本文 Hash (SHA1): bd9ca749e77416b81d65fff2457626ecfdaf59e2

編號: 鏈源 Security Knowledge No.022 

近期國產游戲3A大作《黑神話：悟空》可謂引發全球游戲玩家的熱捧，成功吸引了大量國內外玩家關注，同時也引發了大家對區塊鏈游戲（GameFi）發展的思考。在Web3游戲的持續發展中，安全性和創新模式始終是關鍵問題。以 EVM 兼容的游戲專用鏈 Ronin Network 為例，在 2022 年 3 月，Ronin Network 經歷了一次嚴重的安全事件。黑客盜取了 5 個驗證器的私鑰，并偽造提款，導致超過 6 億美元的損失。這起事件不僅是加密貨幣歷史上最大的黑客攻擊之一，也成為鏈游領域最嚴重的安全事件之一。通過仔細審視這樣的安全風險，Web3游戲需要不斷提高技術防護手段，以確保玩家的資產安全和整體游戲生態的穩定。

黑悟空引發的 GameFi 發展反思  

• 提升游戲體驗的整體質量 

  《黑神話：悟空》的成功不僅在于其文化背景，還因為它擁有出色的視覺效果和流暢的游戲體驗。GameFi 項目要想取得類似的成功，必須確保游戲充滿趣味性和吸引力，這要求開發者深入挖掘游戲性，而不僅僅是炒作技術。在去中心化環境中提供同等質感的高質量體驗是鏈游面臨的核心挑戰之一。通過優化智能合約、提高區塊鏈的處理能力、減少交易成本等手段，可以確保玩家不被技術限制所影響，從而提升游戲體驗。    

  • 打造可持續的經濟系統

    盡管 GameFi 通常依賴“賺取即玩”（Play-to-Earn）模式，但過度依賴這種策略可能導致經濟體系的不可持續性。《黑神話：悟空》的設計理念為鏈游提供了啟示——可以采用復雜多樣的經濟模型，基于玩家貢獻引入獎勵體系，確保經濟參數的穩固。Token 不應作為游戲的根本動力，而應視為增值服務之一。過度依賴 Token 的價值會使游戲陷入惡性循環。       

    • 加強社區和用戶參與

      《黑神話：悟空》背后有一個充滿熱情的玩家社區，這種社區力量是游戲成功的重要因素之一，這同樣是鏈游成功的關鍵因素。鏈游開發者應重視社區建設，通過 DAO 等形式賦權于玩家，提高用戶粘性。然而，這一切的基礎在于游戲質量足夠吸引，值得玩家的長期投入。許多團隊只追求短期收益，缺乏長周期投資的勇氣，因此難以實現如傳奇般的成功。

      • 增強玩家的歸屬感和創造力 

        在《黑神話：悟空》中，游戲角色與故事由開發者掌控；而在鏈游中，玩家可以通過 NFT 和智能合約真正擁有游戲內資產。這樣的設定能提高玩家的歸屬感和創造力，打造更具吸引力的生態系統。          

        • 鏈游的內在價值與挑戰

          鏈游的主要問題在于過度依賴 TOKEN 化，忽視了游戲性。開發團隊應學會在風險與收益之間找到平衡。作為消遣活動，游戲應將娛樂置于首位而非經濟收益。雖然鏈游通過上鏈解決了傳統游戲中的一些弊端，如資產所有權、變現能力和資產互通等，并提升了透明性和公平性，但許多鏈游只是簡單地在傳統游戲中植入代幣經濟。黑悟空的案例提醒了我們，要深度結合游戲設計與區塊鏈技術，才能創造新的黑神話，推動行業不斷發展前進，滿足市場對高質量內容日益增長的需求。例如，可探索基于區塊鏈的跨游戲資產互通、去中心化的游戲世界生成，以及玩家自主的經濟系統等創新。            

          GameFi 新模型：ServerFi

          今年 8 月 12 日，一篇據說由“耶魯大學教授”發表的論文首次提出了“ServerFi”的概念，指出它“強調通過資產合成實現私有化，并專注于為高留存玩家提供持續獎勵的模型”。研究表明，ServerFi 在保持玩家參與度和確保游戲生態系統長期可行性方面效果顯著。ServerFi 的核心主要集中在以下三個方面：  

          1. 游戲人數:是 ServerFi 成立的前提。玩家數量不足會限制玩家之間的互動和資產的創造，這是 ServerFi 和傳統 GameFi 都面臨的主要挑戰之一。

          2. 服務器價值:是 ServerFi 運轉的核心。通過游戲內經濟系統的完善，服務器積累可量化價值，與法幣體系聯動。這種價值形成和貨幣化是 ServerFi 模型持續動力的關鍵。        

          3. 貢獻回報比:作為可調參數，改變了傳統游戲中的固定收益設定。ServerFi 則將玩家、服務器和項目方構建為一個利益共同體，從而激勵各參與方的投入和維護。          

          GameFi 鏈上鏈下安全問題  

          游戲的本質是消遣，娛樂，傳統的web2游戲與web3游戲有很大的不同，，因為 GameFi 將不僅為玩家提供了代幣激勵，還賦予了玩家對于游戲資產的所有權，以加密經濟和去中心化為特點打造游戲項目。然而目前的鏈游市場魚龍混雜，真假難辨，花樣層出不窮，坑點很多，GameFi 的發展中面臨著許多安全漏洞與黑客的攻擊，這些威脅不僅對用戶的資產安全構成了嚴重威脅，也對整個 GameFi 生態的健康發展帶來了嚴重的負面影響。            

          鏈上安全挑戰有：

          • 代幣合約漏洞

            GameFi 項目通常使用一種或多種代幣進行游戲內的購買和獎勵。代幣合約負責管理代幣的鑄造、交易和銷毀，若存在漏洞可能嚴重影響游戲經濟體系。代幣合約常面臨中心化風險，合約所有者或管理員權限過高，可能修改交易費用、限制交易、增發代幣或調整賬戶余額。         

            • 業務合約漏洞

              GameFi 項目中的業務合約負責實現游戲玩法和獎勵發放。開發者通常設計為可升級合約。鏈源安全團隊對可升級合約的安全建議包括：          

              初始化合約和依賴項：在部署時忘記初始化可能導致嚴重漏洞。

              注意存儲沖突：合約升級時，修改存儲或會引發沖突，導致數據錯誤或資金損失。

              權限控制：對合約升級權限進行限制，以防攻擊者通過私鑰竊取或治理攻擊獲取升級權限。

              • NFT 漏洞

                NFT 在 GameFi 中用于代表玩家資產，其價值由數量和稀有度保證。不當實現可能帶來安全風險，尤其是隨機性生成。GameFi 項目應例如盲盒和隨機獎勵活動中使用可靠的信息源，以減少預測和操控風險。此外，項目方應安全存儲 NFT 的元數據，與 IPFS 哈希值，以防元數據提前泄漏。運營方需要謹慎區分 ERC-1155 和 ERC-721 代幣的區別。ERC-1155 支持批量轉移，ERC-721 則需要多次劃轉。之前，Arbitrum 鏈上的 TreasureDAO 就因未區分這兩種代幣而遭到攻擊。    

                • 跨鏈橋漏洞

                  跨鏈橋用于在不同區塊鏈網絡間同步游戲資產，是提升 GameFi 項目流動性的重要組件。危險在于合約漏洞可能導致資產在連接的鏈上不同步。跨鏈橋驗證節點也是潛在風險，建議增加驗證節點并安全存儲私鑰。

                  鏈下安全挑戰有：

                  大多數 GameFi 項目依賴鏈下中心化服務器來處理部分后端邏輯和接口，這些服務器存儲著關鍵信息，包括游戲邏輯和玩家賬戶數據，容易受到惡意攻擊。如：

                  • 篡改 NFT 數據

                    游戲 NFT 的元數據關鍵，但很多 GameFi 項目傾向于將其存于中心化服務器，而非像 Arweave 這樣的去中心化設施，這增加了內部或外部攻擊者篡改數據的風險，影響玩家資產的所有權和利益。

                    • 釣魚攻擊

                      攻擊者通過釣魚獲取項目方敏感信息，如游戲金庫的私鑰或 GitHub 賬號，可能引發供應鏈攻擊、擴大攻擊規模并造成更多損失。              

                      結語

                      塑造未來Web3游戲的道路充滿了機遇與挑戰。通過一些新的技術發展，我們看到了在維護游戲公平、安全和創新方面的新希望，同時也從《黑神話：悟空》這樣的成功案例中汲取了寶貴經驗：高質量的內容和優秀的游戲體驗仍然是吸引玩家的核心。然而，游戲開發者須警惕潛在的安全威脅，尤其是在鏈上和鏈下的技術實施中。通過加強技術防護，提高經濟模型的可持續性，并促進行業內更廣泛的社區參與，Web3游戲有望在未來實現更強的增長和更深的玩家連接，最終推動整個 GameFi 行業的積極發展。

                      鏈源科技是一家專注于區塊鏈安全的公司。我們的核心工作包括區塊鏈安全研究、鏈上數據分析，以及資產和合約漏洞救援，已成功為個人和機構追回多起被盜數字資產。同時，我們致力于為行業機構提供項目安全分析報告、鏈上溯源和技術咨詢/支撐服務。   

                      感謝各位的閱讀，我們會持續專注和分享區塊鏈安全內容。

AD：

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。