Nghiên cứu an ninh mạng chỉ ra vấn đề thời gian trước khi các dự án P2E bị tấn công

Tác giả: Hacken

Nguồn: Hacken

Thị trường "kiếm tiền khi chơi" (P2E) đã trở thành một trong những thị trường ngách lớn nhất của Web 3.0. Tính đến đầu tháng 7 năm 2022, giá trị thị trường của các dự án P2E là 6,5 tỷ đô la Mỹ và khối lượng giao dịch hàng ngày vượt quá 850 triệu đô la Mỹ. Với hơn 3 tỷ người chơi trò chơi điện tử trên toàn thế giới, ngành công nghiệp trò chơi điện tử có thể sẽ là một đường dẫn chính cho sự phát triển hơn nữa của tiền điện tử.

P2E có mối liên hệ chặt chẽ với các tài sản ảo, do đó, nó chia sẻ nhiều rủi ro do tiền điện tử gây ra, bao gồm cả các mối đe dọa an ninh mạng. Ngành càng thu hút nhiều tiền thì càng dễ trở thành mục tiêu của bọn tội phạm.

Trong môi trường này, bảo mật trở thành một trong những mối quan tâm cấp bách nhất trong thị trường ngách này. Vậy các xu hướng hiện tại trong bảo mật P2E là gì? Chúng ta có thể hy vọng giảm số vụ hack hoặc tạo ra các tiêu chuẩn bảo mật chung cho ngành không?

Các cuộc tấn công hack P2E nổi tiếng

Vào tháng 3 năm 2022, một trong những dự án P2E nổi tiếng nhất, Axie Infinity, đã bị hack và mất 625 triệu USD, đây là vụ hack lớn nhất trong lĩnh vực P2E cho đến nay. Trước cuộc tấn công, nền tảng này đã thu hút hơn 2 triệu người dùng mỗi ngày.

Axie Infinity được xây dựng dựa trên chuỗi khối gốc của nó, Ronin. Tấn công Ronin, các tin tặc đã đột nhập được vào hệ thống của Axie Infinity, sử dụng các khóa để xác minh các giao dịch trên mạng. Bằng cách truy cập vào 5 nút của trình xác thực (4 trong số đó trực tiếp thuộc về Axie Infinity và 1 là nút của bên thứ ba do Axie DAO điều hành), họ đã giả mạo được một giao dịch rút tiền giả. Nhóm Sky Mavis tin rằng vụ hack có liên quan đến các lỗ hổng kỹ thuật và kỹ thuật xã hội.

Bảo mật của P2E

Hãy cùng đánh giá tình trạng an ninh mạng P2E bằng cách sử dụng dữ liệu từ công cụ tổng hợp dữ liệu an ninh mạng được mã hóa CER.live. CER.live phân tích hàng trăm chỉ số từ các dự án P2E và GameFi để tạo xếp hạng bảo mật toàn diện nhất.

Hiện tại, ngành công nghiệp trò chơi tiền điện tử P2E bao gồm hơn 170 dự án và 44 quỹ đầu tư mạo hiểm với vốn hóa thị trường hơn 5 triệu USD. Top 5 là The Sandbox, Decentraland, Axie Infinity, Stepn và Gala.

Phân tích an ninh mạng hiện tại bao gồm 31 dự án và kết quả không khả quan. Mặc dù chỉ có Axie Infinity gặp sự cố về an toàn, nhưng không có dự án nào trong số đó nhận được xếp hạng an toàn AAA, AA hoặc thậm chí là A. (CER.live sử dụng phương pháp xếp hạng cổ điển, với AAA là xếp hạng cao nhất và D là thấp nhất. Xếp hạng dưới DDD có nghĩa là tăng nguy cơ bị hack trong tương lai hoặc các sự cố bảo mật khác.)

phát hiện chính

• Các vụ hack nổi tiếng gần đây đã chỉ ra rằng các lỗ hổng mã và người dùng từ bỏ lời khuyên bảo mật cơ bản là những lý do phổ biến nhất dẫn đến các cuộc tấn công mạng;
• Không có dự án P2E nào trong số này được bảo hiểm, nghĩa là nếu xảy ra hack, người dùng không thể lấy lại tiền trừ khi dự án tìm được nguồn tài trợ thay thế;
• Chỉ có 2 dự án có chương trình tiền thưởng lỗi: 29 trò chơi P2E còn lại chỉ dựa vào tài nguyên của chính họ về bảo mật vĩnh viễn;
• Trong khi 14 dự án đã kiểm tra mã thông báo, chỉ có 5 dự án đã kiểm tra nền tảng.

Theo dữ liệu do CER.live cung cấp, chúng ta có thể thấy rằng dự án GameFi đặt lợi nhuận lên trên sự an toàn và thậm chí không tuân theo các khuyến nghị bảo mật mạng cơ bản nhất, để lại một số lượng lớn các lối vào tấn công cho bọn tội phạm.

Các lỗi bảo mật khác: Bridges, Insiders và Thiếu kiểm toán

Nhà công nghệ và Giám đốc điều hành Farcana Ilman Shazhaev cho biết câu hỏi lớn tiếp theo là mức độ phổ biến của các cầu chuỗi khối trong Play-to-Earn và các lỗ hổng của chúng. Tuy nhiên, trong trường hợp của Axie, tin tặc không chỉ muốn kiếm tiền: Bằng cách làm gián đoạn các trò chơi được hàng triệu người chơi, biệt danh của tin tặc hoặc tổ chức nhanh chóng lan rộng khi họ đạt được một số danh tiếng.

Ilman nói thêm: "Một vụ vi phạm khác liên quan đến người trong cuộc, trong đó tin tặc mua chuộc một thành viên trong nhóm, người đã tiết lộ thông tin họ cần, do đó đánh cắp tiền của người dùng. Quá trình này không phải lúc nào cũng là về chia sẻ thông tin đăng nhập: đôi khi nó lén lút nói cho tin tặc biết các lỗ hổng, ngay cả trong trường hợp của các chính sách an ninh mạng tiên tiến.

Tất nhiên, chúng ta cũng không thể quên tính chất thô sơ của nhiều dự án. Nhiều nhà phát triển trò chơi P2E muốn đưa trò chơi của họ ra thị trường càng nhanh càng tốt: Đồng thời, một số nhà phát triển bỏ qua đánh giá mã chất lượng cao để tiết kiệm tiền và thời gian. "

Một dịch vụ bảo mật mạng thiết yếu cho các dự án GameFi

Vì vậy, các cân nhắc bảo mật cần thiết cho các dự án GameFi là gì?

1. Tiến hành kiểm toán hợp đồng thông minh

Phân tích mã tự động và thủ công cho phép phát hiện các lỗ hổng ở các mức độ nghiêm trọng khác nhau và giải quyết các vấn đề bảo mật cũng như lỗi logic nghiệp vụ. Trong số các dự án được kiểm toán, các nhà cung cấp dịch vụ kiểm toán hợp đồng thông minh có tỷ lệ sự cố thấp nhất bao gồm OpenZeppelin, ConsenSys và Hacken.

1. Ra mắt chương trình phần thưởng bug bounty

Với chương trình tiền thưởng, hàng chục hoặc thậm chí hàng trăm tin tặc có đạo đức đồng thời tiến hành các phân tích độc lập về bảo mật của dự án và được thưởng bằng tiền cho các lỗ hổng mà họ tìm thấy. Các nền tảng tiền thưởng lỗi chính bao gồm BugCrowd, HackerOne, HackenProof, ImmuneFi, Synack và YesWeHack.

1. mua bảo hiểm

Với bảo hiểm tại chỗ, các dự án và người dùng của họ có thể được hoàn lại toàn bộ hoặc một phần số tiền mà họ đã mất trong vụ hack. Các nhà cung cấp bảo hiểm chính là Nexus Mutual và InsurAce.io và inSure, v.v.

Bảo vệ tài sản P2E

Sau khi Axie Infinity bị tấn công, nhiều tội phạm nhận ra rằng các trò chơi được mã hóa P2E đã tích lũy tài sản khổng lồ mà chúng có thể dễ dàng đánh cắp thông qua các cuộc tấn công được lên kế hoạch tốt. Các chuyên gia bảo mật thừa nhận rằng việc hack quy mô lớn các trò chơi P2E gần như không thể tránh khỏi trong tương lai. Sự phổ biến hơn nữa của các dự án mã hóa P2E và GameFi sẽ đi kèm với sự gia tăng tội phạm mạng chống lại những người chơi này.

Trong những tình huống như vậy, người chơi nên biết rằng họ phải quan tâm đến sự an toàn của chính họ. Trước khi cam kết một khoản tiền lớn cho trò chơi P2E, ít nhất người dùng nên tiến hành đánh giá bảo mật cơ bản của dự án bằng cách sử dụng dữ liệu được cung cấp bởi các nền tảng độc lập như CER.live và CoinGecko. Tất nhiên, đầu tư vào P2E, mặc dù vẫn mang lại lợi nhuận, nhưng đi kèm với rủi ro đáng kể.