O espaço Web3 é sinônimo de liberdade de instituições centralizadas que desejam se envolver em sua transação. Uma das razões pelas quais essas terceiras partes interferem em transações centralizadas é pela segurança dos ativos sendo transferidos e das partes envolvidas na transação. Mesmo que o mundo Web3 seja seguro, algumas preocupações de segurança ainda persistem.

O espaço cripto introduz novas maneiras de mover ativos, o que virá com novas e criativas maneiras de roubar esses ativos. Os ataques de menta infinitos são uma das maneiras mais inovadoras de roubar ativos e perturbar um projeto.

Hackers usaram ataques de menta infinitos para roubar milhões de projetos de criptomoedas, alguns dos quais ainda estão tentando se recuperar. Para lidar com isso, precisamos entender o que é um ataque de menta infinito, como ele funciona e como podemos nos proteger contra ele.

O que é um ataque de menta infinito?

Os protocolos de finanças descentralizadas (DeFi) são os mais afetados pelos ataques de mint infinitos. Os projetos DeFi usam contratos inteligentes para automatizar a governança, e o contrato inteligente é de código aberto, o que significa que qualquer pessoa pode ver como funciona. Se o contrato não for escrito e protegido adequadamente, os hackers podem examiná-lo e encontrar facilmente vulnerabilidades para explorar.

Quando os hackers executam um ataque de menta infinito, eles se aproveitam de um erro para adulterar o contrato de um projeto. Eles direcionam especificamente a função de menta do contrato, que controla quantas moedas são criadas. Os hackers instruem o contrato a criar novos tokens muito além do limite autorizado, o que desvalorizará o token.

Um ataque de menta infinito é rápido. Os atacantes hackeiam o sistema, manipulam o contrato, produzem novos tokens e os vendem rapidamente. Normalmente, os tokens são trocados por ativos mais valiosos como Bitcoin (BTC) ou stablecoins como USDC. Esse processo é repetido tantas vezes em um curto período que, quando o mercado se ajusta, os tokens que venderam anteriormente por lucro agora valem quase nada.

Como funcionam os ataques de menta infinito?

Os hackers são muito precisos quando realizam um ataque de menta infinito.O ataque é rápido e preciso, e dependendo da congestão da rede e do tempo de resposta da plataforma, um ataque pode acontecer em poucos minutos. Ataques de menta infinitos têm quatro etapas principais, são elas:

1. Identificando vulnerabilidades

Para que ocorra um ataque, tem que haver uma falha (vulnerabilidade) na armadura de um projeto, e os atacantes sabem exatamente onde procurar, o contrato inteligente. Um contrato inteligente é como os projetos descentralizados podem funcionar sem partes intrometidas. Ele cumpre automaticamente acordos entre duas partes.

Os contratos inteligentes são imutáveis; uma vez acordados, eles não podem ser alterados. Hackers se aproveitam dessa imutabilidade, juntamente com a natureza de código aberto dos contratos. Como os contratos inteligentes são transparentes, os hackers podem estudá-los para encontrar vulnerabilidades e, em seguida, explorá-las.

1. Exploração de Vulnerabilidades

Os hackers geralmente procuram vulnerabilidades na função de mint do contrato. Uma vez que encontram uma, eles elaboram uma transação que fará com que o contrato inteligente ignore as verificações e saldos padrão e depois mint moedas em excesso.

A transação criada pode estar apenas executando uma determinada função, ajustando um parâmetro ou até mesmo aproveitando uma conexão desconhecida entre diferentes segmentos de código.

1. Mineração infinita e despejo

Com o contrato inteligente explorado, os atacantes podem criar quantos novos tokens desejarem e depois despejá-los no mercado.

A descarga de tokens acontece rapidamente. O mercado é inundado com novos tokens, e os atacantes normalmente trocam os tokens por stablecoins. Os tokens descartados são seriamente desvalorizados após o mercado se ajustar às transações.

1. Realização de lucro

Após desvalorizar o token, os atacantes lucram com a última etapa de um ataque de menta infinito. Mesmo que a moeda tenha perdido valor, o mercado não se ajusta tão rapidamente quanto o token desvaloriza para que os atacantes possam trocar os tokens agora quase sem valor por stablecoins elucro às custas dos detentores de tokens.

Os atacantes ficam criativos nessa etapa. Eles podem lucrar de várias maneiras, uma delas é despejando-os em exchanges, vendendo-os a um preço alto antes que o mercado reaja ao despejo. Eles também podem arbitrar, comparando diferentes plataformas para encontrar uma onde o preço não tenha se ajustado e então vendendo os tokens lá. Os ataques também podem esgotar a reserva de liquidez trocando os tokens recém-mintados por stablecoins na reserva.

Origem: pexels

Exemplos de Ataques Infinitos da Casa da Moeda

Com o surgimento do Web3, graças em parte ao Bitcoin, também houve um aumento nos ataques; o primeiro notável foi oHacke do Mg.Goxem 2011. Desde então, os hacks se tornaram mais sofisticados; agora, temos hacks como o ataque de menta infinito. Aqui estão alguns exemplos de ataques de menta infinitos:

Ataque ao Protocolo de Cobertura

O protocolo Cover é um projeto DeFi criado para fornecer seguro a outros projetos DeFi em casos de vulnerabilidades de contrato inteligente, ataques e muito mais. Em dezembro de 2020, eles foram atingidos por um ataque de mint infinito. O(s) atacante(s) roubou(aram) um milhão de DAI, 1.400 ether e 90 WBTC, totalizando mais de $4 milhões.

O(s) atacante(s) pode(m) atacar depois de manipular o contrato inteligente da Capa para imprimir tokens como recompensa. O bugeles se aproveitaram estava relacionado ao uso indevido de memória e armazenamento na linguagem de programação. Com isso, eles foram capazes de MINT40 quintilhões de COVER tokens, e em poucas horas, eles poderiam vender até $5 milhões em COVER. Em apenas 24 horas, o valor do token Cover caiu 75%.

Algumas horas depois, um hacker de chapéu brancoO Grap Finance reivindicou a responsabilidade pelo ataque através de umX pós. O hacker também afirmou que nenhum lucro foi obtido com o ataque e que todos os fundos foram devolvidos à Cover.

Ataque à Rede Paga

A rede Paid.) é uma plataforma de finanças descentralizadas (DeFi) feita para facilitar os contratos. Ele automatizaria e quebraria acordos legais e comerciais usando o poder da tecnologia blockchain. No início de 2021, usuários da rede paga notaram um problema: a rede havia sido atacada. Os atacantes se aproveitaram de uma vulnerabilidade no contrato de cunhagem. Os atacantes cunharam e bunt tokens. Eles poderiam cunhar milhões de tokens PAGOS e converteram 2,5 milhões em ETH antes que o ataque terminasse.

Os atacantes saíram da PAID com um prejuízo de US$ 180 milhões e 85% de seu valor sumiu. Alguns usuários desconfiaram da rede paga e acharam que o ataque era um Puxada de tapete. No entanto, depois que a rede Paga pôde compensar todos os usuários afetados, essas suspeitas foram dissipadas.

Ataque à ponte BNB

BNB Bridgepermite que os usuários façam transferências entre cadeias. Com isso, os usuários podem mover ativos da Binance Beacon Chain para a Binance Smart Chain (BSC). Em outubro de 2022, a Bridge BNB foi alvo de um ataque de menta infinito. Os atacantes aproveitaram uma falha no contrato e criaram 2 milhões de $BNB, o que totalizou $586 milhões.

Os atacantes conseguiram criar o BNB diretamente em suas carteiras. Eles também escolheram não trocar os tokens e não queriam movê-los para fora da Binance. Em vez disso, eles usaram o BNB como garantia para obter um empréstimo que seria enviado para uma rede diferente. Felizmente, os validadores da Binance interromperam o hack, mas a cadeia inteligente teve que ser desligada por um tempo.

Ataque Ankr

Ankrfoi criado para desenvolver o web3. Ankr é uma infraestrutura baseada em blockchain com capacidades DeFi.Em 2022, foi hackeado. Os hackers pegaram chaves privadas desenvolvidas e processaram para atualizar o contrato inteligente. Isso permitiu que eles cunhassem 66 milhões de tokens aBNBc, que foram convertidos em 5 milhões de USDC. Como resultado do ataque, a Ankr perdeu US$ 5 milhões e teve que pausar os saques da ANKR na Binance.

Como evitar um ataque infinito da Casa da Moeda

Os desenvolvedores de projetos de criptomoedas precisam colocar a segurança no topo da lista ao criar um projeto. A economia descentralizada está mudando diariamente; há muita inovação, mas os hackers são igualmente inovadores. É preciso dar mais ênfase à prevenção em vez de mitigação.

Os desenvolvedores precisam implementar várias etapas para prevenir hacks como o ataque de menta infinito. Um passo na segurança do contrato inteligente é realizar uma investigação minuciosa auditoriasfrequentemente. Uma auditoria é o processo de verificar o código de um contrato inteligente em busca de vulnerabilidades que possam ser exploradas. Idealmente, essas auditorias não devem ser internas, mas realizadas por profissionais de segurança de terceiros confiáveis.

Outro passo é apertar a tampa sobre quem tem acesso aos controles de como. Se você tiver muitas pessoas com acesso, é mais fácil ser infiltrado e explorado. Os projetos também podem empregar um multiassinaturacarteira. Isso melhora a segurança porque, com ela, você precisaria de várias chaves privadas para acessar uma conta.

Por fim, os projetos devem lembrar a importância de monitoramento e comunicação. Eles devem ter ferramentas de monitoramento de última geração para detectar qualquer irregularidade assim que começarem. Se tiverem uma linha de comunicação aberta com exchanges, outros projetos e a comunidade cripto, eles podem antecipar qualquer ataque e planejar uma defesa.

O Futuro da Segurança de Contratos Inteligentes no Mundo Cripto

Com o surgimento dos contratos inteligentes, também precisa haver algo para orientar seu uso. Nesse caso, estamos mais preocupados com o seusegurançapara que os usuários não sejam afetados durante uma violação. A primeira coisa que podemos fazer é aconselhar os projetos a serem seguros. Eles podem seguir as etapas listadas no último subtítulo. O problema é que alguns projetos podem não seguir o conselho, e as leis sobre contratos inteligentes são poucas e distantes. Então, para onde vamos a partir daqui?

Os contratos inteligentes são novos, e a lei ainda não os alcançou. No momento, as duas coisas mais importantes a considerar são a executabilidade e a jurisdição. Com os contratos inteligentes sendo feitos na blockchain para serviços descentralizados, a lei pode impor suas regras a eles? Houve leis e casos judiciais sobre criptografia, mas os contratos inteligentes não são abordados o suficiente.

Agora, a respeito jurisdiçãoA questão é, como a lei responsabiliza um projeto se houver diferenças na lei? O que é legal nos EUA pode ser ilegal no Reino Unido. Para superar esses problemas, deve haver um quadro regulatório que aborde diretamente a segurança do contrato inteligente. Especialistas em tecnologia blockchain e direito devem colaborar para que um consenso possa ser alcançado.

Ainda há alguma esperança de se agarrar. Em 2023, o número deHackers DeFi diminuíram mais de 50%, se essas regulamentações forem implementadas, haverá ainda menos invasões globais.

Conclusão

Para concluir, os ataques de menta infinito são muito estratégicos e rápidos. Uma vez que um atacante começa, eles podem MINT milhões de tokens em apenas alguns minutos, mas os ataques podem ser evitados se as precauções de segurança certas forem tomadas.

Ainda existem algumas etapas para criar uma estrutura legal adequada para proteger os projetos e seus usuários de ataques de menta infinitos. Por enquanto, os projetos de finanças descentralizadas (DeFi) devem ser extra seguros e vigilantes.