Что такое атака бесконечного минтинга?
Пространство Web3 синонимично свободе от централизованных институтов, которые хотят участвовать в вашей транзакции. Одна из причин, по которой эти сторонние лица вмешиваются в централизованные транзакции, это безопасность передаваемых активов и сторон, участвующих в транзакции. Несмотря на то, что мир Web3 является безопасным, некоторые проблемы безопасности остаются.
Криптовалютное пространство предлагает новые способы перемещения активов, что приведёт к появлению новых и креативных способов кражи этих активов. Атаки бесконечного минтинга являются одним из более инновационных способов кражи активов и нарушения проекта.
Хакеры использовали атаки бесконечного минтинга для кражи миллионов из криптопроектов, некоторые из которых до сих пор пытаются восстановиться. Чтобы решить эту проблему, нам нужно понять, что такое атака бесконечного минтинга, как она работает и как мы можем защититься от нее.
Что такое атака бесконечного минтинга?
Протоколы децентрализованной финансовой (DeFi) являются наиболее подверженными атакам бесконечного минтинга. Проекты DeFi используют смарт-контракты для автоматизации управления, а смарт-контракт открытый исходный код, что означает, что любой может увидеть, как он работает. Если контракт не написан и не защищен должным образом, хакеры могут просмотреть его и легко найти уязвимости для эксплуатации.
Когда хакеры осуществляют атаку бесконечного минтинга, они используют ошибку, чтобы повлиять на контракт проекта. Они специально нацеливаются на функцию минтинга контракта, которая контролирует количество монет, которые создаются. Хакеры указывают контракту создавать новые токены значительно превышающее утвержденный лимит, что приведет к девальвации токена.
Атака бесконечного минтинга происходит быстро. Злоумышленники взламывают систему, манипулируют контрактом, создают новые токены и быстро их продают. Обычно токены обмениваются на более ценные активы, такие как Bitcoin (BTC) или стабильные монеты, например USDC. Этот процесс повторяется так часто в короткий период времени, что к моменту корректировки рынка токены, которые они ранее продали с прибылью, теперь ничего не стоят.
Как работают атаки бесконечного минтинга?
Хакеры очень хирургически выполняют атаку бесконечного майнтинга.Атака быстрая и точная, и в зависимости от загруженности сети и времени ответа платформы, атака может произойти в течение нескольких минут. Атаки бесконечного минтинга имеют четыре основных этапа, они:
- Выявление уязвимости
Для того, чтобы атака произошла, в броне проекта должна быть брешь (уязвимость), и злоумышленники точно знают, где ее проверить, — смарт-контракт. Смарт-контракт — это то, как децентрализованные проекты могут функционировать без назойливых 3-х сторон. Он автоматически обеспечивает соблюдение соглашений между двумя сторонами.
Смарт-контракты неизменны; однажды согласованные, они не могут быть изменены. Хакеры используют эту неизменность вместе с открытым исходным кодом контрактов. Поскольку смарт-контракты прозрачны, хакеры могут изучать их, чтобы найти уязвимости, а затем эксплуатировать их.
- Эксплуатация уязвимостей
Хакеры обычно ищут уязвимости в функции монетизации контракта. Как только они находят одну, они создают транзакцию, которая заставляет умный контракт обойти стандартные проверки и балансы, а затем добывает избыточные монеты.
Созданная транзакция может просто выполнять определенную функцию, настраивать параметр или даже использовать неизвестное взаимодействие между различными сегментами кода.
- Атака бесконечного майнинга и дампинга
При использовании уязвимости смарт-контракта злоумышленники могут создавать столько новых токенов, сколько им захочется, а затем сбрасывать их на рынок.
Выпродажа токенов происходит быстро. Рынок затоплен новыми токенами, и злоумышленники обычно обменивают токены на стейблкоины. Выброшенные токены серьезно обесцениваются после того, как рынок приспособится к транзакциям.
- Реализация прибыли
После обесценивания токена злоумышленники извлекают прибыль из последней стадии атаки бесконечного минтинга. Несмотря на то, что монета потеряла в цене, рынок не реагирует настолько быстро, как обесценивается токен, поэтому злоумышленники обменивают теперь почти безценные токены на стейблкоины иприбыль за счет держателей токенов.
Злоумышленники проявляют креативность на этом этапе. Они могут получить прибыль несколькими способами, одним из которых является продажа их на биржах, высокая цена перед реакцией рынка на продажу. Они также могут арбитражировать, сравнивая разные платформы, чтобы найти ту, где цена не скорректировалась, а затем продавать токены там. Атаки также могут опустошить пул ликвидности, обменивая только что выпущенные токены на стейблкоины в пуле.
Источник: pexels
Примеры атак бесконечного минтинга
С появлением Web3, благодаря в частности Биткоину, также произошло увеличение атак; первой заметной стала Взлом Mg.Goxв 2011 году. С тех пор хакеры стали более изощренными; сейчас у нас есть атаки, такие как атака бесконечного минтинга. Вот несколько примеров атак бесконечного минтинга:
Атака на протокол Cover
Протокол Cover - это проект DeFi, созданный для предоставления страхования другим проектам DeFi в случае уязвимостей смарт-контрактов, атак и т.д. В декабре 2020 года на них была совершена атака бесконечного минтинга. Атакующий(ие) украли один миллион DAI, 1 400 эфиров и 90 WBTC, что составило более 4 миллионов долларов.
Атакующий(ие) могли бы атаковать после манипулирования смарт-контрактом Cover, чтобы напечатать токены в качестве вознаграждения. клопони воспользовались проблемой, связанной с неправильным использованием памяти и хранилища в языке программирования. Благодаря этому им удалось создать 40 квинтиллионов COVERтокены, и в течение нескольких часов они могли бы продать до $5 миллионов в COVER. За всего 24 часа стоимость токена Coverснизился на 75%.
Через несколько часов, белый хакер Ответственность за атаку взяла на себя компания Grap Finance. X постХакер также заявил, что атака не принесла прибыли, и что все средства были возвращены Cover.
Атака на сеть Paid
Платформа Paid) - это децентрализованная финансовая (DeFi) платформа, созданная для упрощения контрактов. Она автоматизирует и разбирает юридические и деловые соглашения с использованием силы технологии блокчейна. В начале 2021 года пользователи сети Paid обнаружили проблему: сеть была атакована. Атакующие использовали уязвимость в контракте на монетизацию. Атакующие монетизировали и сжигали токены. Они могли создавать миллионы токенов PAID и конвертировали 2,5 миллиона в ETH до окончания атаки.
Злоумышленники покинули PAID с убытком в размере 180 миллионов долларов и потеряли 85% его стоимости. Некоторые пользователи с подозрением отнеслись к платной сети и подумали, что атака была rug pull. Однако, после того, как сеть Paid смогла компенсировать всех пострадавших пользователей, подозрения были развеяны.
Атака на мост BNB
Мост BNBпозволяет пользователям осуществлять кросс-цепные трансферы. С его помощью пользователи могут перемещать активы с цепи Binance Beacon на цепь Binance Smart Chain (BSC). В Октябрь 2022Мост BNB был атакован бесконечным минтингом. Злоумышленники воспользовались ошибкой в контракте и выпустили 2 миллиона $BNB, что составило $586 миллионов.
Атакующие смогли производить минтинг BNB прямо в своих кошельках. Они также решили не менять токены и не перемещать их из Binance. Вместо этого они использовали BNB в качестве залога, чтобы получить кредит, который должен был быть отправлен на другую сеть. К счастью, валидаторы Binance остановили хакерскую атаку, но смарт-чейн пришлось временно остановить.
Атака Ankr
Ankrбыл создан для развития web3. Ankr - это блокчейн-инфраструктура с возможностями DeFi.В 2022 году, его взломали. Хакеры завладели разработанными приватными ключами и обработали их для обновления смарт-контракта. Это позволило им отчеканить 6 квадриллионов токенов aBNBc, которые затем были конвертированы в 5 миллионов USDC. В результате атаки Ankr потерял $5 млн и был вынужден приостановить вывод ANKR на Binance.
Как предотвратить атаку бесконечного минтинга
Разработчикам криптопроектов необходимо ставить безопасность на первое место при создании проекта. Децентрализованная экономика меняется ежедневно; Есть много инноваций, но хакеры не менее изобретательны. Необходимо уделять больше внимания профилактике, а не смягчению последствий.
Разработчикам необходимо выполнить несколько шагов, чтобы предотвратить взломы, такие как атака бесконечного минтинга. Один из шагов в обеспечении безопасности смарт-контрактов - провести тщательное аудиты часто. Аудит — это процесс проверки кода смарт-контракта на наличие уязвимостей, которые могут быть использованы. В идеале эти аудиты должны быть не внутренними, а проводиться доверенными сторонними специалистами по безопасности.
Еще одним шагом является ужесточение контроля за доступом к управлению монеткой. Если у вас слишком много людей имеют доступ, это легче подвергнуться инфильтрации и эксплуатации. Проекты также могут применять мультиподписькошелек. Он повышает безопасность, потому что для доступа к учетной записи вам потребуются несколько частных ключей.
Наконец, проекты должны помнить о важностиконтрольикоммуникация. У них должны быть современные инструменты мониторинга, чтобы замечать любые аномалии сразу после их возникновения. Если у них есть открытая линия связи с биржами, другими проектами и криптосообществом, они могут предвидеть любую атаку и планировать защиту.
Будущее безопасности умных контрактов в крипто-мире
С появлением смарт-контрактов должно быть что-то, что будет руководить их использованием. В данном случае нас больше интересует егобезопасность чтобы пользователи не пострадали во время взлома. Первое, что мы можем сделать, это посоветовать проектам быть безопасными. Они могут выполнить шаги, перечисленные в последнем подзаголовке. Проблема в том, что некоторые проекты могут не прислушиваться к советам, а законов о смарт-контрактах очень мало. Итак, что же нам делать дальше?
Умные контракты - это новое явление, и законодательство еще не успело за ними. Прямо сейчас две главные вещи, которые необходимо учитывать - это принудительность исполнения и юрисдикция. Учитывая, что умные контракты создаются на блокчейне для децентрализованных услуг, Может ли закон принудительно применять свои правила к ним? На криптовалюту уже существуют законы и судебные решения, но недостаточно обращается внимание на умные контракты.
Теперь, что касаетсяюрисдикциявопрос в том, как закон держит проект ответственным, если есть различия в законодательстве? То, что является законным в США, может быть незаконным в Великобритании. Чтобы преодолеть эти проблемы, должна быть регуляторная рамка, которая полностью решает вопросы безопасности смарт-контрактов. Эксперты в области блокчейн-технологии и права должны сотрудничать, чтобы достичь согласия.
Есть еще некоторая надежда удержаться. В 2023 году количество Хакерские атаки на DeFi уменьшились более чем на 50%, если эти правила будут введены, то количество хакерских атак по всему миру станет еще меньше.
Заключение
В заключение, атаки бесконечного минтинга являются очень стратегическими и быстрыми. Как только злоумышленник начинает, он может создать миллионы токенов всего за несколько минут, но атаки можно предотвратить, если принять соответствующие меры безопасности.
Некоторые шаги до сих пор существуют для создания правильной правовой основы для защиты проектов и их пользователей от атак бесконечного минтинга. На данный момент проекты децентрализованной финансовой (DeFi) должны быть особенно безопасными и бдительными.
Статьи по теме
Что такое Tronscan и как Вы можете его использовать?
Как сделать ставку на ETH?
Что такое Neiro? Все, что вам нужно знать о NEIROETH
Что такое атака бесконечного минтинга?
Что такое атака бесконечного минтинга?
Как работают атаки бесконечного минтинга?
Примеры атак бесконечного минтинга
Как предотвратить атаку бесконечного минтинга
Будущее безопасности смарт-контрактов в мире криптовалют
Заключение
Пространство Web3 синонимично свободе от централизованных институтов, которые хотят участвовать в вашей транзакции. Одна из причин, по которой эти сторонние лица вмешиваются в централизованные транзакции, это безопасность передаваемых активов и сторон, участвующих в транзакции. Несмотря на то, что мир Web3 является безопасным, некоторые проблемы безопасности остаются.
Криптовалютное пространство предлагает новые способы перемещения активов, что приведёт к появлению новых и креативных способов кражи этих активов. Атаки бесконечного минтинга являются одним из более инновационных способов кражи активов и нарушения проекта.
Хакеры использовали атаки бесконечного минтинга для кражи миллионов из криптопроектов, некоторые из которых до сих пор пытаются восстановиться. Чтобы решить эту проблему, нам нужно понять, что такое атака бесконечного минтинга, как она работает и как мы можем защититься от нее.
Что такое атака бесконечного минтинга?
Протоколы децентрализованной финансовой (DeFi) являются наиболее подверженными атакам бесконечного минтинга. Проекты DeFi используют смарт-контракты для автоматизации управления, а смарт-контракт открытый исходный код, что означает, что любой может увидеть, как он работает. Если контракт не написан и не защищен должным образом, хакеры могут просмотреть его и легко найти уязвимости для эксплуатации.
Когда хакеры осуществляют атаку бесконечного минтинга, они используют ошибку, чтобы повлиять на контракт проекта. Они специально нацеливаются на функцию минтинга контракта, которая контролирует количество монет, которые создаются. Хакеры указывают контракту создавать новые токены значительно превышающее утвержденный лимит, что приведет к девальвации токена.
Атака бесконечного минтинга происходит быстро. Злоумышленники взламывают систему, манипулируют контрактом, создают новые токены и быстро их продают. Обычно токены обмениваются на более ценные активы, такие как Bitcoin (BTC) или стабильные монеты, например USDC. Этот процесс повторяется так часто в короткий период времени, что к моменту корректировки рынка токены, которые они ранее продали с прибылью, теперь ничего не стоят.
Как работают атаки бесконечного минтинга?
Хакеры очень хирургически выполняют атаку бесконечного майнтинга.Атака быстрая и точная, и в зависимости от загруженности сети и времени ответа платформы, атака может произойти в течение нескольких минут. Атаки бесконечного минтинга имеют четыре основных этапа, они:
- Выявление уязвимости
Для того, чтобы атака произошла, в броне проекта должна быть брешь (уязвимость), и злоумышленники точно знают, где ее проверить, — смарт-контракт. Смарт-контракт — это то, как децентрализованные проекты могут функционировать без назойливых 3-х сторон. Он автоматически обеспечивает соблюдение соглашений между двумя сторонами.
Смарт-контракты неизменны; однажды согласованные, они не могут быть изменены. Хакеры используют эту неизменность вместе с открытым исходным кодом контрактов. Поскольку смарт-контракты прозрачны, хакеры могут изучать их, чтобы найти уязвимости, а затем эксплуатировать их.
- Эксплуатация уязвимостей
Хакеры обычно ищут уязвимости в функции монетизации контракта. Как только они находят одну, они создают транзакцию, которая заставляет умный контракт обойти стандартные проверки и балансы, а затем добывает избыточные монеты.
Созданная транзакция может просто выполнять определенную функцию, настраивать параметр или даже использовать неизвестное взаимодействие между различными сегментами кода.
- Атака бесконечного майнинга и дампинга
При использовании уязвимости смарт-контракта злоумышленники могут создавать столько новых токенов, сколько им захочется, а затем сбрасывать их на рынок.
Выпродажа токенов происходит быстро. Рынок затоплен новыми токенами, и злоумышленники обычно обменивают токены на стейблкоины. Выброшенные токены серьезно обесцениваются после того, как рынок приспособится к транзакциям.
- Реализация прибыли
После обесценивания токена злоумышленники извлекают прибыль из последней стадии атаки бесконечного минтинга. Несмотря на то, что монета потеряла в цене, рынок не реагирует настолько быстро, как обесценивается токен, поэтому злоумышленники обменивают теперь почти безценные токены на стейблкоины иприбыль за счет держателей токенов.
Злоумышленники проявляют креативность на этом этапе. Они могут получить прибыль несколькими способами, одним из которых является продажа их на биржах, высокая цена перед реакцией рынка на продажу. Они также могут арбитражировать, сравнивая разные платформы, чтобы найти ту, где цена не скорректировалась, а затем продавать токены там. Атаки также могут опустошить пул ликвидности, обменивая только что выпущенные токены на стейблкоины в пуле.
Источник: pexels
Примеры атак бесконечного минтинга
С появлением Web3, благодаря в частности Биткоину, также произошло увеличение атак; первой заметной стала Взлом Mg.Goxв 2011 году. С тех пор хакеры стали более изощренными; сейчас у нас есть атаки, такие как атака бесконечного минтинга. Вот несколько примеров атак бесконечного минтинга:
Атака на протокол Cover
Протокол Cover - это проект DeFi, созданный для предоставления страхования другим проектам DeFi в случае уязвимостей смарт-контрактов, атак и т.д. В декабре 2020 года на них была совершена атака бесконечного минтинга. Атакующий(ие) украли один миллион DAI, 1 400 эфиров и 90 WBTC, что составило более 4 миллионов долларов.
Атакующий(ие) могли бы атаковать после манипулирования смарт-контрактом Cover, чтобы напечатать токены в качестве вознаграждения. клопони воспользовались проблемой, связанной с неправильным использованием памяти и хранилища в языке программирования. Благодаря этому им удалось создать 40 квинтиллионов COVERтокены, и в течение нескольких часов они могли бы продать до $5 миллионов в COVER. За всего 24 часа стоимость токена Coverснизился на 75%.
Через несколько часов, белый хакер Ответственность за атаку взяла на себя компания Grap Finance. X постХакер также заявил, что атака не принесла прибыли, и что все средства были возвращены Cover.
Атака на сеть Paid
Платформа Paid) - это децентрализованная финансовая (DeFi) платформа, созданная для упрощения контрактов. Она автоматизирует и разбирает юридические и деловые соглашения с использованием силы технологии блокчейна. В начале 2021 года пользователи сети Paid обнаружили проблему: сеть была атакована. Атакующие использовали уязвимость в контракте на монетизацию. Атакующие монетизировали и сжигали токены. Они могли создавать миллионы токенов PAID и конвертировали 2,5 миллиона в ETH до окончания атаки.
Злоумышленники покинули PAID с убытком в размере 180 миллионов долларов и потеряли 85% его стоимости. Некоторые пользователи с подозрением отнеслись к платной сети и подумали, что атака была rug pull. Однако, после того, как сеть Paid смогла компенсировать всех пострадавших пользователей, подозрения были развеяны.
Атака на мост BNB
Мост BNBпозволяет пользователям осуществлять кросс-цепные трансферы. С его помощью пользователи могут перемещать активы с цепи Binance Beacon на цепь Binance Smart Chain (BSC). В Октябрь 2022Мост BNB был атакован бесконечным минтингом. Злоумышленники воспользовались ошибкой в контракте и выпустили 2 миллиона $BNB, что составило $586 миллионов.
Атакующие смогли производить минтинг BNB прямо в своих кошельках. Они также решили не менять токены и не перемещать их из Binance. Вместо этого они использовали BNB в качестве залога, чтобы получить кредит, который должен был быть отправлен на другую сеть. К счастью, валидаторы Binance остановили хакерскую атаку, но смарт-чейн пришлось временно остановить.
Атака Ankr
Ankrбыл создан для развития web3. Ankr - это блокчейн-инфраструктура с возможностями DeFi.В 2022 году, его взломали. Хакеры завладели разработанными приватными ключами и обработали их для обновления смарт-контракта. Это позволило им отчеканить 6 квадриллионов токенов aBNBc, которые затем были конвертированы в 5 миллионов USDC. В результате атаки Ankr потерял $5 млн и был вынужден приостановить вывод ANKR на Binance.
Как предотвратить атаку бесконечного минтинга
Разработчикам криптопроектов необходимо ставить безопасность на первое место при создании проекта. Децентрализованная экономика меняется ежедневно; Есть много инноваций, но хакеры не менее изобретательны. Необходимо уделять больше внимания профилактике, а не смягчению последствий.
Разработчикам необходимо выполнить несколько шагов, чтобы предотвратить взломы, такие как атака бесконечного минтинга. Один из шагов в обеспечении безопасности смарт-контрактов - провести тщательное аудиты часто. Аудит — это процесс проверки кода смарт-контракта на наличие уязвимостей, которые могут быть использованы. В идеале эти аудиты должны быть не внутренними, а проводиться доверенными сторонними специалистами по безопасности.
Еще одним шагом является ужесточение контроля за доступом к управлению монеткой. Если у вас слишком много людей имеют доступ, это легче подвергнуться инфильтрации и эксплуатации. Проекты также могут применять мультиподписькошелек. Он повышает безопасность, потому что для доступа к учетной записи вам потребуются несколько частных ключей.
Наконец, проекты должны помнить о важностиконтрольикоммуникация. У них должны быть современные инструменты мониторинга, чтобы замечать любые аномалии сразу после их возникновения. Если у них есть открытая линия связи с биржами, другими проектами и криптосообществом, они могут предвидеть любую атаку и планировать защиту.
Будущее безопасности умных контрактов в крипто-мире
С появлением смарт-контрактов должно быть что-то, что будет руководить их использованием. В данном случае нас больше интересует егобезопасность чтобы пользователи не пострадали во время взлома. Первое, что мы можем сделать, это посоветовать проектам быть безопасными. Они могут выполнить шаги, перечисленные в последнем подзаголовке. Проблема в том, что некоторые проекты могут не прислушиваться к советам, а законов о смарт-контрактах очень мало. Итак, что же нам делать дальше?
Умные контракты - это новое явление, и законодательство еще не успело за ними. Прямо сейчас две главные вещи, которые необходимо учитывать - это принудительность исполнения и юрисдикция. Учитывая, что умные контракты создаются на блокчейне для децентрализованных услуг, Может ли закон принудительно применять свои правила к ним? На криптовалюту уже существуют законы и судебные решения, но недостаточно обращается внимание на умные контракты.
Теперь, что касаетсяюрисдикциявопрос в том, как закон держит проект ответственным, если есть различия в законодательстве? То, что является законным в США, может быть незаконным в Великобритании. Чтобы преодолеть эти проблемы, должна быть регуляторная рамка, которая полностью решает вопросы безопасности смарт-контрактов. Эксперты в области блокчейн-технологии и права должны сотрудничать, чтобы достичь согласия.
Есть еще некоторая надежда удержаться. В 2023 году количество Хакерские атаки на DeFi уменьшились более чем на 50%, если эти правила будут введены, то количество хакерских атак по всему миру станет еще меньше.
Заключение
В заключение, атаки бесконечного минтинга являются очень стратегическими и быстрыми. Как только злоумышленник начинает, он может создать миллионы токенов всего за несколько минут, но атаки можно предотвратить, если принять соответствующие меры безопасности.
Некоторые шаги до сих пор существуют для создания правильной правовой основы для защиты проектов и их пользователей от атак бесконечного минтинга. На данный момент проекты децентрализованной финансовой (DeFi) должны быть особенно безопасными и бдительными.
Статьи по теме
Что такое Tronscan и как Вы можете его использовать?
Как сделать ставку на ETH?