Apa saja masalah keamanan umum yang ada di GameFi?

GameFi项目面临的安全挑战大致可以归类为链上和链下问题。

链上安全挑战主要涉及ERC-20代币 dan NFT pengelolaan, keamanan jembatan lintas rantai, serta tata kelola (DAO) dari organisasi otonom terdesentralisasi.

Sedangkan tantangan di luar rantai biasanya terkait dengan antarmuka jaringan dan server.

Proyek GameFi harus memprioritaskan langkah-langkah perlindungan keamanan, seperti audit ketat, pemindaian kerentanan, pengujian penetrasi, serta menerapkan praktik operasional terbaik dan pengendalian bisnis.

Pengantar

GameFi menggabungkan teknologi blockchain dengan permainan, menciptakan platform terdesentralisasi yang menonjolkan aset dalam game dan mata uang digital. Biasanya menggunakan model (P2E) (Play-to-Earn), memungkinkan pemain mendapatkan hadiah cryptocurrency. GameFi juga memberi pemain kepemilikan nyata dan kendali penuh atas aset dalam game.

Meskipun GameFi semakin populer, ia menghadapi ancaman serius dan berkelanjutan dari peretas sepanjang siklus hidupnya. Beberapa proyek mungkin lebih mengutamakan kecepatan (bukan kualitas), sehingga kurang memiliki langkah pencegahan keamanan yang memadai, yang sering kali berisiko menyebabkan kerugian besar bagi komunitas dan pencipta.

Mengapa Keamanan GameFi Penting?

GameFi mengalami pertumbuhan signifikan pada tahun 2021, dengan model P2E menawarkan peluang pendapatan dalam game yang baru bagi pemain. Pada tahun 2022, model (move-to-earn) semakin menonjolkan potensi pertumbuhan GameFi. GameFi menjadi industri utama dalam mata uang kripto tahun 2022, menyumbang sekitar 9,5% dari total dana industri, dengan pertumbuhan lebih dari 118% dibanding tahun sebelumnya.

GameFi berbeda dari game tradisional karena risiko yang dihadapi pengguna lebih besar, dan setiap serangan peretasan dapat menyebabkan kerugian besar. Dalam kasus ekstrem, celah keamanan bisa menyebabkan penghentian proyek.

Contohnya, pada tahun 2022, penyerang memanfaatkan backdoor pada node (RPC) untuk mendapatkan tanda tangan proyek GameFi Axie Infinity, sehingga dapat melakukan penarikan tanpa izin dan mencuri ETH senilai hampir 6 miliar dolar. Celah keamanan apa pun dalam proyek GameFi dapat menyebabkan kerugian besar bagi investor dan pemain, menegaskan pentingnya keamanan dalam GameFi.

Tantangan Keamanan di Rantai ERC-20

Dalam proyek GameFi, token ERC-20 sering digunakan sebagai mata uang virtual dalam game, mekanisme penghargaan pemain, dan alat pertukaran.

Pembuatan dan pengelolaan token ERC-20 yang tidak tepat dapat menimbulkan risiko keamanan. Selama proses penciptaan, ada kerentanan umum yang disebut “reentrancy”. Penyerang dapat memanfaatkan celah logika dalam kontrak untuk mengulangi eksekusi fungsi tertentu, sehingga mencetak token secara tak terbatas.

Sebagai mata uang dalam game yang umum digunakan, stabilitas dan jumlah token ERC-20 menentukan daya main dan keberlanjutan game. Oleh karena itu, proyek harus memastikan logika kode dan secara ketat mengendalikan total pasokan ERC-20.

Proyek GameFi P2E DeFi Kingdoms pada tahun 2022 mengalami serangan pencetakan token ERC-20 yang berbahaya. Beberapa pemain memanfaatkan celah logika untuk mencetak token asli yang dikunci dalam game, menyebabkan harga token anjlok.

Kerentanan NFT

NFT digunakan sebagai aset virtual dalam game, termasuk perlengkapan, item, dan memorabilia. Mereka memberikan kepemilikan yang jelas kepada pemain dan dapat menjaga nilai yang stabil melalui pengendalian inflasi dan kelangkaan. Namun, penggunaan NFT yang tidak tepat dapat memperkenalkan celah keamanan.

Kelangkaan perlengkapan atau item tercermin dalam nilai NFT, dan pemain biasanya mencari NFT yang paling langka. Selama proses pencetakan NFT, informasi terkait blok seperti cap waktu dapat digunakan sebagai sumber sumber acak lemah untuk menghasilkan NFT dengan tingkat kelangkaan berbeda. Penambang dapat memanipulasi cap waktu blok untuk mencetak NFT yang lebih langka secara curang.

Bahkan sumber acak yang terpercaya seperti Chainlink VRF (Verifiable Random Function) tidak dapat menghilangkan semua risiko. Pengguna jahat dapat membatalkan operasi saat NFT dengan ID tertentu tercetak, lalu mengulangi proses tersebut sampai mendapatkan NFT langka.

Saat pemain melakukan transaksi dan transfer NFT, potensi celah kontrak pintar dapat muncul. Misalnya, fungsi safeTransform () digunakan untuk mentransfer ERC-721 NFT. Jika penerima adalah alamat kontrak, fungsi onerc721Reaceived () akan dipanggil sebagai callback. Ada risiko serangan reentrancy, di mana penyerang dapat memanipulasi logika fungsi di onerc721Reaceived ().

Risiko serupa juga ada pada ERC-1155 NFT, di mana fungsi safeTransform () memicu fungsi onerc1155Received () dan memungkinkan serangan reentrancy.

Kerentanan Jembatan Lintas Rantai

Dalam GameFi, jembatan lintas rantai digunakan untuk memungkinkan pengguna menukar aset dalam game melalui berbagai jaringan. Mereka juga penting untuk meningkatkan pengalaman dan likuiditas GameFi.

Risiko utama dari jembatan lintas rantai dalam GameFi berasal dari ketidakkonsistenan aset antar sisi. Kontrak di kedua sisi jembatan harus memastikan jumlah aset yang diterima dan dihancurkan sama. Namun, karena adanya celah dalam verifikasi dan pencocokan kontrak, penyerang dapat menyerang kontrak dan menciptakan aset dalam jumlah besar secara curang.

Celahan Tata Kelola DAO

Banyak proyek GameFi dikelola oleh DAO, dan jika mayoritas token tata kelola dimiliki oleh beberapa peserta besar, ini dapat menimbulkan risiko sentralisasi. Kontrak pintar yang mendefinisikan aturan tata kelola DAO juga membuka celah risiko lain, karena penyerang dapat menemukan cara mengakses dana DAO.

Tantangan Keamanan di Luar Rantai

Sebagian besar backend, antarmuka jaringan, atau aplikasi seluler dari proyek GameFi masih bergantung pada server terpusat di luar rantai. Server ini menyimpan informasi penting, termasuk data game dan akun pemilik, dan rentan terhadap serangan peretasan, malware, dan serangan berbahaya lainnya.

Metadata NFT berisi informasi deskriptif penting dan disimpan di luar rantai sebagai file JSON. Namun, banyak proyek GameFi menyimpan metadata NFT mereka di server terpusat sendiri, bukan menggunakan infrastruktur desentralisasi seperti IPFS. Hal ini meningkatkan kemungkinan pihak terkait atau penyerang mengubah metadata, yang dapat melanggar hak pemain.

Dalam penggunaan jembatan lintas rantai, penyerang dapat melakukan infiltrasi atau serangan phishing untuk mendapatkan tanda tangan atau kunci pribadi validator. Mereka dapat merusak infrastruktur dan memanfaatkan celah untuk mengendalikan aset dalam game.

Selama proses transmisi data, penyerang dapat menyadap paket data jaringan dan menyuntikkan kode berbahaya. Dengan memodifikasi paket data, penyerang dapat melakukan pengisian palsu dan mengubah jumlah pembelian unit untuk mendapatkan lebih banyak item dalam game.

Antarmuka frontend juga menyediakan jalur lain bagi penyerang untuk melakukan infiltrasi berbahaya. Jika ada kebocoran informasi di papan peringkat game tertentu, penyerang dapat mengirimkan informasi alamat yang bocor ke server untuk mendapatkan data sensitif terkait.

Bagaimana Meningkatkan Keamanan

Untuk melindungi proyek GameFi, harus berhati-hati di setiap tahap. Memastikan kode kontrak pintar yang sempurna adalah fondasi keberhasilan proyek GameFi—ini melibatkan penulisan kode berkualitas tinggi, melakukan audit rutin, dan menggunakan verifikasi kontrak pintar formal.

Menjaga keamanan server dan komponen infrastruktur lainnya juga sangat penting; harus dilakukan pengujian penetrasi dan deteksi kerentanan secara tepat waktu. Saat melakukan pengujian penetrasi pada DApp dan sistem berbasis blockchain, dapat memanfaatkan fitur Web3. Oleh karena itu, langkah pencegahan khusus harus diambil terhadap dompet digital dan protokol terdesentralisasi.

Proyek GameFi juga harus mengikuti praktik terbaik lainnya, termasuk proses runtime yang aman dan rencana tanggap darurat lengkap. Yang pertama meliputi pemantauan kejadian keamanan yang dipicu, penguatan keamanan lingkungan, dan peluncuran program bounty kerentanan.

Selain itu, proyek harus menyusun prosedur tanggap darurat lengkap, termasuk langkah-langkah pembatasan kerugian, pelacakan serangan, dan analisis masalah.

Penutup

Celah keamanan dalam GameFi sebenarnya tidak terbatas pada celah yang disebutkan di atas, banyak kejadian menunjukkan bahwa banyak proyek mengabaikan atau meremehkan risiko keamanan. GameFi adalah bagian penting dari masa depan industri game. Oleh karena itu, setiap proyek harus selalu memperhatikan masalah keamanan dan mengutamakan kepentingan komunitas. **$GAS **$GAME2