Không gian Web3 đồng nghĩa với sự tự do khỏi các tổ chức tập trung muốn tham gia vào giao dịch của bạn. Một lý do mà những bên thứ ba này can thiệp vào các giao dịch tập trung là vì an toàn của tài sản được chuyển giao và các bên tham gia trong giao dịch. Mặc dù thế giới Web3 là an toàn, nhưng vẫn còn một số vấn đề về an toàn.

Khoảng thời gian tiền điện tử giới thiệu cách mới để di chuyển tài sản, điều này sẽ đi kèm với cách mới và sáng tạo để đánh cắp những tài sản này. Cuộc tấn công đúc tiền vô hạn là một trong những cách sáng tạo hơn để đánh cắp tài sản và làm gián đoạn dự án.

Những kẻ tấn công đã sử dụng cuộc tấn công đúc tiền vô hạn để đánh cắp hàng triệu đồng từ các dự án tiền điện tử, trong đó một số dự án vẫn đang cố gắng phục hồi. Để giải quyết vấn đề này, chúng ta cần hiểu rõ những gì là cuộc tấn công đúc tiền vô hạn, cách nó hoạt động và cách chúng ta có thể bảo vệ chống lại nó.

Cuộc tấn công đúc tiền vô hạn là gì?

Các giao protocal tài chính phi tập trung (DeFi) chịu ảnh hưởng nhiều nhất từ cuộc tấn công đúc tiền vô hạn. Các dự án DeFi sử dụng hợp đồng thông minh để tự động hóa quản trị, và hợp đồng thông minh là mã nguồn mở, có nghĩa là bất kỳ ai cũng có thể xem cách hoạt động của nó. Nếu hợp đồng không được viết và bảo mật đúng cách, hacker có thể xem xét nó và dễ dàng tìm thấy lỗ hổng để khai thác.

Khi hacker thực hiện một cuộc tấn công đúc tiền vô hạn, họ tận dụng một lỗi để phá hoại hợp đồng của dự án. Họ đặc biệt nhắm vào chức năng đúc tiền của hợp đồng, điều khiển số lượng coin được đúc. Hacker yêu cầu hợp đồng đúc ra các token mới vượt quá giới hạn được ủy quyền, điều này sẽ làm giảm giá trị của token.

Cuộc tấn công đúc tiền vô hạn diễn ra nhanh chóng. Kẻ tấn công xâm nhập vào hệ thống, thao túng hợp đồng, đúc ra token mới và bán chúng nhanh chóng. Thông thường, những token này được trao đổi lấy tài sản có giá trị hơn như Bitcoin (BTC) hoặc stablecoin như USDC. Quá trình này được lặp đi lặp lại nhiều lần trong khoảng thời gian ngắn đến mức khi thị trường điều chỉnh, những token mà họ đã bán để kiếm lời trước đây giờ đây gần như không có giá trị.

Làm thế nào để Cuộc Tấn Công Đúc Tiền Vô Hạn Hoạt Động?

Kẻ tấn công rất tinh vi khi thực hiện cuộc tấn công đúc tiền vô hạn.Cuộc tấn công nhanh chóng và chính xác, và tùy thuộc vào tình trạng tắc nghẽn mạng và thời gian phản hồi của nền tảng, một cuộc tấn công có thể xảy ra trong vài phút. Cuộc tấn công đúc tiền vô hạn có bốn bước chính, chúng là:

1. Xác định Lỗi

Để xảy ra một cuộc tấn công, phải có một điểm yếu trong dự án, và các kẻ tấn công biết chính xác nơi để kiểm tra nó, đó là hợp đồng thông minh. Một hợp đồng thông minh là cách mà các dự án phi tập trung có thể hoạt động mà không có bên thứ ba tò mò. Nó tự động áp dụng các thỏa thuận giữa hai bên.

Hợp đồng thông minh là không thể thay đổi; một khi đã được thống nhất, chúng không thể thay đổi. Kẻ hack tận dụng tính không thể thay đổi này, cùng với tính minh bạch của hợp đồng. Bởi vì hợp đồng thông minh là minh bạch, hacker có thể nghiên cứu chúng để tìm lỗ hổng và tiến hành khai thác.

1. Khai thác lỗ hổng

Hacker thường tìm kiếm lỗ hổng trong chức năng mint của hợp đồng. Khi họ tìm thấy một lỗ hổng, họ tạo ra một giao dịch sẽ khiến hợp đồng thông minh bỏ qua các kiểm tra và cân đối tiêu chuẩn sau đó đúc ra nhiều coin hơn.

Giao dịch đã được tạo có thể chỉ đơn giản là thực hiện một chức năng cụ thể, điều chỉnh một tham số, hoặc thậm chí tận dụng một kết nối không biết đến giữa các đoạn mã khác nhau.

1. Khai thác và bán phá giá vô hạn

Với hợp đồng thông minh bị khai thác, kẻ tấn công có thể đúc ra bất kỳ số lượng token mới nào mà họ muốn, sau đó bán tháo chúng trên thị trường.

Bán phá giá token diễn ra nhanh chóng. Thị trường tràn ngập các mã thông báo mới và những kẻ tấn công thường trao đổi mã thông báo lấy stablecoin. Các mã thông báo bị bán phá giá bị mất giá nghiêm trọng sau khi thị trường điều chỉnh theo các giao dịch.

1. Thực hiện Lợi nhuận

Sau khi đánh giá token, kẻ tấn công thu lợi từ giai đoạn cuối cùng của một cuộc tấn công đúc tiền vô hạn. Mặc dù đồng tiền đã mất giá trị, thị trường không điều chỉnh nhanh chóng như token giảm giá nên kẻ tấn công sẽ đổi các token giá trị gần như không còn giá trị hiện tại với stablecoins và lợi nhuận bằng cách lấy tiền của người nắm giữ token.

Các kẻ tấn công trở nên sáng tạo trong bước này. Họ có thể kiếm lợi trong nhiều cách, trong đó một cách là bán chúng trên sàn giao dịch, bán chúng với giá cao trước khi thị trường phản ứng với việc bán hàng. Họ cũng có thể tạo lợi nhuận từ việc chênh lệch giá trên các nền tảng khác nhau để tìm một nền tảng giá chưa điều chỉnh và sau đó bán các mã thông báo ở đó. Cuộc tấn công cũng có thể làm cạn kiệt dự trữ thanh khoản bằng cách đổi các mã thông báo mới đúc thành stablecoin trong dự trữ.

Nguồn: pexels

Các ví dụ về cuộc tấn công đúc tiền vô hạn

Với sự phát triển của Web3, đồng coin đầu tiên, Bitcoin, cũng đã có sự gia tăng về các cuộc tấn công; cuộc tấn công đáng chú ý đầu tiên là Mg.Gox hacknăm 2011. Kể từ đó, các cuộc tấn công đã trở nên tinh vi hơn; bây giờ, chúng ta có các cuộc tấn công như cuộc tấn công đúc tiền vô hạn. Dưới đây là một số ví dụ về cuộc tấn công đúc tiền vô hạn:

Cuộc tấn công Cover Protocol

Giao thức Cover là một dự án DeFi được tạo ra để cung cấp bảo hiểm cho các dự án DeFi khác trong trường hợp lỗ hổng hợp đồng thông minh, tấn công và nhiều hơn nữa. Vào tháng 12 năm 2020, họ bị tấn công đúc tiền vô hạn. Kẻ tấn công đã đánh cắp một triệu DAI, 1.400 ether và 90 WBTC, thu về hơn 4 triệu đô la.

Kẻ tấn công có thể tấn công sau khi thao tác hợp đồng thông minh của Cover để in ra các token như một phần thưởng. lỗihọ lợi dụng liên quan đến việc lạm dụng bộ nhớ và lưu trữ trong ngôn ngữ lập trình. Với điều này, họ có thể đúc 40 tỷ tỷ COVER tokens, và chỉ trong vài giờ, họ có thể bán được lên đến 5 triệu đô la COVER. Chỉ trong 24 giờ, giá trị của mã thông báo Cover giảm 75%.

Vài giờ sau, một hacker mũ trắngnamed Grap Finance claimed responsibility for the attack via an X bài viết. Hacker cũng cho biết không có lợi nhuận nào được thu được từ cuộc tấn công và tất cả các quỹ đã được trả lại cho Cover.

Tấn công mạng Paid

Mạng Paid.) là một nền tảng tài chính phi tập trung (DeFi) được tạo ra để làm cho việc ký kết hợp đồng dễ dàng hơn. Nó sẽ tự động hóa và phân tích các hợp đồng pháp lý và kinh doanh bằng sức mạnh của công nghệ blockchain. Đầu năm 2021, người dùng mạng lưới Paid nhận thấy một vấn đề: mạng đã bị tấn công. Kẻ tấn công đã tận dụng một lỗ hổng trong hợp đồng đúc tiền. Những kẻ tấn công đã đúc và đốt token. Họ có thể đúc hàng triệu token PAID và chuyển đổi 2,5 triệu token sang ETH trước khi cuộc tấn công kết thúc.

Những kẻ tấn công đã để lại PAID với khoản lỗ 180 triệu đô la và 85% giá trị của nó đã biến mất. Một số người dùng nghi ngờ mạng trả phí và họ nghĩ rằng cuộc tấn công là một rug pull. Tuy nhiên, sau khi mạng trả phí có thể bồi thường cho tất cả người dùng bị ảnh hưởng, những nghi ngờ này đã được xóa bỏ.

Tấn công cầu BNB

Cầu BNBcho phép người dùng thực hiện các chuyển khoản qua chuỗi. Với điều này, người dùng có thể di chuyển tài sản từ Chuỗi Binance Beacon đến Chuỗi Thông Minh Binance (BSC). Trong Tháng Mười 2022, cầu BNB bị tấn công đúc tiền vô hạn. Các kẻ tấn công tận dụng lỗi trong hợp đồng và đúc được 2 triệu $BNB; tổng cộng là 586 triệu đô la.

Kẻ tấn công đã có thể đúc ra BNB trực tiếp vào ví của họ. Họ cũng chọn không đổi token và không muốn chuyển chúng ra khỏi Binance. Thay vào đó, họ sử dụng BNB làm tài sản đảm bảo để nhận một khoản vay sẽ được gửi đến mạng khác. may mắn thay, các trình xác minh của Binance đã ngăn chặn cuộc tấn công, nhưng chuỗi thông minh đã phải tạm ngừng hoạt động trong một thời gian.

Cuộc tấn công Ankr

Ankrđược tạo ra để phát triển web3. Ankr là một cơ sở hạ tầng dựa trên blockchain với khả năng DeFi.Năm 2022, nó đã bị hack. Các tin tặc đã nắm giữ các khóa riêng được phát triển và xử lý để nâng cấp hợp đồng thông minh. Điều này cho phép họ đúc 6sixquadrillion aBNBc tokens, sau đó được chuyển đổi thành 5 triệu USDC. Kết quả của cuộc tấn công, Ankr đã mất 5 triệu đô la và phải tạm dừng rút tiền ANKR trên Binance.

Cách ngăn chặn cuộc tấn công đúc tiền vô hạn

Các nhà phát triển dự án tiền điện tử cần đặt sự an toàn lên hàng đầu khi tạo dự án. Nền kinh tế phi tập trung đang thay đổi hàng ngày; có rất nhiều sáng tạo, nhưng các hacker cũng rất sáng tạo. Cần có nhiều sự nhấn mạnh hơn vào việc ngăn chặn hơn là giảm nhẹ.

Nhà phát triển cần thực hiện nhiều bước để ngăn chặn các cuộc tấn công đúc tiền vô hạn như vậy. Một bước trong an ninh hợp đồng thông minh là tiến hành một cách cẩn thận kiểm toánthường xuyên. Kiểm toán là quá trình kiểm tra mã nguồn của hợp đồng thông minh để phát hiện những lỗ hổng có thể bị khai thác. Lý tưởng nhất, các cuộc kiểm toán này không nên do bên nội bộ tiến hành mà nên được thực hiện bởi các chuyên gia an ninh bên thứ ba đáng tin cậy.

Một bước khác là siết chặt nắp đối với những người có quyền truy cập vào các điều khiển đúc tiền. Nếu bạn có quá nhiều người có quyền truy cập, việc bị xâm nhập và khai thác sẽ dễ dàng hơn. Các dự án cũng có thể sử dụng một đa chữ kýVí. Nó cải thiện bảo mật vì bạn sẽ cần nhiều khóa riêng tư để truy cập vào một tài khoản.

Cuối cùng, các dự án nên nhớ đến sự quan trọng của giám sátvàgiao tiếp. Họ nên có các công cụ giám sát tiên tiến để phát hiện bất kỳ sự không bình thường nào ngay khi chúng bắt đầu. Nếu họ có một đường liên lạc mở với các sàn giao dịch, các dự án khác và cộng đồng crypto, họ có thể dự đoán được bất kỳ cuộc tấn công nào và lập kế hoạch phòng thủ.

Tương lai của An ninh Hợp đồng Thông minh trong Thế giới Tiền điện tử

Với sự xuất hiện của hợp đồng thông minh, cũng phải có một cái gì đó để hướng dẫn việc sử dụng nó. Trong trường hợp này, chúng ta quan tâm hơn đếnbảo mậtđể người dùng không bị ảnh hưởng trong quá trình xâm nhập. Điều đầu tiên chúng ta có thể làm là khuyên các dự án nên an toàn. Họ có thể tuân theo các bước được liệt kê trong phần tiêu đề phụ cuối cùng. Vấn đề là một số dự án có thể không tuân theo lời khuyên và các quy định về hợp đồng thông minh rất ít ỏi. Vậy, chúng ta sẽ đi đến đâu từ đây?

Hợp đồng thông minh là mới, và luật pháp vẫn chưa đuổi kịp chúng. Hiện tại, hai điều quan trọng nhất cần xem xét là tính khả thi và thẩm quyền. Với việc tạo ra hợp đồng thông minh trên blockchain cho các dịch vụ phi tập trung, pháp luật có thể áp dụng quy tắc của mình đối với họ không? Có luật và vụ án liên quan đến tiền điện tử, nhưng hợp đồng thông minh chưa được đề cập đủ.

Bây giờ, liên quan đếnthẩm quyền, câu hỏi là, làm thế nào luật có thể đặt một dự án chịu trách nhiệm nếu có sự khác biệt trong pháp luật? Điều hợp pháp ở Hoa Kỳ có thể là bất hợp pháp ở Vương quốc Anh. Để khắc phục những vấn đề này, cần có một khung pháp lý quản lý mạnh mẽ về bảo mật hợp đồng thông minh. Chuyên gia về công nghệ blockchain và luật pháp nên hợp tác để đạt được một sự đồng thuận.

Vẫn còn một chút hy vọng để giữ vững. Vào năm 2023 số lượng Số vụ hack DeFi giảm hơn 50%, nếu những quy định này được áp dụng thì sẽ có ít hơn các vụ hack trên toàn cầu.

Kết luận

Để kết thúc, cuộc tấn công đúc tiền vô hạn rất chiến lược và nhanh chóng. Một khi kẻ tấn công bắt đầu, họ có thể đúc hàng triệu token chỉ trong vài phút, nhưng cuộc tấn công có thể được ngăn chặn nếu các biện pháp an ninh đúng đắn được thực hiện.

Vẫn còn một số bước tồn tại để tạo ra một khung pháp lý đúng đắn để bảo vệ các dự án và người dùng của chúng khỏi các cuộc tấn công đúc tiền vô hạn. Hiện tại, các dự án tài chính phi tập trung (DeFi) phải cực kỳ an toàn và cảnh giác.