Bài viết này là một bài nộp cộng đồng. Tác giả là Zhangchi Qin, kiểm toán viên hợp đồng thông minh tại công ty bảo mật blockchain toàn diện Salus Security.
Lượt xem trong bài viết này là của người đóng góp/tác giả và không nhất thiết phản ánh quan điểm của Binance Academy.
TLDR:
Các dự án GameFi phải đối mặt với nhiều thách thức bảo mật khác nhau có thể được phân loại thành các vấn đề trên chuỗi và ngoài chuỗi.
Các thách thức bảo mật trên chuỗi chủ yếu liên quan đến việc quản lý mã thông báo ERC-20 và NFT, sự an toàn của các cầu nối chuỗi chéo và quản trị tổ chức tự trị phi tập trung (DAO).
Mặt khác, các thách thức ngoài chuỗi thường liên quan đến giao diện web và máy chủ.
Các dự án GameFi nên ưu tiên các biện pháp bảo mật, chẳng hạn như kiểm tra nghiêm ngặt, quét lỗ hổng và kiểm tra thâm nhập, cũng như triển khai các phương pháp vận hành và kiểm soát kinh doanh tốt nhất.
Giới thiệu
GameFi kết hợp công nghệ blockchain với trò chơi để tạo ra các nền tảng phi tập trung bao gồm tài sản trong trò chơi và tiền tệ kỹ thuật số. Nó thường có mô hình chơi để kiếm tiền (P2E) cho phép người chơi kiếm phần thưởng bằng tiền điện tử. GameFi cũng mang đến cho game thủ quyền sở hữu thực sự và toàn quyền kiểm soát tài sản trong trò chơi của họ.
Mặc dù GameFi đang trở nên phổ biến nhưng nó vẫn phải đối mặt với các mối đe dọa liên tục và đáng kể từ các vụ hack trong suốt vòng đời của mình. Một số dự án có thể coi trọng tốc độ hơn chất lượng và do đó thiếu các biện pháp phòng ngừa bảo mật mạnh mẽ, khiến cả cộng đồng và người sáng tạo có nguy cơ bị tổn thất đáng kể.
Tại sao bảo mật GameFi lại quan trọng?
GameFi đã có sự tăng trưởng đáng kể vào năm 2021 với mô hình P2E mang đến cho người chơi những cơ hội tài chính mới trong trò chơi. Vào năm 2022, các dự án chuyển sang kiếm tiền càng làm nổi bật thêm tiềm năng tăng trưởng của GameFi. GameFi là lĩnh vực hàng đầu của tiền điện tử vào năm 2022, chiếm khoảng 9,5% tổng nguồn tài trợ của ngành và mức tăng trưởng hàng năm là hơn 118%.
GameFi khác với trò chơi truyền thống vì người dùng có nhiều nguy cơ bị đe dọa hơn và bất kỳ vụ hack nào cũng có thể đồng nghĩa với tổn thất đáng kể đối với họ. Trong những tình huống cực đoan, vi phạm an ninh có thể kết thúc một dự án.
Ví dụ: những kẻ tấn công đã khai thác một cửa sau trong nút Gọi thủ tục từ xa (RPC) để lấy chữ ký trên dự án GameFi Axie Infinity vào năm 2022, cho phép kẻ tấn công thực hiện các khoản rút tiền trái phép với tổng trị giá gần 600 triệu đô la ETH. Bất kỳ lỗ hổng nào trong các dự án GameFi đều có thể gây ra tổn thất lớn cho cả nhà đầu tư và người chơi, điều này nhấn mạnh tầm quan trọng đặc biệt của bảo mật GameFi.
Những thách thức bảo mật trên chuỗi
Lỗ hổng mã thông báo ERC-20
Mã thông báo ERC-20 thường được sử dụng trong các dự án GameFi dưới dạng tiền ảo để mua hàng trong trò chơi, cơ chế thưởng cho người chơi và phương tiện trao đổi.
Việc khai thác và quản lý mã thông báo ERC-20 không đúng cách có thể gây ra rủi ro bảo mật. Một lỗ hổng phổ biến, được gọi là reentrancy, có thể phát sinh trong quá trình đúc tiền. Các cuộc tấn công có thể khai thác lỗ hổng logic trong hợp đồng để thực hiện liên tục một chức năng cụ thể, dẫn đến việc tạo ra vô số mã thông báo.
Là loại tiền tệ phổ biến trong trò chơi, tính ổn định và số lượng của mã thông báo ERC-20 quyết định khả năng chơi và tính bền vững của trò chơi. Do đó, các dự án cần đảm bảo tính logic của mã và kiểm soát chặt chẽ tổng nguồn cung cấp token ERC-20.
Dự án P2E GameFi DeFi Kingdoms đã bị tấn công bởi hoạt động đúc ERC-20 độc hại vào năm 2022. Một số người chơi đã lợi dụng lỗ hổng logic để đúc các token gốc bị khóa của trò chơi, khiến giá token giảm mạnh sau đó.
Lỗ hổng NFT
NFT chủ yếu được sử dụng làm tài sản ảo trong trò chơi trong các dự án GameFi, bao gồm thiết bị, đạo cụ và quà lưu niệm. Chúng cung cấp cho người chơi quyền sở hữu rõ ràng và có thể duy trì giá trị ổn định thông qua việc kiểm soát lạm phát và sự khan hiếm. Tuy nhiên, việc sử dụng NFT không đúng cách có thể gây ra các lỗ hổng bảo mật.
Giá trị của NFT được phản ánh qua độ hiếm của thiết bị hoặc đạo cụ, và người chơi thường tìm kiếm những NFT hiếm nhất. Trong quá trình khai thác NFT, thông tin liên quan đến khối như dấu thời gian có thể được sử dụng làm nguồn ngẫu nhiên yếu để tạo NFT với các mức độ hiếm khác nhau. Người khai thác có thể thao túng dấu thời gian của khối ở một mức độ nào đó để đúc các NFT hiếm hơn một cách có ác ý.
Ngay cả một nguồn ngẫu nhiên đáng tin cậy, chẳng hạn như Chainlink VRF (Chức năng ngẫu nhiên có thể xác minh), cũng không loại bỏ được tất cả rủi ro. Người dùng độc hại có thể thu hồi các hoạt động trong khi tạo ra các ID mã thông báo NFT không mong muốn và lặp lại quy trình cho đến khi tạo ra một NFT hiếm.
Khi người chơi giao dịch và chuyển nhượng NFT, các lỗ hổng hợp đồng thông minh tiềm ẩn có thể xảy ra. Ví dụ: hàm safeTransferFrom() được sử dụng để truyền NFT ERC-721. Khi người nhận là địa chỉ hợp đồng, hàm onERC721Received() sẽ được kích hoạt để gọi lại. Sau đó, có nguy cơ tiềm ẩn về các cuộc tấn công quay trở lại, theo đó những kẻ tấn công có thể ra lệnh logic trong hàm trên ERC721Received().
Rủi ro này cũng tồn tại trong các NFT ERC-1155, theo đó hàm safeTransferFrom() sẽ kích hoạt hàm onERC1155Received() và cho phép kẻ tấn công thực hiện một cuộc tấn công vào lại.
Lỗ hổng cầu
Cầu nối chuỗi chéo được sử dụng trong GameFi để cho phép người dùng trao đổi tài sản trong trò chơi trên các mạng khác nhau. Chúng cũng rất quan trọng để nâng cao trải nghiệm và tính thanh khoản của GameFi.
Một rủi ro lớn của cầu nối chuỗi chéo trong GameFi xuất phát từ sự không nhất quán giữa các tài sản trong trò chơi. Hợp đồng hai bên cầu phải đảm bảo số lượng tài sản như nhau sẽ được nghiệm thu và đốt bỏ. Tuy nhiên, do có những sơ hở trong hợp đồng xác minh và kế toán, những kẻ tấn công có thể xâm phạm chúng để tạo ra một số lượng lớn tài sản một cách bất ngờ.
Lỗ hổng quản trị DAO
Nhiều dự án GameFi được quản lý bởi DAO, điều này có thể gây ra rủi ro tập trung hóa nếu phần lớn mã thông báo quản trị thuộc sở hữu của một số ít tác nhân lớn. Hợp đồng thông minh xác định các quy tắc quản trị DAO mở ra một địa điểm khác cho những thỏa hiệp tiềm ẩn, vì những kẻ tấn công có thể tìm cách truy cập vào kho bạc DAO.
Những thách thức bảo mật ngoài chuỗi
Hầu hết các dự án GameFi vẫn phụ thuộc vào các máy chủ tập trung ngoài chuỗi cho các hoạt động phụ trợ, giao diện web hoặc ứng dụng di động. Các máy chủ này chứa thông tin quan trọng, bao gồm dữ liệu trò chơi và tài khoản chủ sở hữu, đồng thời chúng dễ bị tấn công độc hại như xâm nhập và phần mềm độc hại ngựa Trojan.
Khi nói đến NFT, siêu dữ liệu chứa thông tin mô tả quan trọng và được lưu trữ ngoài chuỗi dưới dạng tệp JSON. Tuy nhiên, nhiều dự án GameFi lưu trữ siêu dữ liệu NFT trên các máy chủ tập trung của riêng họ thay vì sử dụng cơ sở hạ tầng phi tập trung như IPFS. Điều này làm tăng khả năng các bên liên quan hoặc kẻ tấn công giả mạo siêu dữ liệu, có thể xâm phạm quyền của người chơi.
Trong bối cảnh cầu nối chuỗi chéo, kẻ tấn công có thể lấy được chữ ký hoặc khóa riêng của người xác thực thông qua các cuộc tấn công thâm nhập hoặc lừa đảo. Họ có thể xâm phạm cơ sở hạ tầng và thực hiện khai thác để kiểm soát tài sản trong trò chơi.
Trong quá trình truyền dữ liệu, kẻ tấn công có thể chiếm quyền điều khiển và tiêm mã độc vào gói mạng. Bằng cách sửa đổi gói dữ liệu, kẻ tấn công có thể thực hiện nạp tiền sai và sử dụng số tiền mua đơn vị để nhận thêm vật phẩm trong trò chơi.
Giao diện front-end cung cấp cho kẻ tấn công một con đường khác để xâm nhập vào hệ thống một cách ác ý. Nếu xảy ra rò rỉ thông tin trên bảng xếp hạng của một trò chơi, kẻ tấn công có thể gửi thông tin liên quan đến địa chỉ bị rò rỉ đến máy chủ để lấy thông tin nhạy cảm tương ứng.
Những cách để cải thiện bảo mật
Để bảo vệ các dự án GameFi, điều quan trọng là phải thận trọng ở mọi giai đoạn. Đảm bảo mã hợp đồng thông minh hoàn hảo là nền tảng của một dự án GameFi thành công — điều này bao gồm việc viết mã chất lượng cao, tiến hành kiểm tra thường xuyên và sử dụng xác minh hợp đồng thông minh chính thức.
Việc duy trì tính bảo mật của máy chủ và các thành phần cơ sở hạ tầng khác cũng rất quan trọng; thử nghiệm thâm nhập nên được tiến hành để phát hiện các lỗ hổng có thể xảy ra. Với các hệ thống dựa trên DApp và blockchain, thử nghiệm thâm nhập mang theo các tính năng Web3. Vì vậy, các biện pháp phòng ngừa cụ thể là cần thiết đối với ví kỹ thuật số và các giao thức phi tập trung.
Các dự án GameFi cũng phải tuân thủ các phương pháp hay nhất khác, bao gồm quy trình thời gian chạy an toàn và ứng phó khẩn cấp hoàn chỉnh. Việc đầu tiên liên quan đến việc giám sát các sự kiện bảo mật được kích hoạt, tăng cường bảo mật môi trường và phát hành các chương trình thưởng lỗi.
Đồng thời, các dự án phải phát triển một quy trình ứng phó khẩn cấp hoàn chỉnh bao gồm các khía cạnh như xử lý điểm dừng lỗ, theo dõi cuộc tấn công và phân tích vấn đề.
Bớt tư tưởng
Các lỗ hổng bảo mật của GameFi vượt xa những lỗ hổng được đề cập trong bài viết này và nhiều sự cố đã cho thấy các dự án đã bỏ qua hoặc xem nhẹ các rủi ro bảo mật. GameFi là một phần quan trọng trong tương lai của trò chơi. Vì vậy, các dự án phải luôn chú ý đến vấn đề an ninh và đặt lợi ích cộng đồng lên hàng đầu.
Đọc thêm
GameFi là gì và nó hoạt động như thế nào?
Trò chơi NFT là gì và chúng hoạt động như thế nào?
Kiểm tra bảo mật hợp đồng thông minh là gì?
Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Nội dung này được cung cấp cho bạn trên cơ sở “nguyên trạng” chỉ nhằm mục đích cung cấp thông tin chung và mục đích giáo dục mà không có sự đại diện hay bảo đảm dưới bất kỳ hình thức nào. Nó không nên được hiểu là lời khuyên về tài chính, pháp lý hoặc chuyên môn khác, cũng như không nhằm mục đích khuyến nghị mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Bạn nên tìm kiếm lời khuyên của riêng bạn từ các cố vấn chuyên môn thích hợp. Trong trường hợp bài viết được đóng góp bởi cộng tác viên bên thứ ba, xin lưu ý rằng những quan điểm thể hiện đó thuộc về cộng tác viên bên thứ ba và không nhất thiết phản ánh quan điểm của Binance Academy. Vui lòng đọc tuyên bố từ chối trách nhiệm đầy đủ của chúng tôi ở đây để biết thêm chi tiết. Giá tài sản kỹ thuật số có thể biến động. Giá trị khoản đầu tư của bạn có thể giảm hoặc tăng và bạn có thể không lấy lại được số tiền đã đầu tư. Bạn hoàn toàn chịu trách nhiệm về các quyết định đầu tư của mình và Binance Academy không chịu trách nhiệm về bất kỳ tổn thất nào bạn có thể phải gánh chịu. Tài liệu này không nên được hiểu là lời khuyên về tài chính, pháp lý hoặc chuyên môn khác. Để biết thêm thông tin, hãy xem Điều khoản sử dụng và Cảnh báo rủi ro của chúng tôi.
