深度研报 | 2024年GameFi关键看点有哪些?一文解析GameFi赛道现状与安全挑战

Beosin
Beosin 机构得得号

Jan 24 Beosin是总部位于新加坡的全球知名区块链安全公司,为区块链生态提供代码安全审计,安全风险监控、预警与阻断,虚拟资产被盗追回,KYT/AML等“一站式”安全产品+服务,已为全球2000多个区块链企业服务,保护客户资产5000多亿美元。

摘要: 2024年1月9日,Arbitrum Layer3 Xai游戏专有链正式推出;1月12日,游戏平台 SkyArk Chronicles 完成由 Binance Labs 领投的1500万美元融资。新公链+新游戏的组合成为市场的关注重点,不少用户对 GameFi 在未来的表现寄予厚望。

GameFi在经历2021年以 Axie Infinity 为代表的 GameFi 游戏热潮和泡沫破裂后,于2023年下半年开始恢复,3A链游 Bigtime 的爆火引起了市场对于 GameFi 的广泛关注。2024年1月9日,Arbitrum Layer3 Xai游戏专有链正式推出;1月12日,游戏平台 SkyArk Chronicles 完成由 Binance Labs 领投的1500万美元融资。新公链+新游戏的组合成为市场的关注重点,不少用户对 GameFi 在未来的表现寄予厚望。

Beosin审计过的GameFi项目包括Ronin Network、SpaceRunners、WastedLands、Good Games Guild等,在审计的过程中我们也发现了GameFi项目方容易忽略的安全问题,这一点非常值得警惕!GameFi赛道目前的发展情况如何?其中有哪些值得关注的项目?GameFi赛道又将面临哪些安全挑战?今天 Beosin 团队将为大家一一解析。

 

GameFi赛道整体分析

2021年,GameFi相关项目融资总计超过15亿美元,除去 GameFi 代币的市值,仅 GameFi 项目的开发公司的总估值就近百亿美元。在经历 Web3 市场的寒冬后,据 Blockchaingamer 统计,约31%的GameFi项目已停止开发或是处于不活跃状态。

source: https://www.footprint.network/@Higi/Inactive-games-Dashboard

得益于市场的回暖和新 GameFi 项目带来的热度,目前 GameFi 整体活跃度有较大提升。以以太坊的头部链游为例,Gala、Stepn、Axie、Sandbox等游戏在2023年年底的交易量创近一年新高。source: https://dune.com/datafi/gamefi

在2023年10月,一级市场在 GameFi 赛道的融资超1亿美金,不少GameFi项目再次募集千万美元的资金继续用于游戏的开发、测试和推广。2024年随着大量游戏的公测和正式上线,市场对于 GameFi 的关注度大概率上升。

GameFi赛道重点项目

注:以下内容不构成投资建议。

游戏应用平台

 

1.  Ronin Network

Ronin是一个专门为游戏设计的EVM区块链,由 Sky Mavis 推出,他们是曾经红极一时的链游 Axie Infinity 的开发团队,该项目已经产生了超过13亿美元的收入。

在经历2022年的安全事件后,Ronin Network 放弃采用原先的 Proof of Authority(PoA) 共识。PoA基于信誉的共识机制,由 Sky Mavis 团队根据可信度挑选节点验证者,由他们来验证交易。节点验证者中有 Binance 和 Animoca Brands 这类知名公司。PoA 共识机制可以快速确认交易,但导致 Ronin Network 太过中心化。

2023年,Sky Mavis 决定降低中心化的风险并在2023年4月12日正式将共识机制升级为DPOS。Beosin对 Ronin Network 的主网、智能合约等方面进行了全面审计,并提供了详细的安全审计报告。本次Beosin安全团队对 Ronin Network 的安全审计,共发现1个高风险、4个中风险、3个低风险和3个提示风险。在 Beosin 安全团队的协助下,这些高、中、低相关风险已得到修复,这些修复措施有效提升了Ronin的安全性和稳定性,保障了用户资产的安全。

source: https://beosin.com/audits/Ronin%20Network_202303031441.pdf

升级共识后的 Ronin Network 比起之前更加去中心化,验证者节点数由9个增加到22个,且共有27个候选验证者。但 Sky Mavis 规定治理验证者一定为验证者,而 Sky Mavis、Yield Guild Games、NonFungible.com、Nansen、Google、DappRadar DAO和Animoca Brands这类公司被定为治理验证者,还剩15个验证者的名额给到社区。

目前,Ronin Network 总TVL约1.5亿美元,其生态项目正在快速发展。Sky Mavis 开发了 Axie Infinity、Ronin Wallet、游戏NFT交易市场 Marketplace 与游戏整合平台 Mavis Hub。在2023年,Ronin已和Directive Games、Tribes、Bali Games 和 Bowled.io等游戏工作室进行合作,将在 Ronin Network 上线多款游戏。

2.  Immuatable X

Immutable X是专注与NFT与GameFi的zk-Rollup Layer2,专门用于交易和转移NFT,具有快速交易确认、零gas费用和高可扩展性。Immutable X使用StarkEx技术构建。

Immutalbe X使用的是类似于Plasma的zk-Rollup方案称为Validium,与其它zk-Rollup方案不同的是Validium的数据是存储在链下的,这可以减少链上的计算量,进一步提高TPS。其方案对比如下图所示:

Validium的链下数据安全性主要依赖链下节点安全性,为实现高性能,Immutable X使用链下交易牺牲了一定的安全性。如果一定数量的验证者被控制,则用户的资金可能被恶意冻结或者被转移。 

目前 Immutalbe X 生态中已运行多款游戏,如 Gods Unchained、Guild of Guardians和Illuvium,其中Guild of Guardians与Illuvium已发行游戏代币。

link: https://eagleeye.space/relation/immutable

3.  Xai

 

Xai是基于 Arbitrum Nitro 构建的Layer3,专注于GameFi项目的孵化和用户体验。其主要特点在于钱包的后端集成、提供无交易手续费的游戏体验和独特的游戏经济设计。目前Xai与游戏团队Ex Populus合作,在Xai链上开发Final Form和LAMOverse两款游戏。 

Xai已发行代币XAI,该代币将作为Xai链的gas代币和节点奖励,更多用途需等待其网络中游戏上线才能知晓。目前Xai已收录至EagleEye,用户可查询或监控相关链上活动。

link: https://eagleeye.space/detail/xai

4.  Oasys

 

Oasys是一条专为游戏设计的以太坊侧链,采用PoS机制,具有Layer1和Layer2。其中Layer1只用于运行代币、NFT、跨链桥和Rollup合约,游戏运行在专有的、零gas费的Layer2上。这种设计提高了交易速度和游戏体验。 

Oasys Layer2采用Optimistic Rollup,但取消了Optimistic Rollup的7天挑战期,以提升用户体验。取消挑战期是由于其网络节点类似先前的Ronin Network,由机构和公司控制,对于网络的资产和交易有绝对的控制权。

link: https://oasys.gamefi.org/

当前Oasys已有6条Layer2,36款游戏运行在这些Layer2上,玩家可以参与这些游戏获得Oasys的原生代币OAS奖励。 

5.  Gala

 

Gala Games在2023年11月宣布与 DWF Labs 达成战略合作关系,以推动Galachain的大规模采用。本次合作让这个在2021年大火的GameFi项目再度受到市场关注。 

Gala Games已上线多款游戏,并将其业务拓展至音乐和电影领域。在2023年1月,Gala Games优化了其代币模型,在Gala平台上用 Gala 代币进行购买与支付时,所花费的Gala代币将被分配给节点以增加节点收益。用户可通过EagleEye监测Gala代币的链上活动:

link: https://eagleeye.space/detail/gala

6.  Myria

Myria 是专为GameFi开发的以太坊 Layer2。与Immutable X类似,Myria 与 StarkWare 合作开发,采用 StarkWare 的 STARK 证明器和zk-Rollup技术,但其交易最终将由以太坊网络确认。其代币为MYRIA,链上流动性不足,主要交易量集中在OKX、Bitget等中心化交易所。

link: https://eagleeye.space/detail/myria

目前Myria已发布多款免费游戏,如Metarush、Metakart、Block Royale、Starstrike Legends和Mooville Farm,致力于构建类似Gala Games的游戏平台。

全链游戏

全链游戏(fully onchain game)是指所有的游戏逻辑和状态都运行和存储在区块链网络上的游戏。此前由于区块链网络的性能瓶颈和基础设施的欠缺,大部分GameFi游戏只将游戏资产上链。而在2023年,全链游戏有了非常显著的进展,吸引了一部分开发者参与全链游戏的开发中。其原因如下: 

1.  a16z、Jump Crypto等投资机构对于全链游戏的重视和推动,支持全链游戏这个子赛道的发展。

2.  AA 钱包开始逐渐普及,用户无需对每一步链上操作都进行签名,可以在完成一回合/多步操作后进行签名,更新游戏状态。这提高了用户参与全链游戏的体验。

3.  游戏引擎的发展降低了开发者开发全链游戏的门槛。目前Starknet的Dojo游戏引擎、引入OP Stack的MUD游戏引擎最受开发者欢迎。

在2023 年,全链游戏已成为GameFi赛道的一个重点。而许多全链游戏目前已进入测试网阶段,具有一定的可玩性,以下是目前市场较为关注的全链游戏。

1.  Realms World

Realms World是Loot NFT项目的游戏生态系统,目前Realms World已有Loot Survivor、Realms: Eternum等8款游戏,这些游戏都是基于 Starknet 的 Dojo 制作。其中Loot Survivor是一款生存冒险类游戏,采用了独特的 Play2Die 机制,玩家在游戏中需要与怪物战斗/逃跑、升级角色各种属性、收集装备以延长生存时间,并争夺排行榜中的更高位置。

link: https://realms.world/

Realms: Eternum 是一款 MMO 策略游戏,玩家将建立和发展自己的王国,同时抵御其他玩家对自己王国的攻击。Eternum 中的每个王国实际都是一个 NFT,该NFT也用于Realms World的治理,并且可以通过质押NFT以赚取Realms World的生态代币LORDS。

目前EagleEye已收录LORDS代币,用户可在EagleEye上监控LORDS代币的链上异动:

link: https://eagleeye.space/detail/lords

2.  Sky  Strife

Sky Strife 是一款基于 MUD 游戏引擎构建的全链游戏。它以快节奏的实时战略(RTS)战斗为特色,其背后团队为构建 MUD 引擎的Lattice团队。Sky Strife 的游戏玩法与其他即时战略类游戏类似,以 Sky Strife 的四人地图为例,开局后四个玩家分别位于地图各自的主基地中。玩家的目标是争夺更多的资源以生产士兵,出兵攻占其他玩家的主基地。玩家需要在生产士兵、控制地图中的资源、防御基地和攻击其他玩家的基地之间分配资源,制定合适的策略。

Sky Strife 目前处于测试网阶段,其代币为ORB,目前还未发行。Sky Strife 的开发团队计划迭代地将 Sky Strife 转变为一个拥有资源、逻辑和可以自由构建的经济的自治世界,允许社区在 Sky Strife 世界中开发新的链上游戏、游戏规则和游戏模块。 

3.  Cellula

Cellula 是一款全链人工生命模拟游戏。玩家在Cellula中通过组合和拼装生命最小的单元——细胞,创造出形态和外观各异的人工“生命”。玩家可以观察这些“生命”在虚拟空间中成长、繁殖和进化的过程。Cellula 使用以太坊区块高度充当 “时间”,每个“生命“都会随着以太坊成长和进化。

link: https://play.cellula.life/home

Web2.5 游戏

除全链游戏外,其它GameFi游戏可划分为Web2.5游戏,即游戏资产上链,游戏大部分逻辑由中心化服务器处理的链游。2023-2024年,有许多此类游戏开启公测或是正式上线,如多人在线角色扮演游戏Bigtime、第一人称射击游戏Matr1x FIRE和SHRAPNEL、策略类游戏GasHero。 

目前这类游戏吸取了2021年链游的失败教训,以Play & Earn为主,从游戏画面、游戏玩法、游戏体验上优化Play部分;从代币经济设计上优化Earn部分,以免费或是低门槛吸引用户。

GameFi安全挑战

GameFi将不仅为玩家提供了代币激励,还赋予了玩家对于游戏资产的所有权,以加密经济和去中心化为特点打造游戏项目。而GameFi的发展中面临着许多安全漏洞与黑客的攻击,这些威胁不仅对用户的资产安全构成了严重威胁,也对整个GameFi生态的健康发展带来了严重的负面影响。

Beosin对于GameFi的生态安全非常关注,此前火爆的Fren Pet、xPet等链游项目一经推出,Beosin就对其代币和游戏合约进行安全分析,以避免潜在漏洞攻击。那么,GameFi有哪些常见的安全问题呢?又该如何提高GameFi的安全性呢?针对此,Beosin梳理了以下安全风险和建议。

1.  链上安全挑战

1.1.  代币合约漏洞

GameFi项目通常采用1种或者多种代币作为游戏内购买道具、奖励玩家的货币。而代币合约用于管理代币的铸造、交易和销毁,如果代币合约存在漏洞可能会对整个游戏的经济体系造成毁灭打击。

代币合约通常具有中心化风险,即代币合约的所有者/管理员权限过高,合约所有者/管理员可修改代币交易费用,阻止用户买入或卖出,添加地址黑名单,无限增发、甚至重置任意地址的代币余额。

用户可通过 EagleEye 平台查询代币合约地址的风险。EagleEye会对代币合约风险进行检测和提示,帮助用户规避潜在损失。以下是对xPet项目$BPET代币的无限铸币提醒:

1.2 业务合约漏洞

GameFi业务合约通常负责游戏的主要玩法实现和奖励分发,大部分开发者会将其业务合约实现成可升级合约。对于可升级合约的安全,Beosin建议: 

(1)  初始化合约与依赖项。开发者可能会在部署合约时忘记初始化合约和依赖项,导致合约存在严重漏洞。

(2)  注意存储冲突。升级合约时修改存储可能会导致不同版本合约之间的存储冲突,不同的变量可能指向同一存储位置,导致数据错误和资金损失。

(3)  注意权限控制。开发者需对合约的升级权限进行限制,避免攻击者获得合约升级的控制权。黑客可能通过窃取私钥或是实现治理攻击从而获得合约升级权限。

1.3 NFT漏洞

NFT主要作为GameFi项目中的玩家所持有的游戏资产,项目方可通过NFT的数量和稀有度确保游戏资产的价值。然而,NFT的不当实现可能会引入安全风险。 

如何实现随机性是项目方需要格外重视的问题。GameFi项目通常会推出盲盒、游戏任务中随机产生奖励等活动。在此类NFT铸造环节中,项目方可能使用区块时间戳之类的信息作为生成不同稀有程度的NFT的信息源。而区块时间戳可能被预测或者控制,导致不公平的游戏竞争。建议项目方使用 Chainlink VRF(可验证随机函数)以减少此类风险。

此外,项目方需要安全存储其NFT的元数据、图像和元数据的 IPFS 哈希值,避免NFT稀有度数据提前泄露。否则,黑客可定位相关NFT的元数据,在铸造过程中锁定最稀有的NFT进行铸造。 

当玩家交易NFT时,项目方需注意ERC-1155代币和ERC-721代币的区别,ERC-1155是ERC-721的一种改进,支持在单个合约中创建可替代代币和NFT的多代币。ERC-721代币需多次划转,而ERC-1155代币则能批量划转,项目方在实现相关代币转账时需注意区分。此前,Arbitrum链的TreasureDAO就因此被黑客攻击。

1.4 跨链桥漏洞

多链GameFi项目以及GameFi应用链会使用跨链桥让用户通过不同的区块链网络映射游戏内的资产。跨链桥对于提高游戏/生态的流动性、吸引用户方面是非常重要的部分。而GameFi跨链桥有两个主要风险: 

一是由于合约漏洞,不同网络之间映射的游戏资产不一致。黑客可能通过合约漏洞,在某一网络增发游戏资产进行获利。

二是跨链桥验证节点风险。此前Ronin Network因节点私钥泄漏导致其跨链桥损失6.2亿美元,建议GameFi应用链需增加其跨链桥的验证节点,同时安全存储私钥,以避免验证节点被恶意控制造成损失。

2.  链下安全挑战

除全链游戏外,大部分GameFi项目的一部分后端逻辑和接口依然依靠链下中心化服务器。这些服务器会存放重要信息,包含一部分游戏逻辑、游戏数据和玩家账户信息。这些服务器容易受到恶意攻击。

2.1 篡改NFT数据

在前面一部分,我们强调NFT的元数据非常重要。可是,很多GameFi项目将其NFT元数据存储在中心化服务器上,而非在Arweave这类去中心化基础设施。这增加了攻击者或者项目内部篡改元数据的风险,侵害了玩家对其游戏资产的所有权和利益。

2.2 钓鱼攻击

攻击者能通过钓鱼攻击获得项目方的敏感信息,如管理游戏金库的钱包私钥,GitHub账号等。进而黑客可通过供应链攻击或者钓鱼攻击扩大攻击规模,造成更多损失。

总结

GameFi在经历3年的探索后,已出现越来越多的专有游戏公链和更优质的游戏项目,其中全链游戏是更加Web3原生的叙事,但其处于极早期阶段,整个赛道都还需要时间去迭代。在参与GameFi赛道的建设时,开发者需注意避免上述的安全风险,以构建更可靠的GameFi项目。

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 Beosin 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信