Bài viết này là sự đóng góp của cộng đồng. Tác giả là Zhangchi Qin, kiểm toán viên hợp đồng thông minh tại Salus Security, một công ty bảo mật blockchain toàn diện.

Các quan điểm thể hiện trong bài viết này là của quan điểm của người đóng góp/tác giả và không nhất thiết phản ánh quan điểm quan điểm của Học viện Binance.

Tóm tắt:

• Những thách thức bảo mật mà dự án GameFi gặp phải có thể được phân loại đại khái thành các vấn đề trên chuỗi và ngoài chuỗi.

• Các thách thức bảo mật trên chuỗi chủ yếu liên quan đến việc quản lý mã thông báo ERC-20 và NFT, bảo mật của các cầu nối chuỗi chéo và quản trị các tổ chức tự trị phi tập trung (DAO).

• Những thách thức ngoài chuỗi thường liên quan đến giao diện mạng và máy chủ.

• Các dự án GameFi nên ưu tiên các biện pháp bảo vệ an ninh, chẳng hạn như kiểm tra nghiêm ngặt, quét lỗ hổng và kiểm tra thâm nhập, đồng thời triển khai các phương pháp vận hành và kiểm soát kinh doanh tốt nhất.

Giới thiệu

GameFi sẽ Công nghệ chuỗi khối được kết hợp với các trò chơi để tạo ra một nền tảng phi tập trung bao gồm tài sản trong trò chơi và tiền tệ kỹ thuật số. Nó thường áp dụng mô hình chơi để kiếm tiền (P2E), cho phép người chơi kiếm phần thưởng bằng tiền điện tử. GameFi cũng mang đến cho game thủ quyền sở hữu thực sự và toàn quyền kiểm soát tài sản trong trò chơi.

Mặc dù GameFi ngày càng phổ biến nhưng nó sẽ phải đối mặt với các mối đe dọa liên tục và nghiêm trọng từ tin tặc trong suốt vòng đời của nó. Một số dự án có thể coi trọng tốc độ (hơn chất lượng) và do đó thiếu các biện pháp phòng ngừa bảo mật mạnh mẽ, điều này thường khiến cả cộng đồng và người sáng tạo có nguy cơ bị tổn thất đáng kể.

Tại sao bảo mật GameFi lại quan trọng?

GameFi đã có mức tăng trưởng đáng kể vào năm 2021 và mô hình P2E của nó mang đến cho người chơi những cơ hội doanh thu mới trong trò chơi. Vào năm 2022, hoạt động di chuyển để kiếm tiền sẽ làm nổi bật hơn nữa tiềm năng phát triển của GameFi. GameFi là ngành tiền điện tử hàng đầu vào năm 2022, chiếm khoảng 9,5% tổng số vốn của ngành, với mức tăng trưởng hơn 118% so với cùng kỳ năm trước.

GameFi khác với các trò chơi truyền thống vì người dùng phải đối mặt với rủi ro lớn hơn và bất kỳ cuộc tấn công nào của hacker cũng có thể gây ra tổn thất đáng kể. Trong trường hợp cực đoan, vi phạm an ninh có thể dẫn đến việc chấm dứt dự án.

Ví dụ: vào năm 2022, những kẻ tấn công đã sử dụng cửa hậu trong nút gọi thủ tục từ xa (RPC) để lấy chữ ký của GameFi dự án Axie Infinity, cho phép thực hiện rút tiền trái phép, đánh cắp tổng cộng gần 600 triệu đô la ETH. Bất kỳ sơ hở nào trong dự án GameFi đều có thể gây ra tổn thất lớn cho các nhà đầu tư và người chơi, điều này nhấn mạnh tầm quan trọng đặc biệt của bảo mật GameFi.

Thách thức bảo mật trên chuỗi

Lỗ hổng mã thông báo ERC-20 h3>

Trong dự án GameFi, token ERC-20 thường được sử dụng làm tiền ảo để mua hàng trong trò chơi, cơ chế thưởng cho người chơi và phương tiện trao đổi.

Việc đúc và quản lý mã thông báo ERC-20 không đúng cách có thể gây ra rủi ro bảo mật. Một lỗ hổng phổ biến được gọi là "reentrancy" có thể xảy ra trong quá trình truyền. Kẻ tấn công có thể khai thác các lỗ hổng logic trong hợp đồng để liên tục thực hiện các chức năng cụ thể, từ đó tạo ra các token vô thời hạn.

Là loại tiền tệ phổ biến trong trò chơi, tính ổn định và số lượng của mã thông báo ERC-20 quyết định khả năng chơi và khả năng sử dụng của trò chơi. Kiên trì. Do đó, các dự án cần đảm bảo tính logic của mã và kiểm soát chặt chẽ tổng nguồn cung cấp token ERC-20.

Dự án P2E GameFi DeFi Kingdoms đã bị tấn công bởi hoạt động đúc ERC-20 độc hại vào năm 2022. Một số người chơi đã lợi dụng lỗ hổng logic để đúc mã thông báo gốc bị khóa của trò chơi, khiến giá mã thông báo sau đó giảm mạnh.

Lỗ hổng NFT

NFT chủ yếu được sử dụng làm tài sản ảo trong trò chơi trong các dự án GameFi, bao gồm thiết bị, đạo cụ và quà lưu niệm. Chúng cung cấp cho người chơi quyền sở hữu rõ ràng và có thể duy trì giá trị ổn định bằng cách kiểm soát lạm phát và sự khan hiếm. Tuy nhiên, việc sử dụng NFT không đúng cách có thể gây ra các lỗ hổng bảo mật.

Độ hiếm của thiết bị hoặc đạo cụ sẽ được phản ánh qua giá trị của NFT và người chơi thường sẽ tìm kiếm NFT hiếm nhất. Trong quá trình đúc NFT, thông tin liên quan đến khối như dấu thời gian có thể được sử dụng làm nguồn ngẫu nhiên yếu để tạo ra NFT ở các mức độ hiếm khác nhau. Những người khai thác có thể thao túng dấu thời gian của khối ở một mức độ nào đó để tạo ra các NFT hiếm hơn một cách độc hại.

Ngay cả những nguồn ngẫu nhiên đáng tin cậy, chẳng hạn như Chainlink VRF (Hàm ngẫu nhiên có thể xác minh), cũng không thể loại bỏ mọi rủi ro. Người dùng độc hại có thể hoàn tác hành động khi tạo ra ID mã thông báo NFT không mong muốn và tiếp tục lặp lại quy trình cho đến khi tạo ra một NFT hiếm.

Các lỗ hổng tiềm ẩn trong hợp đồng thông minh có thể phát sinh khi người chơi giao dịch và chuyển giao NFT. Ví dụ: hàm safeTransfrom() được sử dụng để truyền ERC-721 NFT. Khi người nhận là địa chỉ hợp đồng, hàm onerc721Reaceived() sẽ được kích hoạt để gọi lại. Ngoài ra còn có nguy cơ tiềm ẩn về các cuộc tấn công vào lại, trong đó kẻ tấn công có thể xác định logic trong hàm trên erc721Reaceived().

ERC-1155 NFT cũng có nguy cơ này, đó là hàm safeTransform () kích hoạt hàm onerc1155Received () và cho phép kẻ tấn công quay lại tấn công.

Lỗ hổng cầu chuỗi chéo

GameFi Cầu nối chuỗi chéo sẽ được sử dụng để cho phép người dùng trao đổi tài sản trong trò chơi trên các mạng khác nhau. Chúng cũng rất quan trọng để nâng cao trải nghiệm và tính thanh khoản của GameFi.

Một trong những rủi ro chính của cầu nối chuỗi chéo trong GameFi đến từ sự không nhất quán giữa các nội dung trong trò chơi. Các hợp đồng ở cả hai bên của cầu nối chuỗi phải đảm bảo rằng số lượng tài sản được chấp nhận và tiêu hủy là như nhau. Tuy nhiên, do lỗ hổng trong quá trình xác minh và kiểm tra hợp đồng, kẻ tấn công có thể xâm nhập hợp đồng và tạo ra một lượng lớn tài sản một cách bất ngờ.

Lỗ hổng quản trị DAO

Nhiều dự án GameFi được quản lý bởi DAO, điều này có thể gây ra rủi ro tập trung nếu hầu hết các token quản trị thuộc sở hữu của một số ít người chơi lớn. Hợp đồng thông minh xác định các quy tắc quản trị của DAO mở ra một cơ hội khác cho những rủi ro tiềm ẩn, vì kẻ tấn công có thể tìm cách truy cập vào thư viện DAO.

Thách thức bảo mật ngoài chuỗi

Phần phụ trợ của hầu hết các dự án GameFi Hoạt động và bảo trì, giao diện mạng hoặc ứng dụng di động vẫn dựa vào các máy chủ tập trung ngoài chuỗi. Các máy chủ này lưu trữ thông tin quan trọng, bao gồm dữ liệu trò chơi và tài khoản chủ sở hữu, đồng thời dễ bị tấn công độc hại như xâm nhập và phần mềm độc hại Trojan.

Siêu dữ liệu của NFT chứa thông tin mô tả quan trọng và được lưu trữ ngoài chuỗi dưới dạng tệp JSON. Tuy nhiên, nhiều dự án GameFi lưu trữ siêu dữ liệu NFT trên các máy chủ tập trung của riêng họ thay vì sử dụng cơ sở hạ tầng phi tập trung như IPFS. Điều này làm tăng khả năng các bên quan tâm hoặc kẻ tấn công giả mạo siêu dữ liệu, có khả năng vi phạm quyền của người chơi.

Trong trường hợp sử dụng cầu nối chuỗi chéo, kẻ tấn công có thể lấy được chữ ký hoặc khóa riêng của người xác thực thông qua các cuộc tấn công thâm nhập hoặc lừa đảo . Họ có thể xâm phạm cơ sở hạ tầng và khai thác các lỗ hổng để giành quyền kiểm soát tài sản trong trò chơi.

Trong quá trình truyền dữ liệu, kẻ tấn công có thể chiếm quyền điều khiển các gói mạng và tiêm mã độc. Bằng cách sửa đổi gói dữ liệu, kẻ tấn công có thể nạp tiền sai và giả mạo số tiền mua đơn vị để có thêm đạo cụ trò chơi.

Giao diện ngoại vi cũng cung cấp một cách khác để kẻ tấn công xâm nhập hệ thống một cách ác ý. Nếu thông tin bị rò rỉ trong bảng xếp hạng của một trò chơi nào đó, kẻ tấn công có thể gửi thông tin liên quan đến địa chỉ bị rò rỉ đến máy chủ để lấy thông tin nhạy cảm tương ứng.

Cách cải thiện bảo mật

Để bảo vệ dự án GameFi, bạn phải Tiến hành thận trọng ở mọi giai đoạn. Đảm bảo mã hợp đồng thông minh hoàn hảo là nền tảng cho sự thành công của dự án GameFi - điều này bao gồm việc viết mã chất lượng cao, tiến hành kiểm tra thường xuyên và sử dụng xác minh hợp đồng thông minh chính thức.

Việc duy trì tính bảo mật của máy chủ và các thành phần cơ sở hạ tầng khác cũng rất quan trọng; cần thực hiện kiểm tra thâm nhập để phát hiện kịp thời các lỗ hổng có thể xảy ra . Khả năng của Web3 có thể được tận dụng khi tiến hành thử nghiệm thâm nhập bằng DApps và các hệ thống dựa trên blockchain. Do đó, các biện pháp phòng ngừa cụ thể phải được thực hiện với ví kỹ thuật số và các giao thức phi tập trung.

Các dự án GameFi cũng phải tuân theo các phương pháp hay nhất khác, bao gồm quy trình thời gian chạy an toàn và ứng phó khẩn cấp hoàn chỉnh. Việc đầu tiên liên quan đến việc giám sát các sự kiện bảo mật được kích hoạt, tăng cường bảo mật của môi trường và khởi chạy các chương trình thưởng lỗi.

Đồng thời, dự án phải phát triển một quy trình ứng phó khẩn cấp hoàn chỉnh, bao gồm xử lý dừng lỗ, theo dõi tấn công và phân tích vấn đề .

Kết luận

Lỗ hổng bảo mật của GameFi không chỉ giới hạn ở các lỗ hổng được đề cập trong bài viết này. Nhiều sự cố cho thấy nhiều dự án bỏ qua hoặc xem nhẹ các rủi ro bảo mật. GameFi là một phần quan trọng của ngành công nghiệp game trong tương lai. Vì vậy, các dự án cần luôn chú trọng đến vấn đề an toàn và đặt lợi ích của cộng đồng lên hàng đầu.

Đọc mở rộng

• Khái niệm về GameFi và nguyên tắc hoạt động của nó

• Giới thiệu khái niệm trò chơi NFT và nguyên tắc hoạt động của chúng

• Kiểm tra bảo mật hợp đồng thông minh là gì?

Tuyên bố từ chối trách nhiệm và cảnh báo rủi ro: Nội dung của bài viết này được cung cấp "nguyên trạng" chỉ nhằm mục đích cung cấp thông tin và giáo dục chung và không cấu thành bất kỳ sự đại diện hay bảo đảm nào. Bài viết này không được hiểu là lời khuyên về tài chính, pháp lý hoặc chuyên môn khác và không khuyến nghị bạn mua bất kỳ sản phẩm hoặc dịch vụ cụ thể nào. Nếu bạn cần lời khuyên đầu tư, xin vui lòng tìm kiếm lời khuyên chuyên nghiệp. Nếu bài viết được cung cấp bởi cộng tác viên bên thứ ba, xin lưu ý: ý kiến là của cộng tác viên bên thứ ba và không nhất thiết phản ánh quan điểm của Binance Academy. Để biết thêm thông tin, vui lòngbấm vào đâyđể đọc Tuyên bố miễn trừ trách nhiệm đầy đủ của chúng tôi. Giá tài sản kỹ thuật số có thể dao động. Giá trị khoản đầu tư của bạn có thể giảm cũng như tăng và bạn có thể không lấy lại được số tiền gốc đã đầu tư. Bạn hoàn toàn chịu trách nhiệm về các quyết định đầu tư của mình và Binance không chịu trách nhiệm về bất kỳ tổn thất nào bạn có thể phải gánh chịu. Không có nội dung nào trong tài liệu này cấu thành tư vấn tài chính, pháp lý hoặc chuyên môn khác. Để biết thêm thông tin, vui lòng xemĐiều khoản sử dụngvàCảnh báo rủi ro của chúng tôi.