Bài viết này là một đóng góp từ cộng đồng. Tác giả Zhangchi Qin là kiểm định viên hợp đồng thông minh tại công ty bảo mật blockchain toàn diện Salus Security.
Quan điểm trong bài viết này là của người đóng góp/tác giả và không nhất thiết phản ánh quan điểm của Binance Academy.
TLDR:
Các dự án GameFi phải đối mặt với nhiều thách thức bảo mật, có thể được phân loại thành các vấn đề trên chuỗi và ngoài chuỗi.
Các vấn đề bảo mật trên chuỗi chủ yếu liên quan đến việc quản lý các token ERC-20 và NFT, sự an toàn của các cầu nối chuỗi chéo và quản trị tổ chức tự trị phi tập trung (DAO).
Mặt khác, các vấn đề ngoài chuỗi thường liên quan đến giao diện web và máy chủ.
Các dự án GameFi nên ưu tiên các biện pháp bảo mật, chẳng hạn như kiểm tra nghiêm ngặt, quét lỗ hổng và kiểm tra thâm nhập, cũng như triển khai các phương pháp vận hành và kiểm soát doanh nghiệp tốt nhất.
Giới thiệu
GameFi kết hợp công nghệ blockchain cùng trò chơi để tạo ra các nền tảng phi tập trung với các tài sản trong trò chơi và tiền kỹ thuật số. GameFi thường là mô hình chơi để kiếm tiền (P2E) cho phép người chơi kiếm các phần thưởng bằng tiền mã hóa. GameFi cũng cung cấp cho game thủ quyền sở hữu thực sự và toàn quyền kiểm soát các tài sản trong trò chơi của họ.
Mặc dù GameFi đang trở nên phổ biến, các dự này đang phải đối mặt với các mối đe dọa liên tục và đáng kể từ các vụ hack trong suốt chu kỳ của mình. Một số dự án coi trọng tốc độ hơn chất lượng nên thiếu các biện pháp phòng ngừa bảo mật mạnh mẽ, khiến cả cộng đồng và những người sáng tạo có nguy cơ bị thiệt hại đáng kể.
Tại sao bảo mật trong GameFi lại quan trọng?
GameFi đã có sự tăng trưởng đáng kể vào năm 2021 với mô hình P2E mang đến cho người chơi những cơ hội tài chính mới. Vào năm 2022, các trào lưu chạy bộ để kiếm tiền càng làm nổi bật tiềm năng phát triển của GameFi. GameFi là lĩnh vực hàng đầu của tiền mã hóa vào năm 2022, chiếm khoảng 9,5% tổng nguồn vốn của ngành và tăng trưởng hàng năm hơn 118%.
GameFi khác với trò chơi truyền thống vì người dùng bị đe dọa nhiều hơn và bất kỳ vụ hack nào cũng có thể gây ra tổn thất đáng kể cho họ. Trong các tình huống nghiêm trọng, một dự án có thể kết thúc bởi hậu quả của việc vi phạm bảo mật.
Ví dụ, vào năm 2022 những kẻ tấn công đã khai thác cửa sau trong node Remote Procedure Call (RPC) để lấy chữ ký trên dự án GameFi Axie Infinity, những kẻ tấn công đã thực hiện các khoản rút trái phép với tổng trị giá gần 600 triệu USD bằng ETH. Bất kỳ lỗ hổng nào trong các dự án GameFi đều có thể dẫn đến tổn thất lớn cho cả nhà đầu tư và người chơi, việc này càng nhấn mạnh tầm quan trọng đặc biệt của bảo mật GameFi.
Những vấn đề về bảo mật trên chuỗi
Các lỗ hổng bảo mật token ERC-20
Các token ERC-20 thường được sử dụng trong các dự án GameFi dưới dạng tiền ảo để mua hàng trong trò chơi, cơ chế thưởng cho người chơi và một phương thức trao đổi.
Việc đào và quản lý các token ERC-20 không đúng cách có thể gây ra rủi ro bảo mật. Reentrancy là một lỗi phổ biến, có thể phát sinh trong quá trình đào. Các cuộc tấn công có thể lợi dụng kẽ hở logic trong hợp đồng để thực thi liên tục một lệnh cụ thể, dẫn đến việc đúc vô số token.
Là một loại tiền tệ phổ biến trong trò chơi, các token ERC-20 có tính ổn định và số lượng của nó quyết định khả năng chơi và tính bền vững của trò chơi. Do đó, các dự án phải đảm bảo tính logic của code và kiểm soát chặt chẽ tổng nguồn cung các token ERC-20.
DeFi Kingdoms là dự án GameFi P2E đã bị tấn công bằng cách đào token ERC-20 gian lận vào năm 2022. Một số người chơi đã tận dụng lỗ hổng logic để đào các token gốc đã bị khóa của trò chơi, khiến giá token giảm mạnh sau đó.
Các lỗ hổng bảo mật NFT
NFT chủ yếu được sử dụng làm tài sản ảo trong trò chơi trong các dự án GameFi, bao gồm trang bị, vật phẩm và quà lưu niệm. Chúng cung cấp cho người chơi quyền sở hữu rõ ràng và có thể duy trì giá trị ổn định thông qua kiểm soát lạm phát và sự khan hiếm. Tuy nhiên, việc sử dụng các NFT không đúng cách có thể gây ra các lỗ hổng bảo mật.
Giá trị của các NFT được phản ánh ở độ hiếm của trang bị hoặc vật phẩm, vì những người chơi thường tìm kiếm các NFT hiếm nhất. Trong quá trình đúc NFT, thông tin liên quan đến khối như dấu thời gian (timestamp) có thể được sử dụng làm nguồn ngẫu nhiên để tạo các NFT với các mức độ hiếm khác nhau. Một thợ đào có thể thao túng dấu thời gian của khối ở một mức độ nào đó để khai thác các NFT hiếm hơn theo cách gian lận.
Ngay cả một nguồn xác thực ngẫu nhiên, chẳng hạn như Chainlink VRF (Chức năng ngẫu nhiên có thể xác minh), cũng không loại bỏ được tất cả các rủi ro. Người dùng gian lận có thể thu hồi các hoạt động trong khi khai thác các ID token NFT không mong muốn và lặp lại quy trình cho đến khi đào được một NFT hiếm.
Khi người chơi giao dịch và chuyển nhượng các NFT, các lỗi tiềm ẩn trong hợp đồng thông minh vẫn có thể xảy ra. Ví dụ: hàm safeTransferFrom() được sử dụng để truyền các NFT ERC-721. Khi bên nhận là một địa chỉ hợp đồng, hàm onERC721Received() sẽ được kích hoạt để gọi lại. Khi đó, tiềm ẩn nguy cơ diễn ra các cuộc tấn công Reentrancy, theo đó những kẻ tấn công có thể ra lệnh logic trong hàm onERC721Received().
Rủi ro này cũng tồn tại giữa các ERC-1155 NFT, theo đó hàm safeTransferFrom() kích hoạt hàm onERC1155Received() và cho phép kẻ tấn công thực hiện một cuộc tấn công reentrancy.
Các lỗ hổng cầu nối
Cầu nối chuỗi chéo được sử dụng trong GameFi để cho phép người dùng trao đổi tài sản trong trò chơi qua các mạng khác nhau. Chúng cũng rất quan trọng trong nâng cao trải nghiệm và tính thanh khoản của GameFi.
Một rủi ro lớn của cầu nối chuỗi chéo trong GameFi đến từ sự không thống nhất giữa các tài sản trong trò chơi. Các hợp đồng của cả hai bên cầu nối phải đảm bảo rằng cùng một lượng giá trị tài sản sẽ được tiếp nhận và đốt cháy. Tuy nhiên, do các lỗ hổng trong hợp đồng dùng để xác minh và hạch toán, những kẻ tấn công có thể đột nhập để tạo ra một số lượng lớn tài sản bất ngờ.
Các lỗ hổng quản trị trong DAO
Nhiều dự án GameFi được quản lý bởi DAO, điều này có thể gây ra rủi ro tập trung nếu phần lớn các token quản trị thuộc sở hữu của một số tác nhân lớn. Các hợp đồng thông minh xác định các quy tắc quản trị DAO mở ra một địa điểm khác cho sự xâm nhập tiềm ẩn, vì những kẻ tấn công có thể tìm cách truy cập vào tài sản DAO.
Những vấn đề bảo mật ngoài chuỗi
Hầu hết các dự án GameFi vẫn phụ thuộc vào các máy chủ tập trung ngoài chuỗi cho các hoạt động phụ trợ, giao diện web hoặc ứng dụng di động. Các máy chủ này chứa thông tin quan trọng, bao gồm dữ liệu trò chơi và tài khoản chủ sở hữu, đồng thời chúng dễ bị tấn công như bị xâm nhập và các phần mềm gián điệp độc hại Trojan.
Khi nói đến các NFT, siêu dữ liệu chứa thông tin mô tả quan trọng và được lưu trữ ngoài chuỗi dưới dạng các tệp JSON. Tuy nhiên, nhiều dự án GameFi lưu trữ siêu dữ liệu NFT trên máy chủ tập trung của riêng họ thay vì sử dụng cơ sở hạ tầng phi tập trung như IPFS. Điều này làm tăng khả năng các bên liên quan hoặc kẻ tấn công giả mạo siêu dữ liệu, dẫn đến việc vi phạm quyền lợi của người chơi.
Với cầu nối chuỗi chéo, những kẻ tấn công có thể có được chữ ký hoặc khóa riêng của người xác thực thông qua các cuộc xâm nhập hoặc tấn công giả mạo. Chúng có thể đột nhập cơ sở hạ tầng và thực hiện khai thác để kiểm soát tài sản trong trò chơi.
Trong quá trình truyền dữ liệu, kẻ tấn công có thể chiếm quyền điều khiển và đưa mã độc vào gói mạng. Bằng cách sửa đổi gói dữ liệu, kẻ tấn công có thể thực hiện nạp tiền giả và sử dụng số tiền mua hàng để nhận thêm vật phẩm trò chơi.
Giao diện front-end cung cấp cho kẻ tấn công một phương pháp khác để đe dọa xâm nhập hệ thống. Nếu xảy ra rò rỉ thông tin trên bảng xếp hạng của một trò chơi, kẻ tấn công có thể gửi thông tin liên quan đến địa chỉ bị rò rỉ đến máy chủ để lấy thông tin riêng tư tương ứng.
Các cách để cải thiện bảo mật
Để bảo vệ các dự án GameFi, điều quan trọng là phải thận trọng ở mọi giai đoạn. Việc đảm bảo code hợp đồng thông minh hoàn hảo là nền tảng của dự án GameFi thành công — điều này liên quan đến việc viết code chất lượng cao, tiến hành kiểm tra thường xuyên và sử dụng hợp đồng thông minh được xác minh chính thức.
Duy trì tính bảo mật của máy chủ và cơ sở hạ tầng khác rất quan trọng; nên cần tiến hành thử nghiệm xâm nhập để có thể phát hiện các lỗ hổng. Với các hệ thống DApp và blockchain, thử nghiệm xâm nhập còn gồm kiểm định các tính năng theo tiêu chuẩn Web3. Do đó, các biện pháp phòng ngừa cụ thể là cần thiết đối với ví kỹ thuật số và các giao thức phi tập trung.
Các dự án GameFi cũng phải tuân thủ các phương pháp tốt nhất khác, bao gồm quy trình thời gian hoạt động an toàn và phản hồi khẩn cấp hoàn chỉnh. Vấn đề trước đây liên quan đến việc giám sát các sự kiện bảo mật đã kích hoạt, tăng cường bảo mật môi trường và phát hành các phần mềm bảo mật.
Đồng thời, các dự án phải phát triển một quy trình phản hồi khẩn cấp hoàn chỉnh bao gồm các khía cạnh như xử lý cắt lỗ, theo dõi tấn công mạng và phân tích sự cố.
Tổng kết
Các lỗ hổng bảo mật của GameFi thực tế còn vượt xa những lỗ hổng được đề cập trong bài viết này và nhiều sự cố đã cho thấy hậu quả của việc bỏ qua hoặc đánh giá thấp rủi ro bảo mật trong các dự án. GameFi là một phần quan trọng trong tương lai của việc chơi game. Do đó, các dự án phải luôn chú ý đến các vấn đề bảo mật và đặt lợi ích của cộng đồng lên hàng đầu.
Đọc thêm:
Tuyên bố miễn trừ trách nhiệm và Cảnh báo rủi ro: Nội dung này được trình bày trên cơ sở "nguyên trạng" chỉ nhằm mục đích thông tin chung và giáo dục, không có bất kỳ hình thức đại diện hay bảo đảm nào. Tài liệu này không nên được hiểu là tư vấn tài chính, pháp lý hoặc chuyên nghiệp khác, cũng như không nhằm khuyến nghị mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Bạn nên tìm kiếm lời khuyên của riêng bạn từ các cố vấn chuyên nghiệp thích hợp. Trong trường hợp bài viết được đóng góp bởi cộng tác viên bên thứ ba, xin lưu ý rằng những quan điểm thể hiện đó thuộc về cộng tác viên bên thứ ba và không nhất thiết phản ánh quan điểm của Binance Academy. Vui lòng đọc tuyên bố miễn trừ trách nhiệm đầy đủ của chúng tôi tại đây để biết thêm chi tiết. Giá tài sản kỹ thuật số có thể biến động. Giá trị khoản đầu tư của bạn có thể tăng hoặc giảm và bạn có thể không lấy lại được số tiền đã đầu tư. Bạn hoàn toàn chịu trách nhiệm về các quyết định đầu tư của mình và Binance Academy không chịu trách nhiệm pháp lý cho bất kỳ tổn thất nào mà bạn có thể phải gánh chịu. Tài liệu này không nên được hiểu là tư vấn tài chính, pháp lý hoặc chuyên nghiệp khác. Để biết thêm thông tin, hãy xem Điều khoản sử dụng và Cảnh báo rủi ro của chúng tôi.