O que é o ataque infinito de cunhagem?
O espaço Web3 é sinônimo de liberdade de instituições centralizadas que desejam se envolver em sua transação. Uma das razões pelas quais essas terceiras partes interferem nas transações centralizadas é pela segurança dos ativos sendo transferidos e das partes envolvidas na transação. Mesmo que o mundo Web3 seja seguro, algumas preocupações de segurança ainda permanecem.
O espaço cripto apresenta novas maneiras de mover ativos, o que virá com novas e criativas maneiras de roubar esses ativos. Os ataques de cunhagem infinita são uma das maneiras mais inovadoras de roubar ativos e perturbar um projeto.
Hackers have used infinite mint attacks to steal millions from crypto projects, some of which projects are still trying to recover. To address this, we need to understand what an infinite mint attack is, how it works, and how we can guard against it.
O que é um ataque infinito de cunhagem?
Os protocolos de finanças descentralizadas (DeFi) são os mais afetados pelos ataques infinitos de cunhagem. Os projetos DeFi usam contratos inteligentes para automatizar a governança, e o contrato inteligente é de código aberto, o que significa que qualquer pessoa pode ver como ele funciona. Se o contrato não for escrito e protegido corretamente, os hackers podem analisá-lo e encontrar facilmente vulnerabilidades para explorar.
Quando os hackers executam um ataque de cunhagem infinita, eles se aproveitam de um erro para adulterar o contrato de um projeto. Eles direcionam especificamente a função de cunhagem do contrato, que controla quantas moedas são cunhadas. Os hackers instruem o contrato a cunhar novos tokens bem acima do limite autorizado, o que desvalorizará o token.
Um ataque infinito de cunhagem é rápido. Os atacantes invadem o sistema, manipulam o contrato, cunham novos tokens e os vendem rapidamente. Normalmente, os tokens são trocados por ativos mais valiosos, como Bitcoin (BTC) ou stablecoins como USDC. Esse processo é repetido tantas vezes em um curto período que, quando o mercado se ajusta, os tokens que eles venderam anteriormente com lucro agora têm pouco valor.
Como funcionam os ataques de cunhagem infinita?
Os hackers são muito cirúrgicos quando realizam um ataque infinito de cunhagem.O ataque é rápido e preciso, e dependendo da congestão da rede e do tempo de resposta da plataforma, um ataque pode acontecer em poucos minutos. Os ataques de cunhagem infinita têm quatro etapas principais, que são:
- Identificação de Vulnerabilidade
Para que um ataque aconteça, tem que haver uma falha (vulnerabilidade) na armadura de um projeto, e os atacantes sabem exatamente onde procurar, o contrato inteligente. Um contrato inteligente é como os projetos descentralizados podem funcionar sem partes intrometidas. Ele executa automaticamente acordos entre duas partes.
Os contratos inteligentes são imutáveis; uma vez acordados, não podem ser alterados. Os hackers aproveitam essa imutabilidade, juntamente com a natureza open-source dos contratos. Como os contratos inteligentes são transparentes, os hackers podem estudá-los para encontrar vulnerabilidades e, em seguida, explorá-las.
- Exploração de vulnerabilidades
Os hackers geralmente procuram vulnerabilidades na função de cunhagem do contrato. Uma vez que encontram uma, eles criam uma transação que fará com que o contrato inteligente ignore as verificações e balanços padrão e, em seguida, cunhe moedas em excesso.
A transação elaborada pode simplesmente estar executando uma função específica, ajustando um parâmetro, ou até mesmo capitalizando uma conexão desconhecida entre diferentes segmentos de código.
- Mineração infinita e despejo
Com o contrato inteligente explorado, os atacantes podem cunhar tantos tokens novos quantos desejarem e depois despejá-los no mercado.
A descarga de tokens acontece rapidamente. O mercado é inundado com novos tokens, e os atacantes normalmente trocam os tokens por stablecoins. Os tokens despejados são seriamente desvalorizados depois que o mercado se ajusta às transações.
- Realização de lucro
Após desvalorizar o token, os atacantes lucram com a última fase de um ataque infinito de cunhagem. Mesmo que a moeda tenha perdido valor, o mercado não se ajusta tão rapidamente quanto o token desvaloriza, de modo que os atacantes trocariam os tokens agora quase sem valor por stablecoins e lucrar à custa dos detentores de tokens.
Os atacantes são criativos nesta etapa. Poderiam lucrar de várias formas, uma das quais é o dumping em bolsa, vendendo-as em alta antes de o mercado reagir ao dumping. Eles também podem arbitrar, comparando diferentes plataformas para encontrar uma onde o preço não foi ajustado e, em seguida, vendendo os tokens lá. Os ataques também podem drenar o pool de liquidez trocando os tokens recém-cunhados por stablecoins no pool.
Fonte: pexels
Exemplos de Ataques Infinitos de Cunhagem
Com a ascensão da Web3, em parte graças ao Bitcoin, também houve um aumento nos ataques; o primeiro notável foi o Ataque ao Mg.Goxem 2011. Desde então, os hacks tornaram-se mais sofisticados; agora, temos hacks como o ataque infinito de cunhagem. Aqui estão alguns exemplos de ataques infinitos de cunhagem:
Ataque ao Protocolo Cover
O protocolo Cover é um projeto DeFi criado para fornecer seguros a outros projetos DeFi em casos de vulnerabilidades de contratos inteligentes, ataques e muito mais. Em dezembro de 2020, foram atingidos por um ataque infinito de cunhagem. O(s) atacante(s) roubaram um milhão de DAI, 1.400 éter e 90 WBTC, totalizando mais de $4 milhões.
O(s) atacante(s) poderiam atacar após manipular o contrato inteligente da Cover para imprimir tokens como recompensa. O bug eles se aproveitaram do uso indevido de memória e armazenamento na linguagem de programação. Com isso, eles foram capazes de cunhar 40 quintiliões de COVERtokens, e em algumas horas, eles poderiam vender até $5 milhões em COVER. Em apenas 24 horas, o valor do token Cover reduzido em 75%.
Algumas horas depois, um hacker de chapéu brancoo Grap Finance alegou responsabilidade pelo ataque através de umX post. O hacker também afirmou que nenhum ganho foi obtido com o ataque e que todos os fundos foram devolvidos à Cover.
Ataque à Rede Paga
A rede paga.) é uma plataforma de finanças descentralizadas (DeFi) feita para facilitar os contratos. Ele automatizaria e quebraria acordos legais e comerciais usando o poder da tecnologia blockchain. No início de 2021, os usuários da rede paga notaram um problema: a rede havia sido atacada. Os atacantes aproveitaram-se de uma vulnerabilidade no contrato de cunhagem. Os atacantes cunharam e bunt tokens. Eles poderiam cunhar milhões de tokens PAGOS e converter 2,5 milhões em ETH antes do ataque terminar.
Os atacantes saíram do PAID com um prejuízo de US$ 180 milhões e 85% de seu valor sumido. Alguns usuários desconfiaram da rede paga e pensaram que o ataque era um rug pull. No entanto, depois que a rede Paid pôde compensar todos os usuários afetados, essas suspeitas foram dissipadas.
Ataque à Ponte BNB
BNB Bridge permite que os usuários façam transferências entre cadeias. Com ele, os usuários podem mover ativos da Binance Beacon Chain para a Binance Smart Chain (BSC). Em Outubro de 2022A Ponte BNB foi atingida por um ataque infinito de cunhagem. Os atacantes aproveitaram uma falha no contrato e cunharam 2 milhões de $BNB; isso totalizou $586 milhões.
Os atacantes conseguiram cunhar o BNB diretamente em suas carteiras. Eles também optaram por não trocar os tokens e não queriam movê-los para fora da Binance. Em vez disso, eles usaram o BNB como garantia para obter um empréstimo que teria sido enviado para uma rede diferente. Felizmente, os validadores da Binance interromperam o hack, mas a smart chain teve que ser desligada por um tempo.
Ataque Ankr
Ankrfoi feito para desenvolver o web3. Ankr é uma infraestrutura baseada em blockchain com capacidades DeFi.Em 2022Foi hackeado. Os hackers obtiveram as chaves privadas desenvolvidas e as usaram para atualizar o contrato inteligente. Isso lhes permitiu cunhar 6 seis quatrilhões de tokens aBNBc, que foram então convertidos em 5 milhões de USDC. Como resultado do ataque, a Ankr perdeu $5 milhões e teve que pausar as retiradas de ANKR na Binance.
Como Prevenir um Ataque Infinito de Cunhagem
Os desenvolvedores de projetos de cripto precisam colocar a segurança no topo de sua lista ao fazer um projeto. A economia descentralizada está mudando diariamente; há muita inovação, mas os hackers também são inovadores. É necessário dar mais ênfase à prevenção em vez de mitigação.
Os desenvolvedores precisam implementar vários passos para evitar hacks como o ataque infinito de cunhagem. Um passo na segurança de contratos inteligentes é realizar uma investigação minuciosa auditoriasCom frequência. Uma auditoria é o processo de verificação do código de um contrato inteligente em busca de vulnerabilidades que podem ser exploradas. Idealmente, essas auditorias não devem ser internas, mas sim realizadas por profissionais de segurança de terceiros confiáveis.
Outro passo é apertar a tampa sobre quem tem acesso aos controlos de cunhagem. Se tiver demasiadas pessoas com acesso, é mais fácil ser infiltrado e explorado. Os projetos também podem empregar um Multi-assinatura Carteira. Ele melhora a segurança porque, com ele, você precisaria de várias chaves privadas para acessar uma conta.
Finalmente, os projetos devem lembrar a importância de monitoramentoecomunicação. Eles devem ter ferramentas de monitoramento de ponta para detectar qualquer irregularidade assim que começarem. Se eles tiverem uma linha de comunicação aberta com as exchanges, outros projetos e a comunidade cripto, eles podem antecipar qualquer ataque e planejar uma defesa.
O futuro da segurança de contratos inteligentes no mundo cripto
Com o surgimento dos contratos inteligentes, também tem que haver algo para orientar o seu uso. Neste caso, estamos mais preocupados com o seu segurança para que os utilizadores não sejam afetados durante uma violação. A primeira coisa que podemos fazer é aconselhar os projetos a serem seguros. Eles podem seguir as etapas listadas no último subtítulo. O problema é que alguns projetos podem não aceitar o conselho, e as leis sobre contratos inteligentes são poucas e distantes entre si. Então, para onde vamos a partir daqui?
Os contratos inteligentes são novos e a lei ainda não os acompanhou. No momento, as duas principais coisas a serem consideradas são a aplicabilidade e a jurisdição. Com contratos inteligentes sendo feitos na blockchain para serviços descentralizados, pode a lei impor as suas regras a eles? Houve leis e casos judiciais sobre criptografia, mas os contratos inteligentes não são suficientemente abordados.
Agora, sobre jurisdição, a questão é, como a lei responsabiliza um projeto se houver diferenças na lei? O que é legal nos EUA pode ser ilegal no Reino Unido. Para superar essas questões, deve haver um quadro regulamentar que aborde diretamente a segurança de contratos inteligentes. Especialistas em tecnologia blockchain e direito devem colaborar para que um consenso possa ser alcançado.
Ainda há alguma esperança para se agarrar. Em 2023 o número de Os ataques DeFi diminuíram mais de 50%, se essas regulamentações forem implementadas, haverá ainda menos hacks em todo o mundo.
Conclusão
Para concluir, os ataques de cunhagem infinita são muito estratégicos e rápidos. Uma vez que um atacante começa, eles podem cunhar milhões de tokens em apenas alguns minutos, mas os ataques podem ser prevenidos se as precauções de segurança certas forem tomadas.
Ainda existem algumas etapas para criar um quadro legal adequado para proteger os projetos e seus usuários de ataques infinitos de cunhagem. Por enquanto, os projetos de finanças descentralizadas (DeFi) devem ser extra seguros e vigilantes.
Artigos relacionados
Como Aposta ETH
Utilização de Bitcoin (BTC) em El Salvador - Análise do Estado Atual
O que é o Gate Pay?
O que é o ataque infinito de cunhagem?
O que é um Ataque de Cunhagem Infinita?
Como funcionam os ataques de cunhagem infinita?
Exemplos de Ataques Infinitos de Cunhagem
Como prevenir um ataque infinito de cunhagem
O Futuro da Segurança de Contratos Inteligentes no Mundo Cripto
Conclusão
O espaço Web3 é sinônimo de liberdade de instituições centralizadas que desejam se envolver em sua transação. Uma das razões pelas quais essas terceiras partes interferem nas transações centralizadas é pela segurança dos ativos sendo transferidos e das partes envolvidas na transação. Mesmo que o mundo Web3 seja seguro, algumas preocupações de segurança ainda permanecem.
O espaço cripto apresenta novas maneiras de mover ativos, o que virá com novas e criativas maneiras de roubar esses ativos. Os ataques de cunhagem infinita são uma das maneiras mais inovadoras de roubar ativos e perturbar um projeto.
Hackers have used infinite mint attacks to steal millions from crypto projects, some of which projects are still trying to recover. To address this, we need to understand what an infinite mint attack is, how it works, and how we can guard against it.
O que é um ataque infinito de cunhagem?
Os protocolos de finanças descentralizadas (DeFi) são os mais afetados pelos ataques infinitos de cunhagem. Os projetos DeFi usam contratos inteligentes para automatizar a governança, e o contrato inteligente é de código aberto, o que significa que qualquer pessoa pode ver como ele funciona. Se o contrato não for escrito e protegido corretamente, os hackers podem analisá-lo e encontrar facilmente vulnerabilidades para explorar.
Quando os hackers executam um ataque de cunhagem infinita, eles se aproveitam de um erro para adulterar o contrato de um projeto. Eles direcionam especificamente a função de cunhagem do contrato, que controla quantas moedas são cunhadas. Os hackers instruem o contrato a cunhar novos tokens bem acima do limite autorizado, o que desvalorizará o token.
Um ataque infinito de cunhagem é rápido. Os atacantes invadem o sistema, manipulam o contrato, cunham novos tokens e os vendem rapidamente. Normalmente, os tokens são trocados por ativos mais valiosos, como Bitcoin (BTC) ou stablecoins como USDC. Esse processo é repetido tantas vezes em um curto período que, quando o mercado se ajusta, os tokens que eles venderam anteriormente com lucro agora têm pouco valor.
Como funcionam os ataques de cunhagem infinita?
Os hackers são muito cirúrgicos quando realizam um ataque infinito de cunhagem.O ataque é rápido e preciso, e dependendo da congestão da rede e do tempo de resposta da plataforma, um ataque pode acontecer em poucos minutos. Os ataques de cunhagem infinita têm quatro etapas principais, que são:
- Identificação de Vulnerabilidade
Para que um ataque aconteça, tem que haver uma falha (vulnerabilidade) na armadura de um projeto, e os atacantes sabem exatamente onde procurar, o contrato inteligente. Um contrato inteligente é como os projetos descentralizados podem funcionar sem partes intrometidas. Ele executa automaticamente acordos entre duas partes.
Os contratos inteligentes são imutáveis; uma vez acordados, não podem ser alterados. Os hackers aproveitam essa imutabilidade, juntamente com a natureza open-source dos contratos. Como os contratos inteligentes são transparentes, os hackers podem estudá-los para encontrar vulnerabilidades e, em seguida, explorá-las.
- Exploração de vulnerabilidades
Os hackers geralmente procuram vulnerabilidades na função de cunhagem do contrato. Uma vez que encontram uma, eles criam uma transação que fará com que o contrato inteligente ignore as verificações e balanços padrão e, em seguida, cunhe moedas em excesso.
A transação elaborada pode simplesmente estar executando uma função específica, ajustando um parâmetro, ou até mesmo capitalizando uma conexão desconhecida entre diferentes segmentos de código.
- Mineração infinita e despejo
Com o contrato inteligente explorado, os atacantes podem cunhar tantos tokens novos quantos desejarem e depois despejá-los no mercado.
A descarga de tokens acontece rapidamente. O mercado é inundado com novos tokens, e os atacantes normalmente trocam os tokens por stablecoins. Os tokens despejados são seriamente desvalorizados depois que o mercado se ajusta às transações.
- Realização de lucro
Após desvalorizar o token, os atacantes lucram com a última fase de um ataque infinito de cunhagem. Mesmo que a moeda tenha perdido valor, o mercado não se ajusta tão rapidamente quanto o token desvaloriza, de modo que os atacantes trocariam os tokens agora quase sem valor por stablecoins e lucrar à custa dos detentores de tokens.
Os atacantes são criativos nesta etapa. Poderiam lucrar de várias formas, uma das quais é o dumping em bolsa, vendendo-as em alta antes de o mercado reagir ao dumping. Eles também podem arbitrar, comparando diferentes plataformas para encontrar uma onde o preço não foi ajustado e, em seguida, vendendo os tokens lá. Os ataques também podem drenar o pool de liquidez trocando os tokens recém-cunhados por stablecoins no pool.
Fonte: pexels
Exemplos de Ataques Infinitos de Cunhagem
Com a ascensão da Web3, em parte graças ao Bitcoin, também houve um aumento nos ataques; o primeiro notável foi o Ataque ao Mg.Goxem 2011. Desde então, os hacks tornaram-se mais sofisticados; agora, temos hacks como o ataque infinito de cunhagem. Aqui estão alguns exemplos de ataques infinitos de cunhagem:
Ataque ao Protocolo Cover
O protocolo Cover é um projeto DeFi criado para fornecer seguros a outros projetos DeFi em casos de vulnerabilidades de contratos inteligentes, ataques e muito mais. Em dezembro de 2020, foram atingidos por um ataque infinito de cunhagem. O(s) atacante(s) roubaram um milhão de DAI, 1.400 éter e 90 WBTC, totalizando mais de $4 milhões.
O(s) atacante(s) poderiam atacar após manipular o contrato inteligente da Cover para imprimir tokens como recompensa. O bug eles se aproveitaram do uso indevido de memória e armazenamento na linguagem de programação. Com isso, eles foram capazes de cunhar 40 quintiliões de COVERtokens, e em algumas horas, eles poderiam vender até $5 milhões em COVER. Em apenas 24 horas, o valor do token Cover reduzido em 75%.
Algumas horas depois, um hacker de chapéu brancoo Grap Finance alegou responsabilidade pelo ataque através de umX post. O hacker também afirmou que nenhum ganho foi obtido com o ataque e que todos os fundos foram devolvidos à Cover.
Ataque à Rede Paga
A rede paga.) é uma plataforma de finanças descentralizadas (DeFi) feita para facilitar os contratos. Ele automatizaria e quebraria acordos legais e comerciais usando o poder da tecnologia blockchain. No início de 2021, os usuários da rede paga notaram um problema: a rede havia sido atacada. Os atacantes aproveitaram-se de uma vulnerabilidade no contrato de cunhagem. Os atacantes cunharam e bunt tokens. Eles poderiam cunhar milhões de tokens PAGOS e converter 2,5 milhões em ETH antes do ataque terminar.
Os atacantes saíram do PAID com um prejuízo de US$ 180 milhões e 85% de seu valor sumido. Alguns usuários desconfiaram da rede paga e pensaram que o ataque era um rug pull. No entanto, depois que a rede Paid pôde compensar todos os usuários afetados, essas suspeitas foram dissipadas.
Ataque à Ponte BNB
BNB Bridge permite que os usuários façam transferências entre cadeias. Com ele, os usuários podem mover ativos da Binance Beacon Chain para a Binance Smart Chain (BSC). Em Outubro de 2022A Ponte BNB foi atingida por um ataque infinito de cunhagem. Os atacantes aproveitaram uma falha no contrato e cunharam 2 milhões de $BNB; isso totalizou $586 milhões.
Os atacantes conseguiram cunhar o BNB diretamente em suas carteiras. Eles também optaram por não trocar os tokens e não queriam movê-los para fora da Binance. Em vez disso, eles usaram o BNB como garantia para obter um empréstimo que teria sido enviado para uma rede diferente. Felizmente, os validadores da Binance interromperam o hack, mas a smart chain teve que ser desligada por um tempo.
Ataque Ankr
Ankrfoi feito para desenvolver o web3. Ankr é uma infraestrutura baseada em blockchain com capacidades DeFi.Em 2022Foi hackeado. Os hackers obtiveram as chaves privadas desenvolvidas e as usaram para atualizar o contrato inteligente. Isso lhes permitiu cunhar 6 seis quatrilhões de tokens aBNBc, que foram então convertidos em 5 milhões de USDC. Como resultado do ataque, a Ankr perdeu $5 milhões e teve que pausar as retiradas de ANKR na Binance.
Como Prevenir um Ataque Infinito de Cunhagem
Os desenvolvedores de projetos de cripto precisam colocar a segurança no topo de sua lista ao fazer um projeto. A economia descentralizada está mudando diariamente; há muita inovação, mas os hackers também são inovadores. É necessário dar mais ênfase à prevenção em vez de mitigação.
Os desenvolvedores precisam implementar vários passos para evitar hacks como o ataque infinito de cunhagem. Um passo na segurança de contratos inteligentes é realizar uma investigação minuciosa auditoriasCom frequência. Uma auditoria é o processo de verificação do código de um contrato inteligente em busca de vulnerabilidades que podem ser exploradas. Idealmente, essas auditorias não devem ser internas, mas sim realizadas por profissionais de segurança de terceiros confiáveis.
Outro passo é apertar a tampa sobre quem tem acesso aos controlos de cunhagem. Se tiver demasiadas pessoas com acesso, é mais fácil ser infiltrado e explorado. Os projetos também podem empregar um Multi-assinatura Carteira. Ele melhora a segurança porque, com ele, você precisaria de várias chaves privadas para acessar uma conta.
Finalmente, os projetos devem lembrar a importância de monitoramentoecomunicação. Eles devem ter ferramentas de monitoramento de ponta para detectar qualquer irregularidade assim que começarem. Se eles tiverem uma linha de comunicação aberta com as exchanges, outros projetos e a comunidade cripto, eles podem antecipar qualquer ataque e planejar uma defesa.
O futuro da segurança de contratos inteligentes no mundo cripto
Com o surgimento dos contratos inteligentes, também tem que haver algo para orientar o seu uso. Neste caso, estamos mais preocupados com o seu segurança para que os utilizadores não sejam afetados durante uma violação. A primeira coisa que podemos fazer é aconselhar os projetos a serem seguros. Eles podem seguir as etapas listadas no último subtítulo. O problema é que alguns projetos podem não aceitar o conselho, e as leis sobre contratos inteligentes são poucas e distantes entre si. Então, para onde vamos a partir daqui?
Os contratos inteligentes são novos e a lei ainda não os acompanhou. No momento, as duas principais coisas a serem consideradas são a aplicabilidade e a jurisdição. Com contratos inteligentes sendo feitos na blockchain para serviços descentralizados, pode a lei impor as suas regras a eles? Houve leis e casos judiciais sobre criptografia, mas os contratos inteligentes não são suficientemente abordados.
Agora, sobre jurisdição, a questão é, como a lei responsabiliza um projeto se houver diferenças na lei? O que é legal nos EUA pode ser ilegal no Reino Unido. Para superar essas questões, deve haver um quadro regulamentar que aborde diretamente a segurança de contratos inteligentes. Especialistas em tecnologia blockchain e direito devem colaborar para que um consenso possa ser alcançado.
Ainda há alguma esperança para se agarrar. Em 2023 o número de Os ataques DeFi diminuíram mais de 50%, se essas regulamentações forem implementadas, haverá ainda menos hacks em todo o mundo.
Conclusão
Para concluir, os ataques de cunhagem infinita são muito estratégicos e rápidos. Uma vez que um atacante começa, eles podem cunhar milhões de tokens em apenas alguns minutos, mas os ataques podem ser prevenidos se as precauções de segurança certas forem tomadas.
Ainda existem algumas etapas para criar um quadro legal adequado para proteger os projetos e seus usuários de ataques infinitos de cunhagem. Por enquanto, os projetos de finanças descentralizadas (DeFi) devem ser extra seguros e vigilantes.
Artigos relacionados
Como Aposta ETH
Utilização de Bitcoin (BTC) em El Salvador - Análise do Estado Atual