Auditoría de seguridad blockchain detecta 29 fallos en juegos de finanzas descentralizadas
11/Sep/2023Nuevas Tendencias
Auditoría de seguridad blockchain detecta 29 fallos en juegos de finanzas descentralizadas
11/Sep/2023Nuevas Tendencias
Los videojuegos DeFi (Descentralized Finance) se están conviertiendo en una opción muy popular entre los jugadores y entusiastas de la tecnología blockchain, sin embargo la seguridad sigue siendo una preocupación importante, ya que una característica de estos juegos es que realizan transacciones económicas.
Análisis de seguridad del sector, para proteger a los usuarios
Debido a esta inquitud creciente por este tipo de juegos, desde Sofistic, junto a Cuatroochenta y Bit2me hemos realizado un análisis exhaustivo de 27 juegos P2E (Play To Earn), de los cuales el 70% de ellos ya han sido lanzados y el 30% están en desarrollo o fase beta, y cumplen con las siguientes condiciones:
Cuentan con al menos un token ERC20 o NFT.
Han sido lanzados recientemente.
Sus contratos son implementados en el lenguaje de programación Solidity.
Pueden interactuar a través de alguna billetera como podría ser Metamask.
¿Conoces los servicios de seguridad blockchain?
Principales resultados de la investigación
Los resultados de los fallos detectados en la investigación de seguridad los hemos agrupado en 4 grandes aspectos, en el informe completo puedes ver los fallos completos detectados:
Smart contracts
Hemos detectado fallos en los smarts contracts que afectan a la gestión del capital (tokens en este caso), los privilegios de algunos usuarios, implementación de una lógica compleja que dificulta actualizar realizar actualizaciones y mantenimiento sobre esto, o se aplica retrocompatibilidad y lógica off-chain que puede tener efectos negativos. En el 72% de los juegos auditados, se implementan funciones abusivas o el rol de administrador tiene un exceso de poder sobre la gestión del capital.
Cliente
En el lado del cliente, la validación de los datos de entrada para asegurar que los datos ingresados por los usuarios son válidos y seguros, no se realizan correctamente, lo que puede causar errores y vulnerabilidades en el sistema, hay una falta de actualizaciones de software, y la información que se guarda de los usuarios no está segmentada en función de la sensibilidad.
Servidor
En ocasiones, los servidores no tienen implementadas las medicas de seguridad oportunas para segurar el buen uso, saltándose características en la autenticación y gestión de las sesiones, donde sólo 2 de los 27 juegos auditados implementan doble factor de autenticación, control de los accesos y gestión de la información sensible con datos confidenciales, validación de los datos de entrada o configuraciones de seguridad de lado del servidor, donde prácticamente el 90% de los proyectos que usan web no tienen configuradas las cabeceras HTTP de seguridad básicas.
Transparencia
Este no es un aspecto esctrictamente de seguridad, sino más bien de generación de confianza y mostrar el uso correcto de la tecnología bloquechain, algunos de los problemas detectados son:
- Publicar un whittepaper completo donde se expliquen los aspectos necesarios para entender el funcionamiento del sistema o aplicación.
- Tokenomics o definición de la forma en la que se van a distribuir y administrar los tokens a los largo del iempo
- Verificación de los smart contracts para que se pueda leer su código en el explorador de bloques.
- Realización de auditorías de todos los contratos utilizados en el proyecto y los demás componentes que interactuan con la blockchain.
Conclusiones sobre seguridad en juegos DeFi
En los juegos DeFi se encuentra el desafío de equilibrar una economía digital que vincula las acciones de los jugadores con recompensas económicas, donde la gestión de los tokens es esencial. La seguridad de los activos de los jugadores se vuelve crítica, por lo que los desarrolladores deben diseñar economías equilibradas y transparentes para mantener la confianza de los jugadores.
En este sentido, la seguridad no se trata solamente de una cuestión de proteger los datos de los usuarios, prevenir el fraude y la manipulación, sino que también se trata de proteger la propia economía de juego y, por lo tanto, el valor de los activos de los jugadores. Se necesita una combnación de sólidos mecanismos de seguridad, auditorías regulares y transparencia para garantizar que la economía de un juego se maneje de manera justa y segura, y los juegos que priorizan estos aspectos, será más capaces de mantener a los jugadores comprometidos, proteger sus inversiones y garantizar la longevidad del juego.
Artículos Relacionados
Informe de tendencias en ciberseguridad 2023
Resultados de las auditorías y monitorización del SOC (Security Operations Center) a empresas realizadas por Sofistic en 2022 y recomendaciones de ciberseguridad para 2023
Sofistic alcanza la certificación Gold Microsoft Partner
Como fruto de la colaboración y el expertise especializado en ciberseguridad, Sofistic ha obtenido la certificación de Gold Microsoft Partner.
Ciberseguridad en centros sanitarios, defendiendo a quienes más nos protegen
¿Por qué el foco de ataques está en los centros sanitarios? La situación de desprotección del sector sanitario es uno de los mayores problemas que afronta el sector en tiempos de pandemia. Los ciberataques a los hospitales buscan conseguir recompensas económicas...
0 comentarios