合器CER.live中的数据来评估P2E网络安全的情况。CER.live分析了P2E和GameFi项目的数百项指标，制定了最全面的安全排名。

动态 | 工信部：非法“挖矿”严重威胁互联网网络安全:工信部网站9月3日发布2018年第二季度网络安全威胁态势分析与工作综述。今年二季度，网络安全威胁态势呈现以下几个特点：第一，部分互联网用户邮箱疑似被控，严重危害用户个人信息安全。第二，工业互联网平台和智能设备成为网络威胁的重要目标。第三，非法“挖矿”严重威胁互联网网络安全。下一步的工作重点包括做好中非合作论坛北京峰会网络安全保障、开展恶意程序专项治理工作以及推进工业互联网安全保障体系建设。尽快出台《关于加强工业互联网安全工作的指导意见》《工业互联网安全标准体系建设》《工业互联网安全技术保障平台建设指南》等。[2018/9/3]

目前，P2E的加密游戏行业包括170多个项目和44个市值都超过500万美元的风投资金。排名前5的是TheSandbox、Decentraland、AxieInfinity、Stepn和Gala。

动态 | 韩国网络安全组织称韩国加密货币交易所受朝鲜黑客攻击:据cryptonews消息，韩国首尔的网络安全组织IssueMakersLab称，朝鲜黑客在6月对一家不知名的韩国加密货币交易所发起过五次攻击。黑客还试图通过冒充韩国金融监管机构的代表来交易所员工。IssueMakersLab表示，朝鲜黑客对韩国加密货币交易所的攻击次数在一段时间内有所减少，但现在攻击频率再次上升。[2018/8/10]

目前的网络安全分析涵盖了31个项目，结果不理想。虽然只有AxieInfinity发生过安全事故，但这些项目都没有获得AAA、AA甚至A的安全评级。(CER.live采用了经典的评级方法，AAA为最高评级，D为最低评级。低于DDD的评级意味着未来发生黑客攻击或其他安全事件的风险增加。)

最近备受瞩目的黑客攻击表明，代码漏洞和用户放弃基本安全建议是网络攻击的最常见原因；

这些P2E项目都没有保险，这意味着如果黑客攻击发生，除非项目找到其他资金来源，否则用户无法拿回他们的钱；

只有2个项目有bug赏金计划：剩下的29个P2E游戏在永久安全方面只依靠自己的资源；

虽然有14个项目进行了代币审核，但只有5个项目进行了平台审核。

根据CER.live提供的数据，我们可以看到GameFi项目将利润置于安全之上，甚至不遵循最基本的网络安全建议，给不法分子留下了大量的攻击入口。

技术专家兼Farcana首席执行官IlmanShazhaev表示，下一个大问题是区块链桥在Play-to-Earn中的受欢迎程度及其漏洞。然而，在Axie的案例中，黑客们追求的不仅仅是金钱：通过破坏数百万人玩的游戏，黑客或组织的假名会随着他们获得某种名声而迅速传播。

Ilman补充道：“另一个漏洞与内部人士有关，黑客贿赂一名泄露他们所需信息的团队成员，从而窃取用户的资金。这个过程并不总是关于分享登录凭证：有时是偷偷告知黑客代码中的漏洞，即使是在高级网络安全政策的情况下。

当然，我们也不能忘记许多项目的原始性质。许多P2E游戏开发商都希望尽快将游戏推向市场：与此同时，有些开发商为了省钱省时而放弃进行高质量的代码审核。”

那么，GameFi项目应该考虑哪些必要的安全因素呢?

进行智能合约审核

代码的自动和手动分析允许检测不同严重级别的漏洞，并解决安全问题和业务逻辑缺陷。在被审计的项目中，事件发生率最低的智能合同审计服务的供应商有OpenZeppelin、ConsenSys和Hacken等。

推出bug赏金奖励项目

有了在赏金项目，数十名甚至数百名道德高尚的黑客同时对项目的安全性进行独立分析，并因他们发现的漏洞获得金钱奖励。主要的漏洞悬赏平台有BugCrowd、HackerOne、HackenProof、ImmuneFi、Synack和YesWeHack等。

购置保险

有了保险，项目及其用户可以获得全额或部分退款，以弥补他们在黑客攻击中损失的资金。主要的保险供应商有NexusMutual和InsurAce.io和inSure等。

在AxieInfinity被黑客攻击后，许多不法分子意识到，P2E加密游戏积累了巨大的资产，他们通过精心计划的攻击可以轻松从中窃取资产。安全专家承认，P2E游戏的大规模黑客攻击在未来几乎不可避免。P2E和GameFi加密项目的进一步普及将伴随着针对这些玩家的网络犯罪的加剧。

在这种情况下，玩家应该意识到他们必须注意自己的安全。在投入一大笔钱于某款P2E游戏之前，用户至少应该使用CER.live和CoinGecko等独立平台提供的数据对该项目进行基本的安全审查。当然，投资P2E虽然依然有利可图，但也伴随着相当大的风险。

来源：金色财经

标签：P2EAXIINFINFINITYP2E价格Axis DeFiINFLUENCE价格Dragon Infinity

火币交易所热门资讯