¿Qué es el ataque infinito de acuñación?
El espacio Web3 es sinónimo de libertad de las instituciones centralizadas que desean estar involucradas en tu transacción. Una de las razones por las que estos terceros interfieren en las transacciones centralizadas es por la seguridad de los activos que se transfieren y las partes involucradas en la transacción. Aunque el mundo de Web3 es seguro, todavía existen algunas preocupaciones de seguridad.
El espacio cripto introduce nuevas formas de mover activos, lo que vendrá acompañado de nuevas y creativas formas de robar estos activos. Los ataques infinitos de acuñación son una de las formas más innovadoras de robar activos y perturbar un proyecto.
Los hackers han utilizado ataques infinitos de acuñación para robar millones de proyectos de criptomonedas, algunos de los cuales todavía están tratando de recuperarse. Para abordar esto, necesitamos comprender qué es un ataque infinito de acuñación, cómo funciona y cómo podemos protegernos contra él.
¿Qué es un ataque infinito de acuñación?
Los protocolos de finanzas descentralizadas (DeFi) son los más afectados por los ataques de acuñación infinita. Los proyectos DeFi utilizan contratos inteligentes para automatizar la gobernanza, y el contrato inteligente es de código abierto, lo que significa que cualquiera puede ver cómo funciona. Si el contrato no está correctamente escrito y asegurado, los hackers pueden examinarlo y encontrar fácilmente vulnerabilidades para explotar.
Cuando los hackers ejecutan un ataque infinito de acuñación, capitalizan un error para manipular el contrato de un proyecto. Específicamente apuntan a la función de acuñación del contrato, la cual controla cuántas monedas se acuñan. Los hackers indican al contrato que acuñe nuevos tokens muy por encima del límite autorizado, lo cual devaluará el token.
Un ataque infinito de acuñación es rápido. Los atacantes hackean el sistema, manipulan el contrato, acuñan nuevos tokens y los venden rápidamente. Normalmente, los tokens se intercambian por activos más valiosos como Bitcoin (BTC) o stablecoins como USDC. Este proceso se repite tan a menudo en un corto período de tiempo que, cuando el mercado se ajusta, los tokens que vendieron anteriormente para obtener ganancias ahora valen casi nada.
¿Cómo funcionan los ataques de acuñación infinita?
Los hackers son muy precisos cuando realizan un ataque infinito de acuñación.El ataque es rápido y preciso, y dependiendo de la congestión de la red y el tiempo de respuesta de la plataforma, un ataque puede ocurrir en pocos minutos. Los ataques de acuñación infinita tienen cuatro pasos principales, que son:
- Identificando Vulnerabilidad
Para que ocurra un ataque, tiene que haber un punto débil (vulnerabilidad) en la armadura de un proyecto, y los atacantes saben exactamente dónde buscarlo, el contrato inteligente. Un contrato inteligente es cómo los proyectos descentralizados pueden funcionar sin entrometidos terceros. Aplica automáticamente acuerdos entre dos partes.
Los contratos inteligentes son inmutables; una vez acordados, no se pueden cambiar. Los hackers capitalizan esta inmutabilidad, junto con la naturaleza de código abierto de los contratos. Debido a que los contratos inteligentes son transparentes, los hackers pueden estudiarlos para encontrar vulnerabilidades y luego explotarlas.
- Explotación de Vulnerabilidad
Los piratas informáticos suelen buscar vulnerabilidades en la función de acuñación del contrato. Una vez que encuentran uno, elaboran una transacción que hará que el contrato inteligente evite los controles y equilibrios estándar y luego acuñe el exceso de monedas.
La transacción creada simplemente podría estar ejecutando una función determinada, ajustando un parámetro o incluso aprovechando una conexión desconocida entre diferentes segmentos de código.
- Minería y Dumping Infinito
Con el contrato inteligente explotado, los atacantes pueden acuñar tantos tokens nuevos como quieran y luego deshacerse de ellos en el mercado.
La descarga de tokens ocurre rápidamente. El mercado se ve inundado de nuevos tokens y los atacantes normalmente intercambian los tokens por stablecoins. Los tokens descargados se devalúan seriamente después de que el mercado se ajusta a las transacciones.
- Realización de beneficios
Después de devaluar el token, los atacantes obtienen beneficios en la última etapa de un ataque infinito de acuñación. A pesar de que la moneda ha perdido valor, el mercado no se ajusta tan rápido como el token se devalúa, por lo que los atacantes intercambiarían los tokens casi sin valor por stablecoins y...beneficio a expensas de los titulares de tokens.
Los atacantes son creativos en este paso. Podrían beneficiarse de varias maneras, una de las cuales es vendiéndolas en los intercambios, vendiéndolas a un precio alto antes de que el mercado reaccione al dumping. También pueden arbitrar, comparando diferentes plataformas para encontrar una en la que el precio no se haya ajustado y luego vendiendo los tokens allí. Los ataques también pueden agotar el fondo de liquidez intercambiando los tokens recién acuñados por stablecoins en el pool.
Fuente: pexels
Ejemplos de ataques infinitos de acuñación
Con el surgimiento de Web3, gracias en parte a Bitcoin, también ha habido un aumento en los ataques; el primero notable fue el hack de Mg.Goxen 2011. Desde entonces, los hacks se han vuelto más sofisticados; ahora, tenemos hacks como el ataque infinito de acuñación. Aquí hay algunos ejemplos de ataques infinitos de acuñación:
Ataque al Protocolo Cover
El protocolo Cover es un proyecto DeFi creado para proporcionar seguros a otros proyectos DeFi en casos de vulnerabilidades de contratos inteligentes, ataques y más. En diciembre de 2020, fueron golpeados con un ataque infinito de acuñación. El(los) atacante(s) robaron un millón de DAI, 1,400 ether y 90 WBTC, obteniendo más de $4 millones.
El(los) atacante(s) podría(n) atacar después de manipular el contrato inteligente de Cover para imprimir tokens como recompensa. The error Se aprovecharon de lo relacionado con el mal uso de la memoria y el almacenamiento en el lenguaje de programación. Con esto, pudieron acuñar CUBIERTA DE 40 quintillonestokens, y en unas pocas horas, podrían vender hasta $5 millones en COVER. En tan solo 24 horas, el valor del token Cover disminuyó un 75%.
Unas horas más tarde, un hacker de sombrero blanco'Grap Finance' afirmó la responsabilidad del ataque a través de un Publicación X. El hacker también declaró que no se obtuvieron ganancias del ataque y que todos los fondos habían sido devueltos a Cover.
Ataque a la red de Paid
La red de Paid.) es una plataforma de finanzas descentralizadas (DeFi) diseñada para facilitar los contratos. Automatizaría y desglosaría acuerdos legales y comerciales utilizando el poder de la tecnología blockchain. A principios de 2021, los usuarios de la red Paid notaron un problema: la red había sido atacada. Los atacantes aprovecharon una vulnerabilidad en el contrato de acuñación. Los atacantes acuñaron y quemaron tokens. Podían acuñar millones de tokens PAID y convertir 2.5 millones a ETH antes de que terminara el ataque.
Los atacantes se fueron de PAID con una pérdida de 180 millones de dólares y el 85% de su valor desaparecido. Algunos usuarios sospechaban de la red de pago y pensaban que el ataque era un rug pull. Sin embargo, después de que la red Paid pudo compensar a todos los usuarios afectados, estas sospechas fueron aclaradas.
Ataque al puente BNB
Puente BNBpermite a los usuarios realizar transferencias entre cadenas. Con ello, los usuarios pueden mover activos de la Cadena Beacon de Binance a la Cadena Inteligente de Binance (BSC). En Octubre de 2022, el puente BNB fue víctima de un ataque infinito de acuñación. Los atacantes aprovecharon un error en el contrato y acuñaron 2 millones de $BNB, lo que equivale a $586 millones.
Los atacantes pudieron acuñar el BNB directamente en sus billeteras. También optaron por no intercambiar los tokens y no querían moverlos fuera de Binance. En su lugar, utilizaron el BNB como garantía para obtener un préstamo que habría sido enviado a una red diferente. Afortunadamente, los validadores de Binance detuvieron el hack, pero la cadena inteligente tuvo que ser cerrada por un tiempo.
Ataque de Ankr
ANKRse hizo para desarrollar web3. Ankr es una infraestructura basada en blockchain con capacidades DeFi.En 2022, fue hackeado. Los hackers obtuvieron las claves privadas desarrolladas y procedieron a actualizar el contrato inteligente. Esto les permitió acuñar 6 seisquatrillones de tokens aBNBc, que luego se convirtieron en 5 millones de USDC. Como resultado del ataque, Ankr perdió $5 millones y tuvo que pausar los retiros de ANKR en Binance.
Cómo prevenir un ataque infinito de acuñación
Los desarrolladores de proyectos criptográficos necesitan poner la seguridad en la parte superior de su lista al hacer un proyecto. La economía descentralizada está cambiando diariamente; hay mucha innovación, pero los hackers son igual de innovadores. Es necesario hacer más hincapié en la prevención en lugar de la mitigación.
Los desarrolladores deben implementar varios pasos para evitar hackeos como el ataque de acuñación infinita. Un paso en la seguridad de los contratos inteligentes es llevar a cabo Auditoríascon frecuencia. Una auditoría es el proceso de verificar el código de un contrato inteligente en busca de vulnerabilidades que puedan ser explotadas. Idealmente, estas auditorías no deben ser internas, sino realizadas por profesionales de seguridad de terceros confiables.
Otro paso es restringir el acceso a los controles de acuñación. Si hay demasiadas personas con acceso, es más fácil ser infiltrado y explotado. Los proyectos también pueden emplear una multi-firmawallet. Mejora la seguridad porque, con ella, necesitarías múltiples claves privadas para acceder a una cuenta.
Finalmente, los proyectos deben recordar la importancia de monitoreoycomunicación. Deben tener herramientas de monitoreo de última generación para detectar cualquier irregularidad en el momento en que comiencen. Si tienen una línea abierta de comunicación con intercambios, otros proyectos y la comunidad cripto, pueden anticipar cualquier ataque y planificar una defensa.
El Futuro de la Seguridad de los Contratos Inteligentes en el Mundo de las Criptomonedas
Con la aparición de contratos inteligentes, también debe haber algo que guíe su uso. En este caso, nos preocupa más su seguridadpara que los usuarios no se vean afectados durante una violación. Lo primero que podemos hacer es aconsejar a los proyectos que estén seguros. Pueden seguir los pasos enumerados en el último subencabezado. El problema es que algunos proyectos pueden no seguir el consejo, y las leyes sobre contratos inteligentes son escasas y distantes entre sí. Entonces, ¿a dónde vamos desde aquí?
Los contratos inteligentes son nuevos y la ley aún no los ha alcanzado. En este momento, las dos principales cosas a considerar son la exigibilidad y la jurisdicción. Con los contratos inteligentes que se realizan en la cadena de bloques para servicios descentralizados,¿Puede la ley hacer cumplir sus reglas sobre ellos? Ha habido leyes y casos judiciales sobre criptomonedas, pero los contratos inteligentes no se abordan lo suficiente.
Ahora, en cuanto a jurisdicción, la pregunta es, ¿cómo hace la ley responsable a un proyecto si existen diferencias en la ley? Lo que es legal en los Estados Unidos puede ser ilegal en el Reino Unido. Para superar estos problemas, debe haber un marco regulatorio que aborde directamente la seguridad de los contratos inteligentes. Los expertos en tecnología blockchain y en derecho deberían colaborar para llegar a un consenso.
Todavía hay algo de esperanza para aferrarse. En 2023 el número de Los hacks de DeFi disminuyeron en más del 50%, si se implementan estas regulaciones, habrá incluso menos ataques a nivel mundial.
Conclusión
Para concluir, los ataques de acuñación infinita son muy estratégicos y rápidos. Una vez que un atacante comienza, pueden acuñar millones de tokens en solo unos minutos, pero los ataques pueden prevenirse si se toman las precauciones de seguridad adecuadas.
Todavía existen algunos pasos para crear un marco legal adecuado para proteger a los proyectos y sus usuarios de los ataques infinitos de acuñación. Por ahora, los proyectos de finanzas descentralizadas (DeFi) deben ser extra seguros y vigilantes.
Artigos relacionados
¿Qué es SegWit?
¿Cómo apostar ETH?
Todo lo que necesitas saber sobre Blockchain
¿Qué es el ataque infinito de acuñación?
¿Qué es un Ataque Infinito de Acuñación?
¿Cómo funcionan los ataques infinitos de acuñación?
Ejemplos de Ataques Infinitos de Acuñación
Cómo prevenir un ataque infinito de acuñación
El futuro de la seguridad de los contratos inteligentes en el mundo cripto
Conclusión
El espacio Web3 es sinónimo de libertad de las instituciones centralizadas que desean estar involucradas en tu transacción. Una de las razones por las que estos terceros interfieren en las transacciones centralizadas es por la seguridad de los activos que se transfieren y las partes involucradas en la transacción. Aunque el mundo de Web3 es seguro, todavía existen algunas preocupaciones de seguridad.
El espacio cripto introduce nuevas formas de mover activos, lo que vendrá acompañado de nuevas y creativas formas de robar estos activos. Los ataques infinitos de acuñación son una de las formas más innovadoras de robar activos y perturbar un proyecto.
Los hackers han utilizado ataques infinitos de acuñación para robar millones de proyectos de criptomonedas, algunos de los cuales todavía están tratando de recuperarse. Para abordar esto, necesitamos comprender qué es un ataque infinito de acuñación, cómo funciona y cómo podemos protegernos contra él.
¿Qué es un ataque infinito de acuñación?
Los protocolos de finanzas descentralizadas (DeFi) son los más afectados por los ataques de acuñación infinita. Los proyectos DeFi utilizan contratos inteligentes para automatizar la gobernanza, y el contrato inteligente es de código abierto, lo que significa que cualquiera puede ver cómo funciona. Si el contrato no está correctamente escrito y asegurado, los hackers pueden examinarlo y encontrar fácilmente vulnerabilidades para explotar.
Cuando los hackers ejecutan un ataque infinito de acuñación, capitalizan un error para manipular el contrato de un proyecto. Específicamente apuntan a la función de acuñación del contrato, la cual controla cuántas monedas se acuñan. Los hackers indican al contrato que acuñe nuevos tokens muy por encima del límite autorizado, lo cual devaluará el token.
Un ataque infinito de acuñación es rápido. Los atacantes hackean el sistema, manipulan el contrato, acuñan nuevos tokens y los venden rápidamente. Normalmente, los tokens se intercambian por activos más valiosos como Bitcoin (BTC) o stablecoins como USDC. Este proceso se repite tan a menudo en un corto período de tiempo que, cuando el mercado se ajusta, los tokens que vendieron anteriormente para obtener ganancias ahora valen casi nada.
¿Cómo funcionan los ataques de acuñación infinita?
Los hackers son muy precisos cuando realizan un ataque infinito de acuñación.El ataque es rápido y preciso, y dependiendo de la congestión de la red y el tiempo de respuesta de la plataforma, un ataque puede ocurrir en pocos minutos. Los ataques de acuñación infinita tienen cuatro pasos principales, que son:
- Identificando Vulnerabilidad
Para que ocurra un ataque, tiene que haber un punto débil (vulnerabilidad) en la armadura de un proyecto, y los atacantes saben exactamente dónde buscarlo, el contrato inteligente. Un contrato inteligente es cómo los proyectos descentralizados pueden funcionar sin entrometidos terceros. Aplica automáticamente acuerdos entre dos partes.
Los contratos inteligentes son inmutables; una vez acordados, no se pueden cambiar. Los hackers capitalizan esta inmutabilidad, junto con la naturaleza de código abierto de los contratos. Debido a que los contratos inteligentes son transparentes, los hackers pueden estudiarlos para encontrar vulnerabilidades y luego explotarlas.
- Explotación de Vulnerabilidad
Los piratas informáticos suelen buscar vulnerabilidades en la función de acuñación del contrato. Una vez que encuentran uno, elaboran una transacción que hará que el contrato inteligente evite los controles y equilibrios estándar y luego acuñe el exceso de monedas.
La transacción creada simplemente podría estar ejecutando una función determinada, ajustando un parámetro o incluso aprovechando una conexión desconocida entre diferentes segmentos de código.
- Minería y Dumping Infinito
Con el contrato inteligente explotado, los atacantes pueden acuñar tantos tokens nuevos como quieran y luego deshacerse de ellos en el mercado.
La descarga de tokens ocurre rápidamente. El mercado se ve inundado de nuevos tokens y los atacantes normalmente intercambian los tokens por stablecoins. Los tokens descargados se devalúan seriamente después de que el mercado se ajusta a las transacciones.
- Realización de beneficios
Después de devaluar el token, los atacantes obtienen beneficios en la última etapa de un ataque infinito de acuñación. A pesar de que la moneda ha perdido valor, el mercado no se ajusta tan rápido como el token se devalúa, por lo que los atacantes intercambiarían los tokens casi sin valor por stablecoins y...beneficio a expensas de los titulares de tokens.
Los atacantes son creativos en este paso. Podrían beneficiarse de varias maneras, una de las cuales es vendiéndolas en los intercambios, vendiéndolas a un precio alto antes de que el mercado reaccione al dumping. También pueden arbitrar, comparando diferentes plataformas para encontrar una en la que el precio no se haya ajustado y luego vendiendo los tokens allí. Los ataques también pueden agotar el fondo de liquidez intercambiando los tokens recién acuñados por stablecoins en el pool.
Fuente: pexels
Ejemplos de ataques infinitos de acuñación
Con el surgimiento de Web3, gracias en parte a Bitcoin, también ha habido un aumento en los ataques; el primero notable fue el hack de Mg.Goxen 2011. Desde entonces, los hacks se han vuelto más sofisticados; ahora, tenemos hacks como el ataque infinito de acuñación. Aquí hay algunos ejemplos de ataques infinitos de acuñación:
Ataque al Protocolo Cover
El protocolo Cover es un proyecto DeFi creado para proporcionar seguros a otros proyectos DeFi en casos de vulnerabilidades de contratos inteligentes, ataques y más. En diciembre de 2020, fueron golpeados con un ataque infinito de acuñación. El(los) atacante(s) robaron un millón de DAI, 1,400 ether y 90 WBTC, obteniendo más de $4 millones.
El(los) atacante(s) podría(n) atacar después de manipular el contrato inteligente de Cover para imprimir tokens como recompensa. The error Se aprovecharon de lo relacionado con el mal uso de la memoria y el almacenamiento en el lenguaje de programación. Con esto, pudieron acuñar CUBIERTA DE 40 quintillonestokens, y en unas pocas horas, podrían vender hasta $5 millones en COVER. En tan solo 24 horas, el valor del token Cover disminuyó un 75%.
Unas horas más tarde, un hacker de sombrero blanco'Grap Finance' afirmó la responsabilidad del ataque a través de un Publicación X. El hacker también declaró que no se obtuvieron ganancias del ataque y que todos los fondos habían sido devueltos a Cover.
Ataque a la red de Paid
La red de Paid.) es una plataforma de finanzas descentralizadas (DeFi) diseñada para facilitar los contratos. Automatizaría y desglosaría acuerdos legales y comerciales utilizando el poder de la tecnología blockchain. A principios de 2021, los usuarios de la red Paid notaron un problema: la red había sido atacada. Los atacantes aprovecharon una vulnerabilidad en el contrato de acuñación. Los atacantes acuñaron y quemaron tokens. Podían acuñar millones de tokens PAID y convertir 2.5 millones a ETH antes de que terminara el ataque.
Los atacantes se fueron de PAID con una pérdida de 180 millones de dólares y el 85% de su valor desaparecido. Algunos usuarios sospechaban de la red de pago y pensaban que el ataque era un rug pull. Sin embargo, después de que la red Paid pudo compensar a todos los usuarios afectados, estas sospechas fueron aclaradas.
Ataque al puente BNB
Puente BNBpermite a los usuarios realizar transferencias entre cadenas. Con ello, los usuarios pueden mover activos de la Cadena Beacon de Binance a la Cadena Inteligente de Binance (BSC). En Octubre de 2022, el puente BNB fue víctima de un ataque infinito de acuñación. Los atacantes aprovecharon un error en el contrato y acuñaron 2 millones de $BNB, lo que equivale a $586 millones.
Los atacantes pudieron acuñar el BNB directamente en sus billeteras. También optaron por no intercambiar los tokens y no querían moverlos fuera de Binance. En su lugar, utilizaron el BNB como garantía para obtener un préstamo que habría sido enviado a una red diferente. Afortunadamente, los validadores de Binance detuvieron el hack, pero la cadena inteligente tuvo que ser cerrada por un tiempo.
Ataque de Ankr
ANKRse hizo para desarrollar web3. Ankr es una infraestructura basada en blockchain con capacidades DeFi.En 2022, fue hackeado. Los hackers obtuvieron las claves privadas desarrolladas y procedieron a actualizar el contrato inteligente. Esto les permitió acuñar 6 seisquatrillones de tokens aBNBc, que luego se convirtieron en 5 millones de USDC. Como resultado del ataque, Ankr perdió $5 millones y tuvo que pausar los retiros de ANKR en Binance.
Cómo prevenir un ataque infinito de acuñación
Los desarrolladores de proyectos criptográficos necesitan poner la seguridad en la parte superior de su lista al hacer un proyecto. La economía descentralizada está cambiando diariamente; hay mucha innovación, pero los hackers son igual de innovadores. Es necesario hacer más hincapié en la prevención en lugar de la mitigación.
Los desarrolladores deben implementar varios pasos para evitar hackeos como el ataque de acuñación infinita. Un paso en la seguridad de los contratos inteligentes es llevar a cabo Auditoríascon frecuencia. Una auditoría es el proceso de verificar el código de un contrato inteligente en busca de vulnerabilidades que puedan ser explotadas. Idealmente, estas auditorías no deben ser internas, sino realizadas por profesionales de seguridad de terceros confiables.
Otro paso es restringir el acceso a los controles de acuñación. Si hay demasiadas personas con acceso, es más fácil ser infiltrado y explotado. Los proyectos también pueden emplear una multi-firmawallet. Mejora la seguridad porque, con ella, necesitarías múltiples claves privadas para acceder a una cuenta.
Finalmente, los proyectos deben recordar la importancia de monitoreoycomunicación. Deben tener herramientas de monitoreo de última generación para detectar cualquier irregularidad en el momento en que comiencen. Si tienen una línea abierta de comunicación con intercambios, otros proyectos y la comunidad cripto, pueden anticipar cualquier ataque y planificar una defensa.
El Futuro de la Seguridad de los Contratos Inteligentes en el Mundo de las Criptomonedas
Con la aparición de contratos inteligentes, también debe haber algo que guíe su uso. En este caso, nos preocupa más su seguridadpara que los usuarios no se vean afectados durante una violación. Lo primero que podemos hacer es aconsejar a los proyectos que estén seguros. Pueden seguir los pasos enumerados en el último subencabezado. El problema es que algunos proyectos pueden no seguir el consejo, y las leyes sobre contratos inteligentes son escasas y distantes entre sí. Entonces, ¿a dónde vamos desde aquí?
Los contratos inteligentes son nuevos y la ley aún no los ha alcanzado. En este momento, las dos principales cosas a considerar son la exigibilidad y la jurisdicción. Con los contratos inteligentes que se realizan en la cadena de bloques para servicios descentralizados,¿Puede la ley hacer cumplir sus reglas sobre ellos? Ha habido leyes y casos judiciales sobre criptomonedas, pero los contratos inteligentes no se abordan lo suficiente.
Ahora, en cuanto a jurisdicción, la pregunta es, ¿cómo hace la ley responsable a un proyecto si existen diferencias en la ley? Lo que es legal en los Estados Unidos puede ser ilegal en el Reino Unido. Para superar estos problemas, debe haber un marco regulatorio que aborde directamente la seguridad de los contratos inteligentes. Los expertos en tecnología blockchain y en derecho deberían colaborar para llegar a un consenso.
Todavía hay algo de esperanza para aferrarse. En 2023 el número de Los hacks de DeFi disminuyeron en más del 50%, si se implementan estas regulaciones, habrá incluso menos ataques a nivel mundial.
Conclusión
Para concluir, los ataques de acuñación infinita son muy estratégicos y rápidos. Una vez que un atacante comienza, pueden acuñar millones de tokens en solo unos minutos, pero los ataques pueden prevenirse si se toman las precauciones de seguridad adecuadas.
Todavía existen algunos pasos para crear un marco legal adecuado para proteger a los proyectos y sus usuarios de los ataques infinitos de acuñación. Por ahora, los proyectos de finanzas descentralizadas (DeFi) deben ser extra seguros y vigilantes.
Artigos relacionados
¿Qué es SegWit?
¿Cómo apostar ETH?