Artikel ini merupakan kontribusi komunitas. Penulisnya adalah Zhangchi Qin, auditor kontrak pintar di Salus Security, sebuah perusahaan keamanan blockchain holistik.
Pandangan yang diungkapkan dalam artikel ini adalah milik kontributor/penulis dan tidak mencerminkan pandangan Binance Academy.
Ringkasan:
Tantangan keamanan yang dihadapi oleh proyek GameFi secara kasar dapat diklasifikasikan menjadi masalah on-chain dan off-chain.
Tantangan keamanan on-chain terutama melibatkan pengelolaan token dan NFT ERC-20, keamanan jembatan lintas rantai, dan tata kelola organisasi otonom terdesentralisasi (DAO).
Tantangan off-chain biasanya terkait dengan antarmuka jaringan dan server.
Proyek GameFi harus memprioritaskan langkah-langkah perlindungan keamanan, seperti audit ketat, pemindaian kerentanan, dan pengujian penetrasi, serta menerapkan praktik operasional terbaik dan kontrol bisnis.
Perkenalan
GameFi menggabungkan teknologi blockchain dengan game untuk menciptakan platform terdesentralisasi yang menampilkan aset dalam game dan mata uang digital. Biasanya mengadopsi model play-to-earn (P2E), yang memungkinkan pemain mendapatkan hadiah mata uang kripto. GameFi juga memberi gamer kepemilikan sesungguhnya dan kendali penuh atas aset dalam game.
Meskipun popularitas GameFi semakin meningkat, GameFi menghadapi ancaman terus-menerus dan serius dari peretas sepanjang siklus hidupnya. Beberapa proyek mungkin lebih mengutamakan kecepatan (dibandingkan kualitas) dan oleh karena itu tidak memiliki tindakan pencegahan keamanan yang kuat, sehingga sering kali menempatkan komunitas dan pencipta dalam risiko kerugian yang signifikan.
Mengapa keamanan GameFi penting?
GameFi telah mengalami pertumbuhan pesat pada tahun 2021, dengan model P2E-nya yang memberikan peluang pendapatan baru dalam game kepada para pemain. Pada tahun 2022, move-to-earn akan semakin menyoroti potensi pertumbuhan GameFi. GameFi adalah industri mata uang kripto terkemuka pada tahun 2022, menyumbang sekitar 9,5% dari total dana industri, dengan pertumbuhan tahun-ke-tahun lebih dari 118%.
GameFi berbeda dengan permainan tradisional karena pengguna menghadapi risiko yang lebih besar dan serangan peretas apa pun dapat menyebabkan kerugian yang signifikan. Dalam kasus ekstrim, pelanggaran keamanan dapat mengakibatkan penghentian suatu proyek.
Misalnya, pada tahun 2022, penyerang mengeksploitasi pintu belakang di node panggilan prosedur jarak jauh (RPC) untuk mendapatkan tanda tangan proyek GameFi Axie Infinity, memungkinkan mereka melakukan penarikan tidak sah dan mencuri total hampir $600 juta dalam ETH. Celah apa pun dalam proyek GameFi dapat menyebabkan kerugian besar bagi investor dan pemain, yang menyoroti pentingnya keamanan GameFi.
Tantangan keamanan on-chain
Kerentanan Token ERC-20
Dalam proyek GameFi, token ERC-20 sering digunakan sebagai mata uang virtual untuk pembelian dalam game, mekanisme penghargaan pemain, dan alat pertukaran.
Pembuatan dan pengelolaan token ERC-20 yang tidak tepat dapat menimbulkan risiko keamanan. Kerentanan umum yang disebut "reentrancy" dapat terjadi selama proses casting. Penyerang dapat mengeksploitasi kerentanan logis dalam kontrak untuk berulang kali menjalankan fungsi tertentu, sehingga mencetak token tanpa batas waktu.
Sebagai mata uang universal dalam game, stabilitas dan kuantitas token ERC-20 menentukan kemampuan bermain dan keberlanjutan game. Oleh karena itu, proyek harus memastikan logika kode dan secara ketat mengontrol total pasokan token ERC-20.
Proyek P2E GameFi DeFi Kingdoms diserang oleh pencetakan ERC-20 yang berbahaya pada tahun 2022. Beberapa pemain memanfaatkan kelemahan logika untuk mencetak token asli game yang terkunci, sehingga menyebabkan harga token anjlok.
Kerentanan NFT
NFT terutama digunakan sebagai aset virtual dalam game dalam proyek GameFi, termasuk perlengkapan, properti, dan suvenir. Mereka memberi pemain kepemilikan yang jelas dan dapat mempertahankan nilai stabil dengan mengendalikan inflasi dan kelangkaan. Namun, penggunaan NFT yang tidak tepat dapat menimbulkan kerentanan keamanan.
Kelangkaan peralatan atau properti akan tercermin dalam nilai NFT, dan pemain akan sering mencari NFT yang paling langka. Selama proses pembuatan NFT, informasi terkait blok seperti stempel waktu dapat digunakan sebagai sumber keacakan yang lemah untuk menghasilkan NFT dengan tingkat kelangkaan berbeda. Penambang dapat memanipulasi stempel waktu blok sampai batas tertentu untuk mencetak NFT langka yang berbahaya.
Bahkan sumber keacakan yang dapat diandalkan, seperti Chainlink VRF (Fungsi Acak yang Dapat Diverifikasi), tidak dapat menghilangkan semua risiko. Pengguna jahat dapat membatalkan tindakan ketika ID token NFT yang tidak diinginkan dibuat, dan terus mengulangi prosesnya hingga NFT langka dibuat.
Potensi kerentanan kontrak pintar dapat muncul ketika pemain memperdagangkan dan mentransfer NFT. Misalnya, fungsi safeTransfrom() digunakan untuk mentransfer ERC-721 NFT. Ketika penerima adalah alamat kontrak, fungsi onerc721Reaceived () akan dipicu untuk panggilan balik. Ada juga potensi risiko serangan reentrancy, di mana penyerang dapat menentukan logika fungsi di erc721Reaceived().
Risiko ini juga terdapat pada NFT ERC-1155, di mana fungsi safeTransform() memicu fungsi onerc1155Received() dan memungkinkan penyerang melakukan serangan masuk kembali.
Kerentanan jembatan lintas rantai
GameFi akan menggunakan jembatan lintas rantai untuk memungkinkan pengguna bertukar aset dalam game melalui jaringan berbeda. Mereka juga penting untuk meningkatkan pengalaman dan likuiditas GameFi.
Risiko utama jembatan lintas rantai di GameFi berasal dari inkonsistensi antar aset dalam game. Kontrak di kedua sisi jembatan lintas rantai harus memastikan bahwa jumlah aset yang diterima dan dimusnahkan adalah sama. Namun, karena kerentanan dalam verifikasi dan pemeriksaan kontrak, penyerang dapat menyerang kontrak dan membuat aset dalam jumlah besar secara tiba-tiba.
Kerentanan tata kelola DAO
Banyak proyek GameFi diatur oleh DAO, yang dapat menimbulkan risiko sentralisasi jika sebagian besar token tata kelola dimiliki oleh beberapa pemain besar. Kontrak pintar yang menentukan aturan tata kelola DAO membuka peluang lain terhadap potensi risiko, karena penyerang dapat menemukan cara untuk mengakses perpustakaan DAO.
Tantangan keamanan off-chain
Sebagian besar proyek GameFi masih mengandalkan server terpusat off-chain untuk operasi back-end, antarmuka jaringan, atau aplikasi seluler. Server-server ini menyimpan informasi penting, termasuk data game dan akun pemilik, dan rentan terhadap serangan jahat seperti penetrasi dan malware Trojan.
Metadata NFT berisi informasi deskriptif penting dan disimpan secara off-chain sebagai file JSON. Namun, banyak proyek GameFi menyimpan metadata NFT mereka di server terpusat mereka sendiri daripada menggunakan infrastruktur terdesentralisasi seperti IPFS. Hal ini meningkatkan kemungkinan gangguan metadata oleh pihak berkepentingan atau penyerang, yang berpotensi melanggar hak pemain.
Dalam kasus menggunakan jembatan lintas rantai, penyerang dapat memperoleh tanda tangan validator atau kunci pribadi melalui serangan penetrasi atau phishing. Mereka dapat mengkompromikan infrastruktur dan mengeksploitasi kerentanan untuk mengambil kendali aset dalam game.
Selama transmisi data, penyerang mungkin membajak paket jaringan dan menyuntikkan kode berbahaya. Dengan memodifikasi paket data, penyerang dapat melakukan pengisian ulang palsu dan merusak jumlah pembelian unit untuk mendapatkan lebih banyak properti game.
Antarmuka front-end juga menyediakan cara lain bagi penyerang untuk menembus sistem secara jahat. Jika informasi bocor di peringkat game tertentu, penyerang dapat mengirimkan informasi terkait alamat yang bocor ke server untuk mendapatkan informasi sensitif terkait.
Bagaimana meningkatkan keamanan
Untuk melindungi proyek GameFi, pastikan untuk berhati-hati di setiap tahap. Memastikan kode kontrak pintar yang sempurna merupakan hal mendasar bagi keberhasilan proyek GameFi - hal ini melibatkan penulisan kode berkualitas tinggi, melakukan audit rutin, dan menggunakan verifikasi kontrak pintar formal.
Menjaga keamanan server dan komponen infrastruktur lainnya juga penting; pengujian penetrasi harus dilakukan untuk mendeteksi kemungkinan kerentanan dengan segera. Kemampuan Web3 dapat dimanfaatkan ketika melakukan pengujian penetrasi menggunakan DApps dan sistem berbasis blockchain. Oleh karena itu, tindakan pencegahan khusus harus diambil dengan dompet digital dan protokol terdesentralisasi.
Proyek GameFi juga harus mengikuti praktik terbaik lainnya, termasuk proses runtime yang aman dan respons darurat yang lengkap. Yang pertama melibatkan pemantauan peristiwa keamanan yang dipicu, memperkuat keamanan lingkungan, dan meluncurkan program bug bounty.
Pada saat yang sama, proyek harus mengembangkan proses tanggap darurat yang lengkap, termasuk penanganan stop-loss, pelacakan serangan, dan analisis masalah.
Kesimpulan
Kerentanan keamanan GameFi tidak terbatas pada kerentanan yang disebutkan dalam artikel ini. Banyak insiden yang menunjukkan bahwa banyak proyek mengabaikan atau meremehkan risiko keamanan. GameFi adalah bagian penting dari industri game masa depan. Oleh karena itu, proyek harus selalu fokus pada masalah keselamatan dan mengutamakan kepentingan masyarakat.
Bacaan lebih lanjut
Konsep GameFi dan cara kerjanya
Pengenalan konsep game NFT dan prinsip pengoperasiannya
Apa itu audit keamanan kontrak pintar?
Penafian dan Peringatan Risiko: Isi artikel ini disediakan "sebagaimana adanya" hanya untuk informasi umum dan tujuan pendidikan dan bukan merupakan representasi atau jaminan apa pun. Artikel ini tidak boleh ditafsirkan sebagai nasihat keuangan, hukum, atau nasihat profesional lainnya, dan bukan merupakan rekomendasi agar Anda membeli produk atau layanan tertentu. Jika Anda memerlukan nasihat investasi, silakan mencari nasihat profesional. Jika artikel disediakan oleh kontributor pihak ketiga, harap diperhatikan: opini tersebut merupakan pendapat kontributor pihak ketiga dan tidak mencerminkan pandangan Binance Academy. Untuk informasi lebih lanjut, silakan klik di sini untuk membaca Penafian lengkap kami. Harga aset digital mungkin berfluktuasi. Nilai investasi Anda mungkin turun atau naik dan Anda mungkin tidak mendapatkan kembali pokok investasi Anda. Anda sepenuhnya bertanggung jawab atas keputusan investasi Anda sendiri dan Binance tidak bertanggung jawab atas kerugian apa pun yang mungkin Anda derita. Tidak ada satu pun isi di sini yang merupakan nasihat keuangan, hukum, atau nasihat profesional lainnya. Untuk informasi tambahan, silakan lihat Ketentuan Penggunaan dan Peringatan Risiko kami.