0
0
Um hack de prova de conceito (PoC) da plataforma de jogos Manarium play-to-earn (P2E) permitiu que os pesquisadores alterassem arbitrariamente suas pontuações para ganhar torneios diários e coletar tokens de criptografia, evitando o buy-in inicial necessário para acessar o sistema.
O jogo P2E (também conhecido como GameFi ou criptomoedas) envolve o uso de tokens não fungíveis (NFTs) como moeda do jogo: os jogadores podem vender seus NFTs a outros colecionadores e jogadores para uso como avatares e outros dispositivos de RPG, e eles podem ganhá-los ganhando jogos ou através de publicidade no jogo.
Existem vários modelos e, até agora, o P2E tem sido um grande sucesso: “O mercado de play-to-earn tornou-se um dos maiores nichos da Web 3.0”, de acordo com uma análise da Hacken em agosto passado, publicada no site eGamers. ” A capitalização de mercado dos projetos play-to-earn, a partir do início de julho de 2022, é de US $ 6,5 bilhões, e o volume diário de negociação é superior a US $ 850 milhões. “
Como é o caso na arena de finanças descentralizadas (DeFi), as quantidades crescentes de cripto sendo transacionadas via jogos P2E atraíram a atenção de cibercriminosos, de acordo com uma nova análise de pesquisadores da Blaze Information Security. Então, eles se propuseram a testar a segurança da plataforma Manarium e encontraram três níveis de insegurança ao longo do caminho.
Maneiras fáceis de jogar o sistema de jogos
No caso da Manarium, a plataforma suporta minigames que oferecem um torneio diário. Os usuários conectam suas carteiras ao jogo e são verificados; eles pagam 300 ARI (um tipo de token que pode ser trocado por arte NFT) em ante; em seguida, eles jogam em um torneio na esperança de ganhar uma parte da premiação (na forma de mais ARI). Quando o torneio termina, o servidor back-end do jogo contabiliza as pontuações e se conecta com os contratos inteligentes dos vencedores para pagar os ganhos às carteiras de criptomoedas verificadas dos usuários.
Primeiro, ao analisar um dos arquivos JavaScript da plataforma, uma função obviamente nomeada saltou para os pesquisadores do Blaze: “UpdateAccountScore”.
A função passa os seguintes parâmetros: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{\”wallet\”:\”USER_WALLET\”,\”score\”:SCORE}”), e os pesquisadores descobriram que foram capazes de alterar esses parâmetros à vontade dentro da guia Console da interface Manarium através da Janela do Jogo.
“Essa vulnerabilidade é mais perigosa porque eles não verificaram se o usuário pagou o imposto inicial (300 ARI) para jogar o jogo ao fazer o pagamento (para os vencedores), de modo que qualquer pessoa que apenas execute essa linha de código poderia receber os tokens sem jogar o jogo ou pagar o imposto”, de acordo com a análise.
O Manarium rapidamente corrigiu a vulnerabilidade, mas o patch em si era falho porque adicionava credenciais codificadas à mistura.
“A Manarium Team mudou a forma de enviar os [dados] do placar para o serviço [back-end], adicionando autenticação antes de enviar os dados, e essa autenticação deve ser feita apenas por meio de uma conta de administrador”, de acordo com a análise. “O problema foi que a Manarium Team codificou as credenciais [admin] no arquivo ‘Build.data’.”
Isso permitiu que os pesquisadores manipulassem os dados do jogo inserindo as credenciais, gerando um token de autenticação e atualizando a pontuação.
Em resposta, a Manarium implementou o que chamou de “Super Anti-Cheat” que usou a análise comportamental para erradicar os abusadores.
Super Anti-Cheat Falha
Como os pesquisadores detalharam, “O anti-cheat valida os seguintes campos: sessionTime, timeUTC e score, onde o usuário deve ter tempo suficiente para fazer a pontuação. Em outras palavras, se um usuário marcar 10 pontos em um tempo de sessão de um segundo, isso é impossível [e] o anti-trapaça detectará um possível trapaceiro.”
No entanto, os pesquisadores do Blaze levaram menos de 20 minutos para contornar o mecanismo anti-trapaça. Eles criaram “um script com um comportamento humano (um sono simples e alguns números aleatórios) que gerará uma pontuação alta de uma maneira compatível com humanos cronometrados”, de acordo com a postagem. E para adicionar insulto à injúria, “nas próximas versões do roteiro, implementamos … multithreading e o suporte de explorar os três jogos simultaneamente.”
A Manarium finalmente bloqueou seu sistema, eliminando qualquer maneira de dados não assinados serem modificados ou gerados por um usuário, com o uso de um sistema de chaves.
Blaze verificou que a correção estava funcionando, mas a caçada (jogo?) ainda está em andamento: “Pesquisas futuras se concentrarão em procurar essa chave e tentar novamente um novo desvio”, concluiu o post.
GameFi: Cibersegurança de baixo desempenho
A pesquisa contribui para uma crescente onda de preocupação em torno do setor de jogos de criptografia. Uma análise da Hacken em agosto passado concluiu que os jogos P2E em geral têm um nível “insatisfatório” de prontidão para a segurança cibernética – e que um grande hack em uma das plataformas é “apenas uma questão de tempo” porque eles “colocam os lucros acima da segurança”.
Mas as apostas para os jogadores e investidores P2E são altas: por exemplo, em março de 2022, um roubo de US $ 625 milhões de ativos mantidos no jogo Axie Infinity levou essa plataforma a ver uma queda maciça no número de usuários e na quantidade de dinheiro investido pelos jogadores por semana. É um revés do qual ainda não se recuperou.
“Os projetos da GameFi (…) não seguem nem mesmo as recomendações de segurança cibernética mais essenciais, deixando aos atores mal-intencionados inúmeros pontos de entrada para ataques”, de acordo com o relatório Hacken, que caracteriza isso como um grande descuido, dado o quão suculento de um alvo o P2E se tornou.
“Embora seja compreensível querer ser o primeiro a comercializar um produto ou aplicativo, o risco de implantar esses jogos de ativos digitais sem a segurança adequada para os riscos on-chain e off-chain pode colocar a organização em risco de uma série de riscos de segurança cibernética”, diz Karl Steinkamp, diretor de transformação e automação de entrega da Coalfire.
Ele acrescenta: “Em vez disso, as organizações devem se certificar de que passaram pelos movimentos de endurecer adequadamente cada um dos componentes de sua plataforma antes do lançamento e, depois disso, em uma base periódica e recorrente. As organizações podem utilizar ferramentas como DArcher e similares para validar que abordaram adequadamente os riscos on-chain e off-chain.”
FONTE: DARK READING