KUNGFU TECH

0
0
Lập trình
Admin Team
Admin Teamtechmely

Nghịch lý minh bạch trong Web3: Mở mã nguồn nhưng giữ bí mật backend

Đăng vào 1 tháng trước

• 7 phút đọc

Chủ đề:

#gamedev#web3#buildinpublic#solidity

Nghịch lý Minh bạch trong Web3: Mở mã nguồn nhưng Giữ bí mật Backend

Có một khoảnh khắc kinh hoàng mà mỗi người sáng lập Web3 đều phải đối mặt. Đó không phải là nỗi sợ về lỗi, sự sụp đổ của thị trường, hay một Discord vắng tanh. Đó là khoảnh khắc bạn rê chuột qua nút "Công khai" trên kho mã nguồn của mình.

Trong nhiều tháng, mã này là bí mật của bạn. Tài sản trí tuệ của bạn. Lợi thế cạnh tranh của bạn. Việc công khai nó giống như không chỉ mở cửa nhà của bạn; bạn đang phát cho người khác bản thiết kế và một bộ chìa khóa.

Hôm nay, tôi đã làm điều đó cho trò chơi trên chuỗi của mình, Musical Chairs. Các hợp đồng thông minh điều hành trò chơi, giữ tiền và định nghĩa quy tắc giờ đã hoàn toàn mã nguồn mở. Tuy nhiên, mã backend điều hành logic trò chơi vẫn được bảo mật.

Điều này không phải là một thỏa hiệp. Đó là một chiến lược. Và nó nằm ở trung tâm của nghịch lý Web3: làm thế nào để xây dựng một hệ thống minh bạch, không cần tin tưởng mà không tiết lộ toàn bộ.

Lời hứa Web3: Tin tưởng, không cần xác minh? Không, Tin tưởng Bởi vì Bạn có thể xác minh.

Trong thế giới Web2, "công thức bí mật" là tất cả. Trong Web3, công thức bí mật là không có công thức bí mật nào trên chuỗi. Giá trị cốt lõi của toàn bộ ngành công nghiệp của chúng ta là người dùng không cần phải tin tưởng một người hoặc một công ty; họ có thể tin tưởng vào mã.

Nhưng họ chỉ có thể tin tưởng vào mã nếu họ có thể thấy nó.

Một hợp đồng thông minh đóng kín xử lý tiền của người dùng là một dấu hiệu đỏ lớn. Nó yêu cầu một niềm tin mù quáng trong một không gian được thiết kế để loại bỏ điều đó. Đó là lý do tại sao, như một bước căn bản, tôi đã mở mã tất cả các hợp đồng thông minh cho Musical Chairs theo giấy phép MIT.

➡️ Bạn có thể xem tất cả ở đây: github.com/crow-004/musical-chairs-contracts

Điều này có nghĩa là bất kỳ ai cũng có thể xác minh rằng trò chơi của chúng tôi thực hiện chính xác những gì nó nói. Không có cửa sau. Không có phí ẩn. Không có chức năng "rug-pull". Chỉ có mã.

Nỗi sợ là có thật: "Nhưng còn những kẻ tấn công?"

Suy nghĩ đầu tiên khiến bất kỳ lập trình viên nào bị tê liệt là: "Bằng cách cho mọi người thấy các khóa, tôi có đang trao cho kẻ tấn công những chiếc chìa khóa không?"

Đó là một nỗi sợ hợp lý. Nhưng khái niệm "bảo mật thông qua sự mờ ám" là một huyền thoại đã bị bác bỏ nhiều lần. Một kẻ tấn công quyết tâm có thể giải mã bytecode của bạn. Việc ẩn mã nguồn của bạn chỉ ngăn cản những người tốt giúp đỡ bạn.

Tôi đã học điều này một cách rõ ràng. Vài ngày trước, một hacker mũ trắng tên là Harun đã liên hệ với tôi. Anh ấy đã phát hiện một lỗ hổng—không phải trong hợp đồng, mà trong cấu hình DNS của miền, điều này có thể cho phép giả mạo email và các cuộc tấn công lừa đảo tinh vi. Anh ấy không khai thác nó; anh ấy đã báo cáo một cách có trách nhiệm. Chúng tôi đã sửa nó và thưởng cho anh ấy vì những nỗ lực của mình.

Đây là sức mạnh của "nhiều con mắt tốt" hơn "một kẻ xấu." Bằng cách mở mã, bạn không chỉ mời gọi sự giám sát; bạn đang mời một đội ngũ bảo mật toàn cầu, phi tập trung giúp bạn xây dựng một pháo đài vững chắc hơn.

Hướng dẫn cho lập trình viên về mã có thể chứng minh

Mở mã của bạn là bước đầu tiên. Bước thứ hai là chứng minh rằng mã nguồn mở là mã chính xác đang chạy trên blockchain. Đây là nơi nhiều lập trình viên vấp phải.

Chìa khóa nằm ở một tệp đơn giản mà trình biên dịch của bạn tạo ra: metadata.json.

Hãy coi tệp này như "hộ chiếu số" của hợp đồng của bạn. Nó chứa phiên bản trình biên dịch, cài đặt và băm của tất cả các tệp nguồn của bạn. Khi bạn tải lên tệp này và mã nguồn của mình tới một dịch vụ như Sourcify, nó có thể biên dịch lại mã của bạn và xác minh, với độ tin cậy mã hóa, rằng nó tạo ra chính xác bytecode giống như trên chuỗi. Đây là "bằng chứng xã hội" tối thượng trong ngành của chúng ta—hoặc chính xác hơn là bằng chứng có thể xác minh.

Nếu bạn đang sử dụng Hardhat, việc trích xuất metadata này rất đơn giản. Bạn có thể tạo một tác vụ nhỏ như sau:

typescript Copy 
// file: hardhat.config.ts

import { task } from "hardhat/config";
import * as fs from "fs";
import * as path from "path";

task("export-metadata", "Xuất tệp metadata cho một hợp đồng")
  .addParam("contract", "Tên đầy đủ của hợp đồng (ví dụ: 'contracts/MyContract.sol:MyContract')")
  .setAction(async (taskArgs, hre) => {
    const buildInfo = await hre.artifacts.getBuildInfo(taskArgs.contract);
    if (buildInfo) {
      const [sourceName, contractName] = taskArgs.contract.split(":");
      const metadata = buildInfo.output.contracts[sourceName]?.[contractName]?.metadata;
      if (metadata) {
        fs.writeFileSync('metadata.json', metadata);
        console.log("✅ Metadata đã được xuất!");
      }
    }
  });

Chạy npx hardhat export-metadata --contract "contracts/MusicalChairs.sol:MusicalChairsGame" sẽ cung cấp cho bạn tệp chính xác mà bạn cần. Bước nhỏ này là điều tách biệt "có nguồn" khỏi "đã xác minh nguồn."

Chiến lược: Mô hình "Cốt lõi Minh bạch"

Vậy, nếu sự minh bạch quan trọng như vậy, tại sao mã backend lại không công khai?

Bởi vì mục tiêu của tôi là xây dựng một doanh nghiệp bền vững, không chỉ là một dự án cuối tuần. Các hợp đồng thông minh là "Cốt lõi Minh bạch." Chúng là hiến pháp công khai, các quy tắc không thể thay đổi của trò chơi bảo vệ người dùng.

Tuy nhiên, backend là "Động cơ Bản quyền." Nó chứa logic độc đáo cho việc ghép nối người chơi, giao tiếp theo thời gian thực, các biện pháp chống bot, và tối ưu hóa hiệu suất. Đây là lợi thế cạnh tranh của chúng tôi. Mở mã của nó ở giai đoạn sớm này sẽ giống như một đội đua Công thức 1 công bố bản thiết kế động cơ của họ giữa mùa giải. Một đội lớn hơn, có nguồn lực tốt hơn có thể đơn giản sao chép nó và tiếp thị chúng tôi ra ngoài.

Cách tiếp cận kết hợp này cung cấp những điều tốt nhất của cả hai thế giới: sự tin tưởng trên chuỗi và lợi thế cạnh tranh ngoài chuỗi.

Con đường phía trước: Kiểm toán và Trách nhiệm

Cam kết của tôi với sự minh bạch không dừng lại ở đây. Đây là một hành trình, và chúng tôi đang #buildinginpublic.

Trong khi mã backend sẽ vẫn đóng kín tạm thời, tôi muốn cung cấp những đảm bảo về tính toàn vẹn của nó. Đó là lý do tại sao, một khi trò chơi bắt đầu tạo ra doanh thu có ý nghĩa, đầu tư đầu tiên sẽ là một cuộc kiểm toán chuyên nghiệp, bên thứ ba cho mã backend bởi một công ty an ninh mạng uy tín. Mục tiêu sẽ là nhận được một báo cáo công khai xác nhận rằng logic phía máy chủ là công bằng, an toàn và không chứa bất kỳ chức năng độc hại nào.

Đây là cách bạn xây dựng một doanh nghiệp thực sự trong Web3. Không phải bằng cách ẩn giấu, mà bằng cách xếp chồng các bằng chứng về tính toàn vẹn, từng lớp một.

Hành trình này thật đáng sợ, kích thích và vô cùng bổ ích. Nếu bạn là một lập trình viên còn đang phân vân về việc mở mã của mình, hy vọng câu chuyện của tôi sẽ giúp ích. Nó không phải là về việc cho đi tất cả. Đó là về việc xây dựng niềm tin trong một thế giới không cần tin tưởng. Và điều đó, cuối cùng, là tài sản quý giá nhất mà bạn có thể có.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào