มิ้นท์แบบไม่จำกัดคืออะไร?
พื้นที่ Web3 มีความหมายเหมือนกันกับความเป็นอิสระจากสถาบันแบบรวมศูนย์ที่ต้องการมีส่วนร่วมในการทําธุรกรรมของคุณ เหตุผลหนึ่งที่บุคคลที่สามเหล่านี้แทรกแซงการทําธุรกรรมแบบรวมศูนย์คือเพื่อความปลอดภัยของสินทรัพย์ที่ถูกโอนและฝ่ายที่เกี่ยวข้องในการทําธุรกรรม แม้ว่าโลก Web3 จะปลอดภัย แต่ความกังวลด้านความปลอดภัยบางอย่างยังคงอยู่
พื้นที่คริปโตนั้นมีวิธีใหม่ในการย้ายสินทรัพย์ซึ่งจะมาพร้อมกับวิธีใหม่และสร้างสรรค์ในการปล้นสินทรัพย์เหล่านี้ การโจมตีมิ้นท์แบบไม่จำกัดเป็นหนึ่งในวิธีที่สร้างสรรค์มากขึ้นในการปล้นสินทรัพย์และทำให้โครงการขัดข้อง
แฮกเกอร์ใช้การโจมตี mint แบบไม่จำกัดเพื่อขโมยเงินหมื่นล้านจากโครงการด้วยเงินดิจิทัล โดยบางโครงการยังพยายามกู้คืน ในการแก้ไขปัญหานี้เราต้องเข้าใจว่าการโจมตี mint แบบไม่จำกัดคืออะไร การทำงานของมันเป็นอย่างไร และเราจะป้องกันได้อย่างไร
การโจมตีมิ้นท์แบบไม่จำกัดคืออะไร?
โปรโตคอลการเงินแบบกระจายอํานาจ (DeFi) ได้รับผลกระทบมากที่สุดจากการโจมตีแบบไม่มีที่สิ้นสุด โครงการ DeFi ใช้สัญญาอัจฉริยะเพื่อกํากับดูแลโดยอัตโนมัติ และสัญญาอัจฉริยะเป็นโอเพ่นซอร์ส ซึ่งหมายความว่าทุกคนสามารถเห็นวิธีการทํางานได้ หากสัญญาไม่ได้เขียนอย่างถูกต้องและปลอดภัยแฮกเกอร์สามารถตรวจสอบและค้นหาช่องโหว่ที่จะใช้ประโยชน์ได้อย่างง่ายดาย
เมื่อฮักเกอร์ดำเนินการโจมตีมิ้นท์แบบไม่จำกัด พวกเขาลงทุนในข้อผิดพลาดเพื่อแก้ไขสัญญาโครงการ พวกเขาเน้นเฉพาะฟังก์ชันการสร้างเหรียญของสัญญา ซึ่งควบคุมจำนวนเหรียญที่ถูกสร้าง ฮักเกอร์บอกสัญญาให้สร้างโทเค็นใหม่เกินขีดจำกัดที่ได้รับอนุญาต ซึ่งจะทำให้มูลค่าของโทเค็นลดลง
การโจมตีของมิ้นท์ที่ไม่มีที่สิ้นสุดนั้นรวดเร็ว ผู้โจมตีแฮ็คระบบจัดการสัญญาสร้างโทเค็นใหม่และขายได้อย่างรวดเร็ว โดยทั่วไปโทเค็นจะถูกแลกเปลี่ยนเป็นสินทรัพย์ที่มีค่ามากขึ้นเช่น Bitcoin (BTC) หรือ stablecoins เช่น USDC กระบวนการนี้ทําซ้ําบ่อยครั้งภายในระยะเวลาอันสั้นซึ่งเมื่อถึงเวลาที่ตลาดปรับโทเค็นที่พวกเขาขายเพื่อทํากําไรก่อนหน้านี้จะอยู่ถัดจากไร้ค่า
การโจมตีมิ้นท์แบบไม่จำกัดทำงานอย่างไร?
ฮากเกอร์เป็นคนที่มีความชำนาญเมื่อพวกเขาทำการโจมตีมิ้นท์แบบไม่จำกัดการโจมตีเร็วและแม่นยำและขึ้นอยู่กับความแออัดของเครือข่ายและเวลาการตอบสนองของแพลตฟอร์ม การโจมตีสามารถเกิดขึ้นในเวลาไม่กี่นาที การโจมตีมิ้นท์แบบไม่จำกัดมีขั้นตอนหลัก ๆ สี่ขั้นตอนดังต่อไปนี้
- การระบุช่องโหว่
สําหรับการโจมตีที่จะเกิดขึ้นจะต้องมี chink (ช่องโหว่) ในชุดเกราะของโครงการและผู้โจมตีรู้ว่าจะตรวจสอบได้ที่ไหนสัญญาอัจฉริยะ สัญญาอัจฉริยะคือวิธีที่โครงการกระจายอํานาจสามารถทํางานได้โดยไม่ต้องมีบุคคลที่สาม มันบังคับใช้ข้อตกลงระหว่างสองฝ่ายโดยอัตโนมัติ
สมาร์ทคอนแทร็กต์เป็นค่าคงที่ไม่สามารถเปลี่ยนแปลงได้เมื่อตกลงกันแล้ว แฮกเกอร์ใช้ข้อบกพร่องนี้ร่วมกับความโปร่งใสของสัญญาเพื่อค้นหาช่องโหว่แล้วนำมาใช้ประโยชน์
- การใช้ประโยชน์จากช่องโหว่
ผู้โจมตี通常จะมองหาช่องโหว่ในฟังก์ชันการสร้างเหรียญของสัญญาฉบับนั้น หลังจากพวกเขาค้นพบหนึ่งในนั้น พวกเขาจะสร้างธุรกรรมที่จะทำให้สัญญาฉบับนั้นวางเสียงผ่านการตรวจสอบและสมดุลมาตรฐาน จากนั้นก็สร้างเหรียญเกินจำนวน
ธุรกรรมที่ถูกสร้างอาจเพียงแค่ทำการดำเนินฟังก์ชันบางอย่าง ปรับพารามิเตอร์ หรือแม้กระทั่งการกำไรจากความเชื่อมโยงที่ไม่รู้จักระหว่างส่วนโค้ดที่แตกต่างกัน
- การขุดและส่งออกโดยไม่จำกัด
ด้วยการโจมตีสมาร์ทคอนแทร็กที่ถูกใช้ประโยชน์ ผู้โจมตีสามารถสร้างเหรียญใหม่ๆ ได้เท่าที่ต้องการแล้วจากนั้นจึงทิ้งเหรียญเหล่านั้นในตลาด
การถูกลดมูลค่าโทเค็นเกิดขึ้นอย่างรวดเร็ว ตลาดได้รับการท่องจำหน่ายโทเค็นใหม่มากมาย และผู้โจมตีมักแลกเปลี่ยนโทเค็นเหล่านั้นเป็น stablecoin โทเค็นที่ถูกลดมูลค่าจะถูกปรับลงหลังจากที่ตลาดปรับตัวกับธุรกรรม
- การรับรู้กำไร
หลังจากที่เหรียญถูกปรับค่าลง ผู้โจมตีกำไรจากขั้นสุดท้ายของการโจมตีมิ้นท์แบบไม่จำกัด แม้ว่าเหรียญจะสูญเสียค่าเงิน ตลาดก็ไม่ปรับตัวเร็วเท่าที่เหรียญถูกปรับค่าลง ดังนั้นผู้โจมตีจะแลกเหรียญที่ใกล้จะไม่มีค่ากับ stablecoin และกำไรที่ได้ของเจ้าของโทเค็น.
ผู้โจมตีจะมีความคิดสร้างสรรค์ในขั้นตอนนี้ พวกเขาสามารถทำกำไรได้อย่างหลากหลายวิธี ซึ่งหนึ่งในนั้นคือการขายเหรียญในแลกเชนจนกว่าตลาดจะตอบสนองกับการขายเหรียญนั้น พวกเขายังสามารถทำการอาร์บิเทรจได้โดยการเปรียบเทียบแพลตฟอร์มต่าง ๆ เพื่อหาแพลตฟอร์มที่ราคายังไม่ได้ปรับและจากนั้นขายเหรียญในที่นั้น การโจมตียังสามารถรั่วไหลของสระเงินสดโดยการแลกเหรียญที่สร้างขึ้นใหม่เป็นสกุลเงินที่มีความมั่นคงในสระเงินสดได้อีกด้วย
ต้นฉบับ: pexels
ตัวอย่างของการโจมตีมิ้นท์แบบไม่จำกัด
ด้วยการเติบโตของ Web3 โดยที่บิตคอยน์มีส่วนร่วม ก็มีการโจมตีเพิ่มมากขึ้น โจมตีที่สำคัญครั้งแรกคือการโจมตี Mg.Goxในปี 2011 ตั้งแต่นั้น เทคนิคการแฮ็กได้กลายเป็นที่ซับซ้อนมากขึ้น ตอนนี้เรามีการแฮ็กอย่าง infinite mint attack ต่อไปนี้คือตัวอย่างของการโจมตีมิ้นท์แบบไม่จำกัด:
ครอบคลุมการโจมตีโปรโตคอล
โปรโตคอลปกคือโครงการ DeFi ที่สร้างขึ้นเพื่อให้บริการประกันให้กับโครงการ DeFi อื่น ๆ ในกรณีที่เกิดช่องโหว่ของสมาร์ทคอนแทร็ค การโจมตี และอื่น ๆ เมื่อถึงเดือนธันวาคม 2020 พวกเขาถูกโจมตีด้วยการโจมตีมิ้นท์แบบไม่จำกัด ผู้โจมตีขโลกขโลงหนึ่งล้าน DAI 1,400 เอเธอร์ และ 90 WBTC รวมทั้งได้กำไรมากกว่า 4 ล้านเหรียญ
ผู้โจมตีสามารถโจมตีได้หลังจากจัดการสัญญาอัจฉริยะของ Cover เพื่อพิมพ์โทเค็นเป็นรางวัล การ บั๊กพวกเขาใช้ประโยชน์จากการใช้หน่วยความจำและพื้นที่จัดเก็บอย่างไม่ถูกต้องในภาษาโปรแกรมมิ่ง ด้วยวิธีนี้พวกเขาสามารถสร้าง40 กวินเทรียลลี่ออกซิเจนโทเค็นและภายในไม่กี่ชั่วโมงพวกเขาสามารถขาย COVER ได้มูลค่าสูงสุดถึง 5 ล้านดอลลาร์ ในเพียง 24 ชั่วโมงเท่านั้น มูลค่าของโทเค็น Coverลดลง 75%.
ไม่กี่ชั่วโมงในภายหลัง แฮ็กเกอร์หมวกขาวเรียกว่า Grap Finance อ้างรับผิดชอบการโจมตีผ่านX postนักเจาะระบบยังระบุว่าไม่มีการได้รับกำไรจากการโจมตี และว่าทุกเงินได้ถูกส่งคืนให้กับ Cover
การโจมตีเครือข่ายแบบชําระเงิน
เครือข่าย Paid.) เป็นแพลตฟอร์มการเงินแบบกระจายอํานาจ (DeFi) ที่สร้างขึ้นเพื่อให้สัญญาง่ายขึ้น มันจะทําให้ข้อตกลงทางกฎหมายและธุรกิจเป็นไปโดยอัตโนมัติโดยใช้พลังของเทคโนโลยีบล็อกเชน ในช่วงต้นปี 2021 ผู้ใช้เครือข่ายแบบชําระเงินสังเกตเห็นปัญหา: เครือข่ายถูกโจมตี ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในสัญญาการทําเหรียญ ผู้โจมตีสร้างและทําลายโทเค็น พวกเขาสามารถสร้างโทเค็น PAID หลายล้านโทเค็นและแปลง 2.5 ล้านเป็น ETH ก่อนที่การโจมตีจะสิ้นสุดลง
ผู้โจมตีทิ้ง PAID ด้วยการสูญเสีย 180 ล้านดอลลาร์และ 85% ของมูลค่าหายไป ผู้ใช้บางคนสงสัยในเครือข่ายแบบชําระเงินและพวกเขาคิดว่าการโจมตีเป็น rug pull . อย่างไรก็ตามหลังจากที่เครือข่าย Paid สามารถชดเชยผู้ใช้ที่ได้รับผลกระทบทั้งหมดแล้ว ข้อสงสัยเหล่านี้ก็ได้รับการล้างเชิง
BNB โจมตีสะพาน
สะพาน BNBช่วยให้ผู้ใช้สามารถทำการโอนเงินระหว่างเครือข่ายได้ ผู้ใช้สามารถย้ายสินทรัพย์จาก Binance Beacon Chain ไปยัง Binance Smart Chain (BSC) ได้ตุลาคม 2022, เชื่อมต่อ BNB ถูกโจมตีด้วยการสร้าง Mint แบบไม่จำกัด. ผู้โจมตีใช้ช่องโหว่ในสัญญาและสร้าง Mint 2 ล้านเหรียญ BNB ซึ่งเทียบเท่ากับ 586 ล้านดอลลาร์
ผู้โจมตีสามารถมิ้นท์ BNB ลงในกระเป๋าเงินได้โดยตรง พวกเขายังเลือกที่จะไม่แลกเปลี่ยนโทเค็นและไม่ต้องการย้ายพวกเขาออกจาก Binance พวกเขาใช้ BNB เป็นหลักประกันเพื่อรับเงินกู้ที่จะส่งไปยังเครือข่ายอื่นแทน โชคดีที่ผู้ตรวจสอบ Binance หยุดการแฮ็ก แต่ห่วงโซ่อัจฉริยะต้องปิดตัวลงชั่วขณะหนึ่ง
การโจมตี Ankr
Ankrถูกสร้างขึ้นเพื่อพัฒนา web3 อันคร์เป็นโครงสร้างพื้นฐานที่ใช้เทคโนโลยีบล็อกเชนและมีความสามารถในด้าน DeFiในปี 2022โดนแฮกครับ แฮกเกอร์ได้รับคีย์ส่วนตัวที่พัฒนาแล้วและดำเนินการอัปเกรดสมาร์ทคอนแทร็กต์ นี่อนุญาตให้พวกเขาสร้างมิ้นท์ 6sixquadrillion aBNBc โทเค็น ซึ่งจากนั้นถูกแปลงเป็น 5 ล้าน USDC จากผลจากการโจมตี Ankr สูญเสีย 5 ล้านดอลลาร์และต้องหยุดการถอน ANKR บน Binance
วิธีป้องกันการโจมตีมิ้นท์แบบไม่จำกัด
นักพัฒนาโครงการคริปโตต้องใส่ความปลอดภัยเป็นสิ่งที่สำคัญเมื่อสร้างโครงการ เศรษฐกิจแบบกระจายกำลังเปลี่ยนแปลงไปเรื่อยๆ มีนวัตกรรมมากมาย แต่ผู้แฮกเกอร์ก็เช่นกัน จึงต้องมีการเน้นในการป้องกันมากกว่าการลดความเสียหาย
นักพัฒนาต้องดำเนินการหลายขั้นตอนเพื่อป้องกันการโจมตีเช่นการโจมตีมิ้นท์แบบไม่จำกัด หนึ่งขั้นตอนในการรักษาความปลอดภัยของสมาร์ทคอนแทร็คคือการดำเนินการอย่างเต็มที่การตรวจสอบบ่อยครั้ง การตรวจสอบคือกระบวนการตรวจสอบรหัสของสัญญาอัจฉริยะเพื่อตรวจหาช่องโหว่ที่อาจถูกใช้ประโยชน์ได้ อย่าง理想แล้ว การตรวจสอบเหล่านี้ไม่ควรเป็นภายใน แต่ควรจะถูกจัดการโดยผู้เชี่ยวชาญด้านความปลอดภัยจากบุคคลที่เชื่อถือได้
การกระทำอีกอย่างคือการปิดทับฝาให้กับผู้ที่มีสิทธิ์ในการควบคุมการสร้างเหรียญ เมื่อมีผู้คนมากเกินไปที่มีสิทธิ์ จะทำให้ง่ายต่อการซึมเข้ามาและถูกใช้ประโยชน์ โครงการยังสามารถใช้หลายลายเซ็นต์กระเป๋าเงินสำหรับเพิ่มความปลอดภัยเพราะว่าจะต้องใช้กุญแจส่วนตัวหลายตัวเพื่อเข้าถึงบัญชี
ในที่สุด โครงการควรจดจำถึงความสำคัญของการตรวจสอบและการสื่อสาร. พวกเขาควรมีเครื่องมือตรวจสอบที่ทันสมัยเพื่อระบุความผิดปกติใด ๆ ในวินาทีที่พวกเขาเริ่มต้น หากพวกเขามีสายการสื่อสารที่เปิดกว้างกับการแลกเปลี่ยนโครงการอื่น ๆ และชุมชน crypto พวกเขาสามารถคาดการณ์การโจมตีและวางแผนการป้องกันได้
อนาคตของ Smart Contract Security ในโลก Crypto
กับการเกิดขึ้นของสมาร์ทคอนแทร็กเตอร์ เรายังต้องมีสิ่งที่จะนำมาใช้ให้ถูกต้องด้วย ในกรณีนี้เรากังวลเกี่ยวกับความปลอดภัยดังนั้นผู้ใช้จึงไม่ได้รับผลกระทบในระหว่างการละเมิด สิ่งแรกที่เราสามารถทำได้คือแนะนำโครงการให้ปลอดภัย พวกเขาสามารถทำตามขั้นตอนที่ระบุไว้ในหัวข้อย่อยสุดท้าย ปัญหาคือบางโครงการอาจไม่ทำตามคำแนะนำ และกฎหมายเกี่ยวกับสมาร์ทคอนแทรคยังมีน้อยมาก ดังนั้น เราจะไปไหนต่อ?
สัญญาอัจฉริยะเป็นเรื่องใหม่และกฎหมายยังไม่ได้ตามรอบพวกมันอยู่ ขณะนี้สิ่งสำคัญสองอย่างที่ควรพิจารณาคือความสามารถในการบังคับใช้และเขตอำนาจกำหนด ด้วยสัญญาอัจฉริยะที่ถูกสร้างขึ้นบนบล็อกเชนสำหรับบริการที่มีลักษณะกระจายกฎหมายสามารถบังคับใช้กฎระเบียบต่อพวกเขาได้หรือไม่? มีกฎหมายและคดีศาลเกี่ยวกับคริปโต แต่สัญญาอัจฉริยะยังไม่ได้รับการพิจารณาให้เพียงพอ
ตอนนี้เกี่ยวกับเขตอำนาจศาลคำถามคือว่ากฎหมายจะทำอย่างไรเมื่อมีความแตกต่างในกฎหมาย? สิ่งที่ถูกต้องตามกฎหมายในสหรัฐอเมริกาอาจเป็นสิ่งผิดกฎหมายในสหราชอาณาจักร ในการแก้ไขปัญหาเหล่านี้จะต้องมีกรอบกฎหมายที่ชัดเจนที่ทำงานเพื่อแก้ไขปัญหาความปลอดภัยของสัญญาอัจฉริยะ ผู้เชี่ยวชาญด้านเทคโนโลยีบล็อกเชนและกฎหมายควรทำงานร่วมกันเพื่อให้มีการเชื่อมั่นได้
ยังมีความหวังเล็กน้อยที่คงอยู่ ในปี 2023 จำนวนการโจมตี DeFi ลดลงมากกว่า 50%ถ้ามีกฎระเบียบเหล่านี้ถูกนำมาใช้ ก็จะทำให้การโจมตีมิ้นท์แบบไม่จำกัดลดลงไปได้อีก
สรุป
เพื่อสรุป การโจมตีมิ้นท์แบบไม่จำกัดเป็นยุทธวิธีที่มีความชาญฉลาดและเร็ว หากผู้โจมตีเริ่มต้น พวกเขาสามารถสร้างเหรียญล้านๆ ในเพียงไม่กี่นาทีเท่านั้น แต่การโจมตีสามารถป้องกันได้หากมีการระงับความปลอดภัยที่เหมาะสม
ยังมีขั้นตอนบางอย่างที่ยังคงมีอยู่ในการสร้างกรอบกฎหมายที่เหมาะสมเพื่อป้องกันโครงการและผู้ใช้ของพวกเขาจากการโจมตีมิ้นท์แบบไม่จำกัด ในขณะนี้โครงการการเงินที่ไม่มีกฎหมาย (DeFi) ต้องมีความปลอดภัยและระมัดระวังเพิ่มเติม
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
เทคโนโลยีบัญชีแยกประเภทแบบกระจาย (DLT) คืออะไร?
มิ้นท์แบบไม่จำกัดคืออะไร?
การโจมตีมิ้นท์แบบไม่จำกัดคืออะไร?
การโจมตีมิ้นท์แบบไม่จำกัดทำงานอย่างไร?
ตัวอย่างของการโจมตีมิ้นท์แบบไม่จำกัด
วิธีป้องกันการโจมตีมิ้นท์แบบไม่จำกัด
อนาคตของความปลอดภัยของสัญญาอัจฉริยะในโลกคริปโต
สรุป
พื้นที่ Web3 มีความหมายเหมือนกันกับความเป็นอิสระจากสถาบันแบบรวมศูนย์ที่ต้องการมีส่วนร่วมในการทําธุรกรรมของคุณ เหตุผลหนึ่งที่บุคคลที่สามเหล่านี้แทรกแซงการทําธุรกรรมแบบรวมศูนย์คือเพื่อความปลอดภัยของสินทรัพย์ที่ถูกโอนและฝ่ายที่เกี่ยวข้องในการทําธุรกรรม แม้ว่าโลก Web3 จะปลอดภัย แต่ความกังวลด้านความปลอดภัยบางอย่างยังคงอยู่
พื้นที่คริปโตนั้นมีวิธีใหม่ในการย้ายสินทรัพย์ซึ่งจะมาพร้อมกับวิธีใหม่และสร้างสรรค์ในการปล้นสินทรัพย์เหล่านี้ การโจมตีมิ้นท์แบบไม่จำกัดเป็นหนึ่งในวิธีที่สร้างสรรค์มากขึ้นในการปล้นสินทรัพย์และทำให้โครงการขัดข้อง
แฮกเกอร์ใช้การโจมตี mint แบบไม่จำกัดเพื่อขโมยเงินหมื่นล้านจากโครงการด้วยเงินดิจิทัล โดยบางโครงการยังพยายามกู้คืน ในการแก้ไขปัญหานี้เราต้องเข้าใจว่าการโจมตี mint แบบไม่จำกัดคืออะไร การทำงานของมันเป็นอย่างไร และเราจะป้องกันได้อย่างไร
การโจมตีมิ้นท์แบบไม่จำกัดคืออะไร?
โปรโตคอลการเงินแบบกระจายอํานาจ (DeFi) ได้รับผลกระทบมากที่สุดจากการโจมตีแบบไม่มีที่สิ้นสุด โครงการ DeFi ใช้สัญญาอัจฉริยะเพื่อกํากับดูแลโดยอัตโนมัติ และสัญญาอัจฉริยะเป็นโอเพ่นซอร์ส ซึ่งหมายความว่าทุกคนสามารถเห็นวิธีการทํางานได้ หากสัญญาไม่ได้เขียนอย่างถูกต้องและปลอดภัยแฮกเกอร์สามารถตรวจสอบและค้นหาช่องโหว่ที่จะใช้ประโยชน์ได้อย่างง่ายดาย
เมื่อฮักเกอร์ดำเนินการโจมตีมิ้นท์แบบไม่จำกัด พวกเขาลงทุนในข้อผิดพลาดเพื่อแก้ไขสัญญาโครงการ พวกเขาเน้นเฉพาะฟังก์ชันการสร้างเหรียญของสัญญา ซึ่งควบคุมจำนวนเหรียญที่ถูกสร้าง ฮักเกอร์บอกสัญญาให้สร้างโทเค็นใหม่เกินขีดจำกัดที่ได้รับอนุญาต ซึ่งจะทำให้มูลค่าของโทเค็นลดลง
การโจมตีของมิ้นท์ที่ไม่มีที่สิ้นสุดนั้นรวดเร็ว ผู้โจมตีแฮ็คระบบจัดการสัญญาสร้างโทเค็นใหม่และขายได้อย่างรวดเร็ว โดยทั่วไปโทเค็นจะถูกแลกเปลี่ยนเป็นสินทรัพย์ที่มีค่ามากขึ้นเช่น Bitcoin (BTC) หรือ stablecoins เช่น USDC กระบวนการนี้ทําซ้ําบ่อยครั้งภายในระยะเวลาอันสั้นซึ่งเมื่อถึงเวลาที่ตลาดปรับโทเค็นที่พวกเขาขายเพื่อทํากําไรก่อนหน้านี้จะอยู่ถัดจากไร้ค่า
การโจมตีมิ้นท์แบบไม่จำกัดทำงานอย่างไร?
ฮากเกอร์เป็นคนที่มีความชำนาญเมื่อพวกเขาทำการโจมตีมิ้นท์แบบไม่จำกัดการโจมตีเร็วและแม่นยำและขึ้นอยู่กับความแออัดของเครือข่ายและเวลาการตอบสนองของแพลตฟอร์ม การโจมตีสามารถเกิดขึ้นในเวลาไม่กี่นาที การโจมตีมิ้นท์แบบไม่จำกัดมีขั้นตอนหลัก ๆ สี่ขั้นตอนดังต่อไปนี้
- การระบุช่องโหว่
สําหรับการโจมตีที่จะเกิดขึ้นจะต้องมี chink (ช่องโหว่) ในชุดเกราะของโครงการและผู้โจมตีรู้ว่าจะตรวจสอบได้ที่ไหนสัญญาอัจฉริยะ สัญญาอัจฉริยะคือวิธีที่โครงการกระจายอํานาจสามารถทํางานได้โดยไม่ต้องมีบุคคลที่สาม มันบังคับใช้ข้อตกลงระหว่างสองฝ่ายโดยอัตโนมัติ
สมาร์ทคอนแทร็กต์เป็นค่าคงที่ไม่สามารถเปลี่ยนแปลงได้เมื่อตกลงกันแล้ว แฮกเกอร์ใช้ข้อบกพร่องนี้ร่วมกับความโปร่งใสของสัญญาเพื่อค้นหาช่องโหว่แล้วนำมาใช้ประโยชน์
- การใช้ประโยชน์จากช่องโหว่
ผู้โจมตี通常จะมองหาช่องโหว่ในฟังก์ชันการสร้างเหรียญของสัญญาฉบับนั้น หลังจากพวกเขาค้นพบหนึ่งในนั้น พวกเขาจะสร้างธุรกรรมที่จะทำให้สัญญาฉบับนั้นวางเสียงผ่านการตรวจสอบและสมดุลมาตรฐาน จากนั้นก็สร้างเหรียญเกินจำนวน
ธุรกรรมที่ถูกสร้างอาจเพียงแค่ทำการดำเนินฟังก์ชันบางอย่าง ปรับพารามิเตอร์ หรือแม้กระทั่งการกำไรจากความเชื่อมโยงที่ไม่รู้จักระหว่างส่วนโค้ดที่แตกต่างกัน
- การขุดและส่งออกโดยไม่จำกัด
ด้วยการโจมตีสมาร์ทคอนแทร็กที่ถูกใช้ประโยชน์ ผู้โจมตีสามารถสร้างเหรียญใหม่ๆ ได้เท่าที่ต้องการแล้วจากนั้นจึงทิ้งเหรียญเหล่านั้นในตลาด
การถูกลดมูลค่าโทเค็นเกิดขึ้นอย่างรวดเร็ว ตลาดได้รับการท่องจำหน่ายโทเค็นใหม่มากมาย และผู้โจมตีมักแลกเปลี่ยนโทเค็นเหล่านั้นเป็น stablecoin โทเค็นที่ถูกลดมูลค่าจะถูกปรับลงหลังจากที่ตลาดปรับตัวกับธุรกรรม
- การรับรู้กำไร
หลังจากที่เหรียญถูกปรับค่าลง ผู้โจมตีกำไรจากขั้นสุดท้ายของการโจมตีมิ้นท์แบบไม่จำกัด แม้ว่าเหรียญจะสูญเสียค่าเงิน ตลาดก็ไม่ปรับตัวเร็วเท่าที่เหรียญถูกปรับค่าลง ดังนั้นผู้โจมตีจะแลกเหรียญที่ใกล้จะไม่มีค่ากับ stablecoin และกำไรที่ได้ของเจ้าของโทเค็น.
ผู้โจมตีจะมีความคิดสร้างสรรค์ในขั้นตอนนี้ พวกเขาสามารถทำกำไรได้อย่างหลากหลายวิธี ซึ่งหนึ่งในนั้นคือการขายเหรียญในแลกเชนจนกว่าตลาดจะตอบสนองกับการขายเหรียญนั้น พวกเขายังสามารถทำการอาร์บิเทรจได้โดยการเปรียบเทียบแพลตฟอร์มต่าง ๆ เพื่อหาแพลตฟอร์มที่ราคายังไม่ได้ปรับและจากนั้นขายเหรียญในที่นั้น การโจมตียังสามารถรั่วไหลของสระเงินสดโดยการแลกเหรียญที่สร้างขึ้นใหม่เป็นสกุลเงินที่มีความมั่นคงในสระเงินสดได้อีกด้วย
ต้นฉบับ: pexels
ตัวอย่างของการโจมตีมิ้นท์แบบไม่จำกัด
ด้วยการเติบโตของ Web3 โดยที่บิตคอยน์มีส่วนร่วม ก็มีการโจมตีเพิ่มมากขึ้น โจมตีที่สำคัญครั้งแรกคือการโจมตี Mg.Goxในปี 2011 ตั้งแต่นั้น เทคนิคการแฮ็กได้กลายเป็นที่ซับซ้อนมากขึ้น ตอนนี้เรามีการแฮ็กอย่าง infinite mint attack ต่อไปนี้คือตัวอย่างของการโจมตีมิ้นท์แบบไม่จำกัด:
ครอบคลุมการโจมตีโปรโตคอล
โปรโตคอลปกคือโครงการ DeFi ที่สร้างขึ้นเพื่อให้บริการประกันให้กับโครงการ DeFi อื่น ๆ ในกรณีที่เกิดช่องโหว่ของสมาร์ทคอนแทร็ค การโจมตี และอื่น ๆ เมื่อถึงเดือนธันวาคม 2020 พวกเขาถูกโจมตีด้วยการโจมตีมิ้นท์แบบไม่จำกัด ผู้โจมตีขโลกขโลงหนึ่งล้าน DAI 1,400 เอเธอร์ และ 90 WBTC รวมทั้งได้กำไรมากกว่า 4 ล้านเหรียญ
ผู้โจมตีสามารถโจมตีได้หลังจากจัดการสัญญาอัจฉริยะของ Cover เพื่อพิมพ์โทเค็นเป็นรางวัล การ บั๊กพวกเขาใช้ประโยชน์จากการใช้หน่วยความจำและพื้นที่จัดเก็บอย่างไม่ถูกต้องในภาษาโปรแกรมมิ่ง ด้วยวิธีนี้พวกเขาสามารถสร้าง40 กวินเทรียลลี่ออกซิเจนโทเค็นและภายในไม่กี่ชั่วโมงพวกเขาสามารถขาย COVER ได้มูลค่าสูงสุดถึง 5 ล้านดอลลาร์ ในเพียง 24 ชั่วโมงเท่านั้น มูลค่าของโทเค็น Coverลดลง 75%.
ไม่กี่ชั่วโมงในภายหลัง แฮ็กเกอร์หมวกขาวเรียกว่า Grap Finance อ้างรับผิดชอบการโจมตีผ่านX postนักเจาะระบบยังระบุว่าไม่มีการได้รับกำไรจากการโจมตี และว่าทุกเงินได้ถูกส่งคืนให้กับ Cover
การโจมตีเครือข่ายแบบชําระเงิน
เครือข่าย Paid.) เป็นแพลตฟอร์มการเงินแบบกระจายอํานาจ (DeFi) ที่สร้างขึ้นเพื่อให้สัญญาง่ายขึ้น มันจะทําให้ข้อตกลงทางกฎหมายและธุรกิจเป็นไปโดยอัตโนมัติโดยใช้พลังของเทคโนโลยีบล็อกเชน ในช่วงต้นปี 2021 ผู้ใช้เครือข่ายแบบชําระเงินสังเกตเห็นปัญหา: เครือข่ายถูกโจมตี ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในสัญญาการทําเหรียญ ผู้โจมตีสร้างและทําลายโทเค็น พวกเขาสามารถสร้างโทเค็น PAID หลายล้านโทเค็นและแปลง 2.5 ล้านเป็น ETH ก่อนที่การโจมตีจะสิ้นสุดลง
ผู้โจมตีทิ้ง PAID ด้วยการสูญเสีย 180 ล้านดอลลาร์และ 85% ของมูลค่าหายไป ผู้ใช้บางคนสงสัยในเครือข่ายแบบชําระเงินและพวกเขาคิดว่าการโจมตีเป็น rug pull . อย่างไรก็ตามหลังจากที่เครือข่าย Paid สามารถชดเชยผู้ใช้ที่ได้รับผลกระทบทั้งหมดแล้ว ข้อสงสัยเหล่านี้ก็ได้รับการล้างเชิง
BNB โจมตีสะพาน
สะพาน BNBช่วยให้ผู้ใช้สามารถทำการโอนเงินระหว่างเครือข่ายได้ ผู้ใช้สามารถย้ายสินทรัพย์จาก Binance Beacon Chain ไปยัง Binance Smart Chain (BSC) ได้ตุลาคม 2022, เชื่อมต่อ BNB ถูกโจมตีด้วยการสร้าง Mint แบบไม่จำกัด. ผู้โจมตีใช้ช่องโหว่ในสัญญาและสร้าง Mint 2 ล้านเหรียญ BNB ซึ่งเทียบเท่ากับ 586 ล้านดอลลาร์
ผู้โจมตีสามารถมิ้นท์ BNB ลงในกระเป๋าเงินได้โดยตรง พวกเขายังเลือกที่จะไม่แลกเปลี่ยนโทเค็นและไม่ต้องการย้ายพวกเขาออกจาก Binance พวกเขาใช้ BNB เป็นหลักประกันเพื่อรับเงินกู้ที่จะส่งไปยังเครือข่ายอื่นแทน โชคดีที่ผู้ตรวจสอบ Binance หยุดการแฮ็ก แต่ห่วงโซ่อัจฉริยะต้องปิดตัวลงชั่วขณะหนึ่ง
การโจมตี Ankr
Ankrถูกสร้างขึ้นเพื่อพัฒนา web3 อันคร์เป็นโครงสร้างพื้นฐานที่ใช้เทคโนโลยีบล็อกเชนและมีความสามารถในด้าน DeFiในปี 2022โดนแฮกครับ แฮกเกอร์ได้รับคีย์ส่วนตัวที่พัฒนาแล้วและดำเนินการอัปเกรดสมาร์ทคอนแทร็กต์ นี่อนุญาตให้พวกเขาสร้างมิ้นท์ 6sixquadrillion aBNBc โทเค็น ซึ่งจากนั้นถูกแปลงเป็น 5 ล้าน USDC จากผลจากการโจมตี Ankr สูญเสีย 5 ล้านดอลลาร์และต้องหยุดการถอน ANKR บน Binance
วิธีป้องกันการโจมตีมิ้นท์แบบไม่จำกัด
นักพัฒนาโครงการคริปโตต้องใส่ความปลอดภัยเป็นสิ่งที่สำคัญเมื่อสร้างโครงการ เศรษฐกิจแบบกระจายกำลังเปลี่ยนแปลงไปเรื่อยๆ มีนวัตกรรมมากมาย แต่ผู้แฮกเกอร์ก็เช่นกัน จึงต้องมีการเน้นในการป้องกันมากกว่าการลดความเสียหาย
นักพัฒนาต้องดำเนินการหลายขั้นตอนเพื่อป้องกันการโจมตีเช่นการโจมตีมิ้นท์แบบไม่จำกัด หนึ่งขั้นตอนในการรักษาความปลอดภัยของสมาร์ทคอนแทร็คคือการดำเนินการอย่างเต็มที่การตรวจสอบบ่อยครั้ง การตรวจสอบคือกระบวนการตรวจสอบรหัสของสัญญาอัจฉริยะเพื่อตรวจหาช่องโหว่ที่อาจถูกใช้ประโยชน์ได้ อย่าง理想แล้ว การตรวจสอบเหล่านี้ไม่ควรเป็นภายใน แต่ควรจะถูกจัดการโดยผู้เชี่ยวชาญด้านความปลอดภัยจากบุคคลที่เชื่อถือได้
การกระทำอีกอย่างคือการปิดทับฝาให้กับผู้ที่มีสิทธิ์ในการควบคุมการสร้างเหรียญ เมื่อมีผู้คนมากเกินไปที่มีสิทธิ์ จะทำให้ง่ายต่อการซึมเข้ามาและถูกใช้ประโยชน์ โครงการยังสามารถใช้หลายลายเซ็นต์กระเป๋าเงินสำหรับเพิ่มความปลอดภัยเพราะว่าจะต้องใช้กุญแจส่วนตัวหลายตัวเพื่อเข้าถึงบัญชี
ในที่สุด โครงการควรจดจำถึงความสำคัญของการตรวจสอบและการสื่อสาร. พวกเขาควรมีเครื่องมือตรวจสอบที่ทันสมัยเพื่อระบุความผิดปกติใด ๆ ในวินาทีที่พวกเขาเริ่มต้น หากพวกเขามีสายการสื่อสารที่เปิดกว้างกับการแลกเปลี่ยนโครงการอื่น ๆ และชุมชน crypto พวกเขาสามารถคาดการณ์การโจมตีและวางแผนการป้องกันได้
อนาคตของ Smart Contract Security ในโลก Crypto
กับการเกิดขึ้นของสมาร์ทคอนแทร็กเตอร์ เรายังต้องมีสิ่งที่จะนำมาใช้ให้ถูกต้องด้วย ในกรณีนี้เรากังวลเกี่ยวกับความปลอดภัยดังนั้นผู้ใช้จึงไม่ได้รับผลกระทบในระหว่างการละเมิด สิ่งแรกที่เราสามารถทำได้คือแนะนำโครงการให้ปลอดภัย พวกเขาสามารถทำตามขั้นตอนที่ระบุไว้ในหัวข้อย่อยสุดท้าย ปัญหาคือบางโครงการอาจไม่ทำตามคำแนะนำ และกฎหมายเกี่ยวกับสมาร์ทคอนแทรคยังมีน้อยมาก ดังนั้น เราจะไปไหนต่อ?
สัญญาอัจฉริยะเป็นเรื่องใหม่และกฎหมายยังไม่ได้ตามรอบพวกมันอยู่ ขณะนี้สิ่งสำคัญสองอย่างที่ควรพิจารณาคือความสามารถในการบังคับใช้และเขตอำนาจกำหนด ด้วยสัญญาอัจฉริยะที่ถูกสร้างขึ้นบนบล็อกเชนสำหรับบริการที่มีลักษณะกระจายกฎหมายสามารถบังคับใช้กฎระเบียบต่อพวกเขาได้หรือไม่? มีกฎหมายและคดีศาลเกี่ยวกับคริปโต แต่สัญญาอัจฉริยะยังไม่ได้รับการพิจารณาให้เพียงพอ
ตอนนี้เกี่ยวกับเขตอำนาจศาลคำถามคือว่ากฎหมายจะทำอย่างไรเมื่อมีความแตกต่างในกฎหมาย? สิ่งที่ถูกต้องตามกฎหมายในสหรัฐอเมริกาอาจเป็นสิ่งผิดกฎหมายในสหราชอาณาจักร ในการแก้ไขปัญหาเหล่านี้จะต้องมีกรอบกฎหมายที่ชัดเจนที่ทำงานเพื่อแก้ไขปัญหาความปลอดภัยของสัญญาอัจฉริยะ ผู้เชี่ยวชาญด้านเทคโนโลยีบล็อกเชนและกฎหมายควรทำงานร่วมกันเพื่อให้มีการเชื่อมั่นได้
ยังมีความหวังเล็กน้อยที่คงอยู่ ในปี 2023 จำนวนการโจมตี DeFi ลดลงมากกว่า 50%ถ้ามีกฎระเบียบเหล่านี้ถูกนำมาใช้ ก็จะทำให้การโจมตีมิ้นท์แบบไม่จำกัดลดลงไปได้อีก
สรุป
เพื่อสรุป การโจมตีมิ้นท์แบบไม่จำกัดเป็นยุทธวิธีที่มีความชาญฉลาดและเร็ว หากผู้โจมตีเริ่มต้น พวกเขาสามารถสร้างเหรียญล้านๆ ในเพียงไม่กี่นาทีเท่านั้น แต่การโจมตีสามารถป้องกันได้หากมีการระงับความปลอดภัยที่เหมาะสม
ยังมีขั้นตอนบางอย่างที่ยังคงมีอยู่ในการสร้างกรอบกฎหมายที่เหมาะสมเพื่อป้องกันโครงการและผู้ใช้ของพวกเขาจากการโจมตีมิ้นท์แบบไม่จำกัด ในขณะนี้โครงการการเงินที่ไม่มีกฎหมาย (DeFi) ต้องมีความปลอดภัยและระมัดระวังเพิ่มเติม
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน