Beosin 对于 GameFi 的生态安全非常重视，此前已审计多个 GameFi 项目与游戏公链。

　　Beosin 审计过的 GameFi 项目包括 Ronin Network、SpaceRunners、WastedLands、Good Games Guild 等，在审计的过程中我们也发现了 GameFi 项目方容易忽略的安全问题，这一点非常值得警惕！GameFi 赛道目前的发展情况如何？其中有哪些值得关注的项目？GameFi 赛道又将面临哪些安全挑战？今天 Beosin 团队将为大家一一解析。

　　2021 年，GameFi 相关项目融资总计超过 15 亿美元，除去 GameFi 代币的市值，仅 GameFi 项目的开发公司的总估值就近百亿美元。在经历 Web3 市场的寒冬后，据 Blockchaingamer 统计，约 31% 的 GameFi 项目已停止开发或是处于不活跃状态。

　　得益于市场的回暖和新 GameFi 项目带来的热度，目前 GameFi 整体活跃度有较大提升。以以太坊的头部链游为例，Gala、Stepn、Axie、Sandbox 等游戏在 2023 年年底的交易量创近一年新高。

　　在 2023 年 10 月，一级市场在 GameFi 赛道的融资超 1 亿美金，不少 GameFi 项目再次募集千万美元的资金继续用于游戏的开发、测试和推广。2024 年随着大量游戏的公测和正式上线，市场对于 GameFi 的关注度大概率上升。

　　Ronin 是一个专门为游戏设计的 EVM 区块链，由 Sky Mavis 推出，他们是曾经红极一时的链游 Axie Infinity 的开发团队，该项目已经产生了超过 13 亿美元的收入。

　　在经历 2022 年的安全事件后，Ronin Network 放弃采用原先的 Proof of Authority(PoA) 共识。PoA 基于信誉的共识机制，由 Sky Mavis 团队根据可信度挑选节点验证者，由他们来验证交易。节点验证者中有 Binance 和 Animoca Brands 这类知名公司。PoA 共识机制可以快速确认交易，但导致 Ronin Network 太过中心化。2023 年，Sky Mavis 决定降低中心化的风险并在 2023 年 4 月 12 日正式将共识机制升级为 DPOS。Beosin 对 Ronin Network 的主网、智能合约等方面进行了全面审计，并提供了详细的安全审计报告。本次 Beosin 安全团队对 Ronin Network 的安全审计，共发现 1 个高风险、4 个中风险、3 个低风险和 3 个提示风险。在 Beosin 安全团队的协助下，这些高、中、低相关风险已得到修复，这些修复措施有效提升了 Ronin 的安全性和稳定性，保障了用户资产的安全。

　　Xai 已发行代币 XAI，该代币将作为 Xai 链的 gas 代币和节点奖励，更多用途需等待其网络中游戏上线才能知晓。目前 Xai 已收录至 EagleEye，用户可查询或监控相关链上活动。

　　，36 款游戏运行在这些 Layer2 上，玩家可以参与这些游戏获得 Oasys 的原生代币 OAS 奖励。5. Gala

　　Gala Games 已上线多款游戏，并将其业务拓展至音乐和电影领域。在 2023 年 1 月，Gala Games 优化了其代币模型，在 Gala 平台上用 Gala 代币进行购买与支付时，所花费的 Gala 代币将被分配给节点以增加节点收益。用户可通过 EagleEye 监测 Gala 代币的链上活动：

　　。此前由于区块链网络的性能瓶颈和基础设施的欠缺，大部分 GameFi 游戏只将游戏资产上链。而在 2023 年，全链游戏有了非常显著的进展，吸引了一部分开发者参与全链游戏的开发中。其原因如下：1. a16z、Jump Crypto 等投资机构对于全链游戏的重视和推动，支持全链游戏这个子赛道的发展。

　　2. AA 钱包开始逐渐普及，用户无需对每一步链上操作都进行签名，可以在完成一回合/多步操作后进行签名，更新游戏状态。这提高了用户参与全链游戏的体验。

　　3. 游戏引擎的发展降低了开发者开发全链游戏的门槛。目前 Starknet 的 Dojo 游戏引擎、引入 OP Stack 的 MUD 游戏引擎最受开发者欢迎。

　　在 2023 年，全链游戏已成为 GameFi 赛道的一个重点。而许多全链游戏目前已进入测试网阶段，具有一定的可玩性，以下是目前市场较为关注的全链游戏。

　　Sky Strife 是一款基于 MUD 游戏引擎构建的全链游戏。它以快节奏的实时战略 (RTS) 战斗为特色，其背后团队为构建 MUD 引擎的 Lattice 团队。Sky Strife 的游戏玩法与其他即时战略类游戏类似网易云音乐Shadowrocket文件，以 Sky Strife 的四人地图为例，开局后四个玩家分别位于地图各自的主基地中。玩家的目标是争夺更多的资源以生产士兵，出兵攻占其他玩家的主基地。玩家需要在生产士兵、控制地图中的资源、防御基地和攻击其他玩家的基地之间分配资源，制定合适的策略。

　　Sky Strife 目前处于测试网阶段，其代币为 ORB，目前还未发行。Sky Strife 的开发团队计划迭代地将 Sky Strife 转变为一个拥有资源、逻辑和可以自由构建的经济的自治世界，允许社区在 Sky Strife 世界中开发新的链上游戏、游戏规则和游戏模块。

　　Cellula 是一款全链人工生命模拟游戏。玩家在 Cellula 中通过组合和拼装生命最小的单元——细胞，创造出形态和外观各异的人工 “生命”。玩家可以观察这些 “生命” 在虚拟空间中成长、繁殖和进化的过程。Cellula 使用以太坊区块高度充当 “时间”，每个 “生命 “都会随着以太坊成长和进化。

　　除全链游戏外，其它 GameFi 游戏可划分为 Web2.5 游戏，即游戏资产上链，游戏大部分逻辑由中心化服务器处理的链游。2023-2024 年，有许多此类游戏开启公测或是正式上线，如多人在线角色扮演游戏 Bigtime、第一人称射击游戏 Matr1x FIRE 和 SHRAPNEL、策略类游戏 GasHero。

　　目前这类游戏吸取了 2021 年链游的失败教训，以 Play & Earn 为主，从游戏画面、游戏玩法、游戏体验上优化 Play 部分；从代币经济设计上优化 Earn 部分，以免费或是低门槛吸引用户。

　　GameFi 将不仅为玩家提供了代币激励，还赋予了玩家对于游戏资产的所有权，以加密经济和去中心化为特点打造游戏项目。而 GameFi 的发展中面临着许多安全漏洞与黑客的攻击，这些威胁不仅对用户的资产安全构成了严重威胁，也对整个 GameFi 生态的健康发展带来了严重的负面影响。

　　Beosin 对于 GameFi 的生态安全非常关注，此前火爆的 Fren Pet、xPet 等链游项目一经推出，Beosin 就对其代币和游戏合约进行安全分析，以避免潜在漏洞攻击。那么，GameFi 有哪些常见的安全问题呢？又该如何提高 GameFi 的安全性呢？针对此，Beosin 梳理了以下安全风险和建议。

　　GameFi 项目通常采用 1 种或者多种代币作为游戏内购买道具、奖励玩家的货币。而代币合约用于管理代币的铸造、交易和销毁，如果代币合约存在漏洞可能会对整个游戏的经济体系造成毁灭打击。

　　，即代币合约的所有者/管理员权限过高，合约所有者/管理员可修改代币交易费用，阻止用户买入或卖出，添加地址黑名单，无限增发、甚至重置任意地址的代币余额。用户可通过 EagleEye 平台查询代币合约地址的风险。EagleEye 会对代币合约风险进行检测和提示，帮助用户规避潜在损失。以下是对 xPet 项目 $BPET 代币的无限铸币提醒：

　　GameFi 业务合约通常负责游戏的主要玩法实现和奖励分发，大部分开发者会将其业务合约实现成可升级合约。对于可升级合约的安全，Beosin 建议：

　　(1) 初始化合约与依赖项。开发者可能会在部署合约时忘记初始化合约和依赖项，导致合约存在严重漏洞。

　　(2) 注意存储冲突。升级合约时修改存储可能会导致不同版本合约之间的存储冲突，不同的变量可能指向同一存储位置，导致数据错误和资金损失。

　　(3) 注意权限控制。开发者需对合约的升级权限进行限制，避免攻击者获得合约升级的控制权。黑客可能通过窃取私钥或是实现治理攻击从而获得合约升级权限。

　　NFT 主要作为 GameFi 项目中的玩家所持有的游戏资产，项目方可通过 NFT 的数量和稀有度确保游戏资产的价值。然而，NFT 的不当实现可能会引入安全风险。

　　。GameFi 项目通常会推出盲盒、游戏任务中随机产生奖励等活动。在此类 NFT 铸造环节中，项目方可能使用区块时间戳之类的信息作为生成不同稀有程度的 NFT 的信息源。而区块时间戳可能被预测或者控制，导致不公平的游戏竞争。建议项目方使用 Chainlink VRF（可验证随机函数）以减少此类风险。此外，

　　。否则，黑客可定位相关 NFT 的元数据，在铸造过程中锁定最稀有的 NFT 进行铸造。当玩家交易 NFT 时，项目方

　　，ERC-1155 是 ERC-721 的一种改进，支持在单个合约中创建可替代代币和 NFT 的多代币。ERC-721 代币需多次划转，而 ERC-1155 代币则能批量划转，项目方在实现相关代币转账时需注意区分。此前，Arbitrum 链的 TreasureDAO 就因此被黑客攻击。1.4 跨链桥漏洞

　　多链 GameFi 项目以及 GameFi 应用链会使用跨链桥让用户通过不同的区块链网络映射游戏内的资产。跨链桥对于提高游戏/生态的流动性、吸引用户方面是非常重要的部分。而 GameFi 跨链桥有两个主要风险：

　　。此前 Ronin Network 因节点私钥泄漏导致其跨链桥损失 6.2 亿美元，建议 GameFi 应用链需增加其跨链桥的验证节点，同时安全存储私钥，以避免验证节点被恶意控制造成损失。2. 链下安全挑战

　　除全链游戏外，大部分 GameFi 项目的一部分后端逻辑和接口依然依靠链下中心化服务器。这些服务器会存放重要信息，包含一部分游戏逻辑、游戏数据和玩家账户信息。这些服务器容易受到恶意攻击。

　　在前面一部分，我们强调 NFT 的元数据非常重要。可是，很多 GameFi 项目将其 NFT 元数据存储在中心化服务器上，而非在 Arweave 这类去中心化基础设施。这增加了攻击者或者项目内部篡改元数据的风险，侵害了玩家对其游戏资产的所有权和利益。

　　攻击者能通过钓鱼攻击获得项目方的敏感信息，如管理游戏金库的钱包私钥，GitHub 账号等。进而黑客可通过供应链攻击或者钓鱼攻击扩大攻击规模，造成更多损失。

　　GameFi 在经历 3 年的探索后，已出现越来越多的专有游戏公链和更优质的游戏项目，其中全链游戏是更加 Web3 原生的叙事，但其处于极早期阶段，整个赛道都还需要时间去迭代。