Artikel ini adalah kiriman komunitas. Penulisnya adalah Zhangchi Qin, auditor kontrak pintar di perusahaan keamanan blockchain holistik, Salus Security.

Pandangan dalam artikel ini adalah milik kontributor/penulis dan tidak mencerminkan pandangan Binance Academy.

TLDR:

  • Proyek GameFi menghadapi berbagai tantangan keamanan yang dapat diklasifikasikan sebagai masalah on-chain dan off-chain.

  • Tantangan keamanan on-chain terutama melibatkan pengelolaan token ERC-20 dan NFT, keamanan jembatan lintas rantai, dan tata kelola organisasi otonom terdesentralisasi (DAO).

  • Di sisi lain, tantangan off-chain biasanya terkait dengan antarmuka web dan server.

  • Proyek GameFi harus memprioritaskan langkah-langkah keamanan, seperti audit yang ketat, pemindaian kerentanan, dan pengujian penetrasi, serta menerapkan praktik operasional terbaik dan kontrol bisnis.

Perkenalan

GameFi menggabungkan teknologi blockchain dengan game untuk menciptakan platform terdesentralisasi yang menampilkan aset dalam game dan mata uang digital. Biasanya menampilkan model play-to-earn (P2E) yang memungkinkan pemain mendapatkan hadiah kripto. GameFi juga memberi gamer kepemilikan sesungguhnya dan kendali penuh atas aset dalam game mereka.

Meskipun GameFi semakin populer, GameFi menghadapi ancaman peretasan yang terus menerus dan signifikan sepanjang siklus hidupnya. Beberapa proyek mungkin lebih mengutamakan kecepatan daripada kualitas, sehingga tidak memiliki tindakan pencegahan keamanan yang kuat, sehingga menempatkan komunitas dan pencipta dalam risiko kerugian yang signifikan.

Mengapa Keamanan GameFi Penting?

GameFi mengalami pertumbuhan pesat pada tahun 2021 dengan model P2E yang menawarkan peluang finansial baru kepada pemain dalam game. Pada tahun 2022, proyek move-to-earn semakin menyoroti potensi pertumbuhan GameFi. GameFi adalah sektor kripto teratas pada tahun 2022, menyumbang sekitar 9.5% dari total pendanaan industri dan pertumbuhan tahun-ke-tahun lebih dari 118%.

GameFi berbeda dari game tradisional karena lebih banyak hal yang dipertaruhkan bagi pengguna dan peretasan apa pun dapat mengakibatkan kerugian besar bagi mereka. Dalam skenario ekstrem, pelanggaran keamanan dapat mengakhiri suatu proyek.

Misalnya, penyerang mengeksploitasi pintu belakang dalam node Panggilan Prosedur Jarak Jauh (RPC) untuk mendapatkan tanda tangan pada proyek GameFi Axie Infinity pada tahun 2022, yang memungkinkan penyerang melakukan penarikan tidak sah dengan total hampir $600 juta dalam ETH. Kerentanan apa pun dalam proyek GameFi dapat mengakibatkan kerugian besar bagi investor dan pemain, yang menggarisbawahi pentingnya keamanan GameFi.

Tantangan Keamanan On-chain

Kerentanan token ERC-20

Token ERC-20 sering digunakan dalam proyek GameFi sebagai mata uang virtual untuk pembelian dalam game, mekanisme hadiah untuk pemain, dan alat pertukaran.

Pencetakan dan pengelolaan token ERC-20 yang tidak tepat dapat menimbulkan risiko keamanan. Salah satu kerentanan umum, yang disebut reentrancy, mungkin muncul selama proses pencetakan. Serangan dapat mengeksploitasi celah logika dalam kontrak untuk menjalankan fungsi tertentu berulang kali, sehingga menghasilkan pencetakan token yang tidak terbatas.

Sebagai mata uang universal dalam game, stabilitas dan kuantitas token ERC-20 menentukan kemampuan bermain dan keberlanjutan game. Oleh karena itu, proyek harus memastikan logika kode dan secara ketat mengontrol total pasokan token ERC-20.

Proyek P2E GameFi DeFi Kingdoms diserang oleh pembuatan ERC-20 yang berbahaya pada tahun 2022. Beberapa pemain memanfaatkan kerentanan logika untuk mencetak token asli game yang terkunci, sehingga menyebabkan harga token anjlok setelahnya.

Kerentanan NFT

NFT terutama digunakan sebagai aset virtual dalam game dalam proyek GameFi, termasuk perlengkapan, properti, dan suvenir. Mereka menawarkan kepemilikan yang jelas kepada pemain dan dapat mempertahankan nilai stabil melalui pengendalian inflasi dan kelangkaan. Namun, penggunaan NFT yang tidak tepat dapat menimbulkan kerentanan keamanan.

Nilai NFT tercermin dalam kelangkaan peralatan atau properti, dan pemain biasanya mencari NFT yang paling langka. Selama proses pembuatan NFT, informasi terkait blok seperti stempel waktu dapat digunakan sebagai sumber acak yang lemah untuk menghasilkan NFT dengan tingkat kelangkaan berbeda. Seorang penambang dapat memanipulasi stempel waktu blok sampai batas tertentu untuk mencetak NFT yang lebih langka dan berbahaya.

Bahkan sumber keacakan yang dapat diandalkan, seperti Chainlink VRF (Fungsi Acak yang Dapat Diverifikasi), tidak menghilangkan semua risiko. Pengguna jahat dapat membatalkan operasi saat membuat ID token NFT yang tidak diinginkan dan mengulangi prosesnya hingga NFT langka dibuat.

Saat pemain memperdagangkan dan mentransfer NFT, potensi kerentanan kontrak pintar dapat terjadi. Misalnya, fungsi safeTransferFrom() digunakan untuk mentransfer ERC-721 NFT. Jika penerima adalah alamat kontrak, fungsi onERC721Received() akan dipicu untuk panggilan balik. Lalu ada potensi risiko serangan reentrancy, dimana penyerang dapat mendikte logika dalam fungsi di ERC721Received().

Risiko ini juga terjadi pada NFT ERC-1155, dimana fungsi safeTransferFrom() memicu fungsi onERC1155Received() dan memungkinkan penyerang melakukan serangan masuk kembali.

Kerentanan jembatan

Jembatan lintas rantai digunakan di GameFi untuk memungkinkan pengguna bertukar aset dalam game di jaringan yang berbeda. Mereka juga penting untuk meningkatkan pengalaman dan likuiditas GameFi.

Salah satu risiko utama jembatan lintas rantai di GameFi berasal dari inkonsistensi antar aset dalam game. Kontrak di kedua sisi jembatan harus menjamin bahwa jumlah aset yang sama akan diterima dan dibakar. Namun, karena adanya celah dalam kontrak verifikasi dan akuntansi, penyerang dapat mengkompromikannya untuk menciptakan sejumlah besar aset secara tiba-tiba.

Kerentanan tata kelola DAO

Banyak proyek GameFi diatur oleh DAO, yang dapat menimbulkan risiko sentralisasi jika sebagian besar token tata kelola dimiliki oleh beberapa aktor besar. Kontrak pintar yang menentukan aturan tata kelola DAO membuka peluang lain untuk potensi kompromi, karena penyerang dapat menemukan cara untuk mengakses perbendaharaan DAO.

Tantangan Keamanan Off-chain

Sebagian besar proyek GameFi masih bergantung pada server terpusat off-chain untuk operasi back-end, antarmuka web, atau aplikasi seluler. Server-server ini menampung informasi penting, termasuk data game dan akun pemilik, dan rentan terhadap serangan jahat seperti penetrasi dan malware Trojan horse.

Terkait NFT, metadata berisi informasi deskriptif penting dan disimpan secara off-chain sebagai file JSON. Namun, banyak proyek GameFi menyimpan metadata NFT mereka di server terpusat mereka sendiri daripada menggunakan infrastruktur terdesentralisasi seperti IPFS. Hal ini meningkatkan kemungkinan gangguan metadata oleh pihak terkait atau penyerang, yang dapat melanggar hak pemain.

Dalam konteks jembatan lintas rantai, penyerang dapat memperoleh tanda tangan validator atau kunci pribadi melalui serangan penetrasi atau phishing. Mereka dapat membahayakan infrastruktur dan melakukan eksploitasi untuk mengontrol aset dalam game.

Selama transmisi data, penyerang mungkin membajak dan menyuntikkan paket jaringan dengan kode berbahaya. Dengan memodifikasi paket data, penyerang dapat melakukan top-up palsu dan menggunakan jumlah pembelian unit untuk mendapatkan lebih banyak item game.

Antarmuka front-end memberi penyerang jalan lain untuk menyusup ke sistem secara jahat. Jika kebocoran informasi terjadi di papan peringkat suatu game, penyerang dapat mengirimkan informasi terkait alamat yang bocor ke server untuk mendapatkan informasi sensitif terkait.

Cara Meningkatkan Keamanan

Untuk melindungi proyek GameFi, sangat penting untuk berhati-hati di setiap tahap. Memastikan kode kontrak pintar yang sempurna adalah dasar dari proyek GameFi yang sukses — hal ini melibatkan penulisan kode berkualitas tinggi, melakukan audit rutin, dan menggunakan verifikasi kontrak pintar formal.

Menjaga keamanan server dan komponen infrastruktur lainnya juga penting; pengujian penetrasi harus dilakukan untuk mendeteksi kemungkinan kerentanan. Dengan sistem berbasis DApp dan blockchain, pengujian penetrasi menghadirkan fitur Web3. Oleh karena itu, tindakan pencegahan khusus diperlukan untuk dompet digital dan protokol terdesentralisasi.

Proyek GameFi juga harus mematuhi praktik terbaik lainnya, termasuk proses runtime yang aman dan respons darurat yang lengkap. Yang pertama melibatkan pemantauan peristiwa keamanan yang dipicu, memperkuat keamanan lingkungan, dan merilis program bug bounty.

Pada saat yang sama, proyek harus mengembangkan proses tanggap darurat lengkap yang mencakup aspek-aspek seperti penghentian kerugian, pelacakan serangan, dan analisis masalah.

Kerentanan keamanan GameFi melampaui apa yang disebutkan dalam artikel ini dan banyak insiden menunjukkan bahwa proyek mengabaikan atau meremehkan risiko keamanan. GameFi adalah bagian penting dari masa depan game. Oleh karena itu, proyek harus selalu memperhatikan masalah keamanan dan mengutamakan kepentingan masyarakat.

Bacaan lebih lanjut

  • Apa Itu GameFi dan Bagaimana Cara Kerjanya?

  • Apa Itu Game NFT dan Bagaimana Cara Kerjanya?

  • Apa Itu Audit Keamanan Kontrak Cerdas?


Penafian dan Peringatan Risiko: Konten ini disajikan kepada Anda “sebagaimana adanya” hanya untuk informasi umum dan tujuan pendidikan, tanpa representasi atau jaminan apa pun. Hal ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau nasihat profesional lainnya, juga tidak dimaksudkan untuk merekomendasikan pembelian produk atau layanan tertentu. Anda harus mencari nasihat Anda sendiri dari penasihat profesional yang tepat. Apabila artikel tersebut dikontribusikan oleh kontributor pihak ketiga, harap dicatat bahwa pandangan yang diungkapkan adalah milik kontributor pihak ketiga dan tidak mencerminkan pandangan Binance Academy. Silakan baca penafian lengkap kami di sini untuk rincian lebih lanjut. Harga aset digital bisa berfluktuasi. Nilai investasi Anda mungkin turun atau naik, dan Anda mungkin tidak mendapatkan kembali jumlah yang diinvestasikan. Anda sepenuhnya bertanggung jawab atas keputusan investasi Anda, dan Binance Academy tidak bertanggung jawab atas kerugian apa pun yang mungkin Anda alami. Materi ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau nasihat profesional lainnya. Untuk informasi lebih lanjut, lihat Ketentuan Penggunaan dan Peringatan Risiko kami.