Un truco de prueba de concepto (PoC) de la plataforma de juegos Manarium play-to-earn (P2E) permitió a los investigadores cambiar arbitrariamente sus puntajes para ganar torneos diarios y recolectar tokens criptográficos, evitando la compra inicial requerida para acceder a la sistema.
Los juegos P2E (también conocidos como GameFi o criptojuegos) implican el uso tokens no fungibles (NFT) como una especie de moneda en el juego: los jugadores pueden vender sus NFT a otros coleccionistas y jugadores para usarlos como avatares y otros dispositivos de juegos de rol, y pueden ganarlos ganando juegos o mediante publicidad en el juego.
Existen varios modelos y, hasta ahora, P2E ha tenido un gran éxito: "El mercado de jugar para ganar se ha convertido en uno de los mayores nichos de la Web 3.0", según un análisis de Hacken el pasado mes de agosto, publicado en la web de eGamers. "La capitalización de mercado de los proyectos play-to-earn, a principios de julio de 2022, es de 6.5 millones de dólares, y el volumen de negociación diario supera los 850 millones de dólares".
Como es el caso en el arena de finanzas descentralizadas (DeFi), las crecientes cantidades de criptomonedas que se negocian a través de juegos P2E han atraído la atención de los ciberdelincuentes, según un nuevo análisis de investigadores de Blaze Information Security. Entonces, se dispusieron a probar la seguridad de la plataforma Manarium y encontraron tres niveles de inseguridad en el camino.
Formas fáciles de jugar con el sistema de juego
En el caso de Manarium, la plataforma admite minijuegos que ofrecen un torneo diario cada uno. Los usuarios conectan sus billeteras al juego y son verificados; pagan 300 ARI (un tipo de token que se puede cambiar por arte NFT) en ante; luego juegan en un torneo con la esperanza de ganar una parte del premio acumulado (en forma de más ARI). Cuando finaliza el torneo, el servidor back-end del juego cuenta los puntajes y se conecta con los contratos inteligentes de los ganadores para pagar las ganancias a las billeteras de criptomonedas verificadas de los usuarios.
Primero, al analizar uno de los archivos JavaScript de la plataforma, los investigadores de Blaze vieron una función con un nombre obvio: "UpdateAccountScore".
La función pasa los siguientes parámetros: firebase.firestore().collection(“GameName”).doc(“USER_WALLET”).set(JSON.parse(“{”wallet”:”USER_WALLET”,”score”:SCORE}” ), y los investigadores descubrieron que podían cambiar esos parámetros a voluntad dentro de la pestaña Consola de la interfaz de Manarium a través de la ventana del juego.
“Esta vulnerabilidad es más peligrosa porque no verificaron si el usuario pagó el impuesto inicial (300 ARI) para jugar el juego al realizar el pago (para los ganadores), por lo que cualquiera que solo ejecute esta línea de código podría recibir los tokens sin jugar. el juego o pagar el impuesto”, según el análisis.
Manarium corrigió rápidamente la vulnerabilidad, pero el parche en sí tenía fallas porque agregaba credenciales codificadas a la mezcla.
“Manarium Team cambió la forma de enviar los [datos] del marcador al servicio [back-end], agregando autenticación antes de enviar los datos, y esta autenticación debe realizarse solo a través de una cuenta de administrador”, según el análisis. “El problema fue que el equipo de Manarium codificó las credenciales [de administrador] en el archivo 'Build.data'”.
Eso permitió a los investigadores manipular los datos del juego ingresando las credenciales, generando un token de autenticación y actualizando la puntuación.
En respuesta, Manarium implementó lo que llamó un "Super Anti-Cheat" que utilizó el análisis de comportamiento para erradicar a los abusadores.
Súper Anti-Cheat Fail
Como detallaron los investigadores, “El anti-cheat valida los siguientes campos: sessionTime, timeUTC y score, donde el usuario debe tener tiempo suficiente para realizar la puntuación. En otras palabras, si un usuario obtiene 10 puntos en un tiempo de sesión de un segundo, esto es imposible [y] el anti-trampas detectará a un posible tramposo”.
Sin embargo, los investigadores de Blaze tardaron menos de 20 minutos en eludir el mecanismo antitrampas. Crearon “un guión con un comportamiento humano (un simple sueño y algunos números aleatorios) que generará una puntuación alta de una [manera] cronometrada compatible con humanos”, según la publicación. Y para colmo de males, "en las próximas versiones del script, implementamos... subprocesos múltiples y el soporte de explotar los tres juegos simultáneamente".
Manarium finalmente bloqueó su sistema al eliminar cualquier forma de que un usuario modifique o genere datos no firmados, con el uso de un sistema clave.
Blaze verificó que la solución funcionaba, pero la búsqueda (¿el juego?) todavía está en marcha: "La investigación futura se centrará en buscar esta clave e intentar nuevamente un nuevo bypass", concluyó la publicación.
GameFi: Ciberseguridad de bajo rendimiento
La investigación se suma a una creciente preocupación por el sector de los juegos de criptomonedas. Un análisis de Hacken en agosto pasado concluyó que los juegos P2E en general tienen un nivel "insatisfactorio" de preparación para la seguridad cibernética, y que un ataque importante en una de las plataformas es "solo cuestión de tiempo" porque "ponen las ganancias por encima de la seguridad".
Pero hay mucho en juego para los jugadores e inversores P2E: por ejemplo, en marzo de 2022, un atraco de activos por valor de 625 millones de dólares celebrada en el juego Axie Infinity llevó a que esa plataforma viera una caída masiva en la cantidad de usuarios y la cantidad de dinero que los jugadores invertían por semana. Es un contratiempo del que tiene aún por recuperar.
"Los proyectos de GameFi... no siguen ni siquiera las recomendaciones de ciberseguridad más esenciales, lo que deja a los actores malintencionados numerosos puntos de entrada para los ataques", según el informe de Hacken, que caracteriza esto como un descuido importante dado lo jugoso que se ha vuelto un objetivo P2E.
“Si bien es comprensible querer ser el primero en comercializar un producto o aplicación, el riesgo de implementar estos juegos de activos digitales sin la seguridad adecuada para los riesgos dentro y fuera de la cadena puede poner a la organización en riesgo por un host. de los riesgos de ciberseguridad”, dice Karl Steinkamp, director de transformación y automatización de entregas en Coalfire.
Y agrega: “En su lugar, las organizaciones deben asegurarse de haber realizado los movimientos necesarios para fortalecer adecuadamente cada uno de los componentes de su plataforma antes del lanzamiento, y luego, de forma periódica y recurrente. Las organizaciones pueden utilizar herramientas como DArcher y similares para validar que han abordado adecuadamente los riesgos dentro y fuera de la cadena".
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/bugs-in-manarium-play-to-earn-showcase-crypto-gaming-insecurity
