Comprenda el ataque de acuñación ilimitada en un solo artículo

En esencia, la idea central de Web3 es eliminar la interferencia de instituciones centralizadas y hacer que las transacciones sean más libres. La razón por la cual las instituciones centralizadas pueden participar en transacciones tradicionales en gran medida se debe a que pueden garantizar la seguridad de las partes involucradas y sus activos. En este sentido, aunque Web3 tiene un nivel de seguridad más avanzado, todavía existen algunas vulnerabilidades.

La criptomoneda proporciona una nueva forma de transferir activos, pero también conlleva nuevos riesgos. Un ejemplo innovador y altamente destructivo es el ataque de creación ilimitada de monedas.

A través de este tipo de ataque, el Hacker ya ha robado millones de dólares de varios proyectos de encriptación, muchos de los cuales aún no se han recuperado por completo. Para abordar este problema, necesitamos entender los principios y el funcionamiento del ataque de creación ilimitada de monedas, así como tomar medidas preventivas correspondientes.

¿Qué es un ataque de acuñación infinita?

La Descentralización Financiera (Finanzas descentralizadas) y el protocolo suelen ser el objetivo principal de los ataques de creación ilimitada de monedas. Los proyectos de Finanzas descentralizadas dependen de Contratos inteligentes para lograr una gestión automatizada, y estos contratos son Código abierto, lo que significa que cualquier persona puede ver su código. Si los contratos están mal escritos o tienen una seguridad deficiente, los Hackers pueden encontrar vulnerabilidades y aprovecharlas.

Al implementar un ataque de acuñación ilimitada, el Hacker aprovechará las vulnerabilidades en el contrato para modificar la función de acuñación del proyecto. La función de acuñación es responsable de controlar la cantidad de Token, y el Hacker, a través del ataque, ordenará al contrato acuñar nuevos Token más allá de los límites, lo que provocará una rápida devaluación del valor del Token.

La velocidad del ataque de acuñación infinita es extremadamente rápida. Durante el ataque, el Hacker invade rápidamente el sistema, altera el contrato para acuñar nuevos Tokens, y luego los vende rápidamente. Por lo general, cambiarán los Tokens por BTC (BTC) u otras monedas estables (USDC) u otros activos más valiosos. A través de operaciones repetidas, cuando el mercado finalmente reacciona, el Hacker ya ha obtenido ganancias, mientras que el valor de los Tokens se vuelve casi nulo.

¿Cómo funciona el ataque de acuñación infinita?

Hacker en acción rápida y precisa al realizar un ataque de acuñación infinita . El ataque puede completarse en minutos según la congestión de la red y el tiempo de respuesta de la plataforma. El ataque de acuñación infinita generalmente consta de cuatro pasos principales:

1. Descubrir vulnerabilidades

Para lanzar con éxito un ataque, el proyecto debe tener vulnerabilidades, y los Hackers saben muy bien dónde buscar esas vulnerabilidades, es decir, en los contratos inteligentes. Los contratos inteligentes son clave en la Descentralización automática del proyecto para la ejecución del protocolo, sin necesidad de intervención de terceros.

Debido a que los contratos inteligentes son inmutables y transparentes, los hackers pueden estudiar su código, buscar y aprovechar las vulnerabilidades.

2. Aprovechando las vulnerabilidades

Los Hackers suelen buscar vulnerabilidades en la función de acuñación de tokens en los contratos. Una vez encontrada, establecerán transacciones específicas para sortear las comprobaciones y restricciones estándar del contrato, y así acuñar un exceso de Tokens.

Esta transacción construida puede ejecutar funciones específicas, ajustar parámetros o aprovechar asociaciones desconocidas entre códigos.

3. acuñar并dumping

Después de que el Contrato inteligente sea atacado, los Hackers pueden acuñar nuevos Token y vender rápidamente estos Token.

Una gran cantidad de nuevos tokens ingresan al mercado y generalmente los hackers los cambian rápidamente por monedas estables. Durante este proceso, el valor del token cae rápidamente.

4. Obtener ganancias

Después de la depreciación del Token, el Hacker se beneficia en la última etapa del ataque de acuñación infinita. A pesar de que en ese momento el Token ya había perdido la mayor parte de su valor, el ajuste del mercado es relativamente lento, por lo que el Hacker aprovechará antes de que el mercado reaccione para cambiar el Token casi sin valor por stablecoins y obtener ganancias.

En este paso, la forma en que el Hacker puede obtener ganancias puede ser a través de varias formas, como dumpingToken a un precio alto antes de que el mercado reaccione; encontrar precios no ajustados en diferentes plataformas para realizar Arbitraje; o agotar los activos existentes en el pool de liquidez mediante el intercambio de nuevos Tokens acuñados.

Fuente: pexels

###Caso práctico de ataque de acuñación infinita

Con la popularización de Web3, especialmente el surgimiento de BTC, también ha aumentado la cantidad de incidentes de ataque; el primer incidente que vale la pena seguir fue el ataque de Hacker a Mg.Gox en 2011. Desde entonces, los métodos de ataque se han vuelto cada vez más complejos, incluso ahora hay ataques de creación ilimitada de monedas. A continuación se presentan algunos casos relacionados:

####Ataque a Coverprotocolo

Coverprotocolo es un proyecto de Finanzas descentralizadas, que tiene como objetivo proporcionar seguros para otros proyectos de Finanzas descentralizadas en caso de vulnerabilidades, ataques, etc., a través de contratos inteligentes. En diciembre de 2020, sufrieron un ataque de emisión ilimitada, donde un Hacker robó 1 millón de DAI, 1400 ETH y 90 WBTC, con un total de más de 4 millones de dólares.

El atacante acuñó una gran cantidad de Token manipulando una vulnerabilidad en el contrato inteligente de Cover. Utilizando vulnerabilidades en la gestión de memoria y almacenamiento del lenguaje de programación, el Hacker logró acuñar 40 billones de COVER Token y, en poco tiempo, dumping tokens por un valor de 5 millones de dólares. El valor de los Cover Token cayó un 75% en 24 horas.

Después de unas horas, un Hacker White Hat llamado Grap Finance a través de las redes sociales X 宣布对此次攻击负责，并表示所有资金已归还。

####Ataque a la red de PAID

PAID Network.) es una plataforma de Descentralización financiera dedicada a simplificar los contratos. Utiliza la tecnología blockchain para automatizar y simplificar el proceso de elaboración de contratos legales y protocolos comerciales. A principios de 2021, la plataforma de Paid Network fue atacada por un Hacker que explotó una vulnerabilidad en el contrato de acuñación de Paid Network, acuñando una gran cantidad de Token y logrando canjear 2.5 millones de Token por Ethereum.

Este ataque resultó en una pérdida de $180 millones para la red PAID, con una disminución del valor del token del 85%. Algunos usuarios sospecharon que se trataba de un esquema de estafa orquestado. Posteriormente, la red PAID compensó a todos los usuarios afectados y aclaró las dudas relacionadas.

####Ataque del puente BNB

El puente BNB permite a los usuarios realizar transferencias intercadenas, a través de las cuales pueden transferir activos desde la cadena Binance Chain a la Binance Smart Chain (BSC). En octubre de 2022, el puente fue víctima de un ataque de acuñado infinito. El Hacker aprovechó una vulnerabilidad del contrato para acuñar tokens BNB por un valor total de 586 millones de dólares (un total de 2 millones).

Los Hacker acuñaron directamente estos BNB en su Billetera, pero no intercambiaron estos Tokens ni los transfirieron fuera de la plataforma de Binance, sino que los utilizaron como garantía para obtener un préstamo y enviarlo a otra red. Afortunadamente, este ataque fue detenido a tiempo por los validadores de Binance, aunque la cadena inteligente tuvo que suspender temporalmente su funcionamiento.

####Ataque Ankr

(https://kriptomat.io/cryptocurrency-prices/ankr-price/what-is/#:~:text=Ankr%20was%20founded,ANKR%20Web3%20platform.) es una infraestructura basada en la cadena de bloques y con funcionalidades DeFi, diseñada para impulsar el desarrollo de Web3 en Bloquear. En[Ankr]2022年，ANKR fue hackeado. El hacker obtuvo las claves privadas del desarrollador y actualizó el contrato inteligente, lo que le permitió acuñar seis cuatrillones de tokens aBNBc, que luego fueron convertidos en 500 millones de dólares USDC. Este ataque causó a ANKR una pérdida de 5 millones de dólares y provocó la suspensión de los retiros de ANKR en la plataforma de Binance.

###¿Cómo prevenir un ataque de creación ilimitada de monedas?

Al desarrollar proyectos de encriptación, los desarrolladores deben priorizar la seguridad. Con el rápido desarrollo de la economía descentralizada, surgen constantemente nuevas ideas innovadoras, y los hackers cada vez son más sofisticados en sus ataques. Por lo tanto, es más importante prevenir que remediar.

Los desarrolladores deben tomar varias medidas para protegerse contra ataques de hackers como la emisión infinita de monedas. En primer lugar, la seguridad de los contratos inteligentes debe lograrse mediante auditorías regulares. Una auditoría es un proceso para verificar si hay vulnerabilidades de seguridad en el código del contrato inteligente, y es mejor que sea realizada por expertos en seguridad de terceros en lugar de depender de revisiones internas.

En segundo lugar, se debe restringir estrictamente el acceso al control de la función de acuñación. Si hay demasiadas personas que pueden manipular la función de acuñación, el proyecto será más vulnerable a intrusiones y abusos. El uso de una Billetera de multifirma es otra medida de seguridad efectiva, ya que requiere múltiples Llave privada para acceder a la cuenta, lo que aumenta significativamente la seguridad.

Por último, los desarrolladores del proyecto deben dar importancia a la monitorización en tiempo real y a la comunicación También es importante contar con un sistema de monitorización avanzado para que el proyecto pueda responder de manera rápida ante cualquier anomalía. Además, mantener una estrecha comunicación con los intercambios, otros desarrolladores y la comunidad de encriptación puede ayudar al proyecto a anticipar posibles amenazas y elaborar planes de defensa.

###encriptación世界中的 Contrato inteligente安全未来

Con la creciente adopción de los contratos inteligentes, también es necesario mejorar constantemente las leyes y regulaciones de seguridad en torno a su ámbito de aplicación. En el contexto actual, es aún más importante seguir la seguridad de los contratos inteligentes aquí para garantizar que los usuarios no sufran pérdidas debido a vulnerabilidades. En primer lugar, el equipo detrás del proyecto debe tomar las medidas de seguridad necesarias, siguiendo los pasos preventivos mencionados anteriormente. Sin embargo, la realidad es que las leyes existentes relacionadas con los contratos inteligentes aún no están completas y es posible que algunos proyectos ignoren las recomendaciones mencionadas en este artículo. ¿Cómo debemos abordar esta cuestión en tal situación?

Los contratos inteligentes como una tecnología emergente todavía se encuentran en la periferia de la formulación del marco legal. En esta etapa, los dos problemas más importantes que deben ser seguidos son la ejecutabilidad del contrato y la jurisdicción. Los contratos inteligentes existen en la cadena de bloques y están destinados a servir a la economía descentralizada, entonces ¿puede la ley imponer restricciones sobre ellos? Aunque ya hay algunas leyes y casos de criptomonedas relacionados, todavía hay una falta de discusión legal sobre contratos inteligentes.

Otro desafío con respecto a la jurisdicción es la diferencia en las leyes de cada país. Lo que puede ser legal en Estados Unidos puede ser ilegal en el Reino Unido. Para abordar estos problemas, se debe fortalecer el marco regulatorio de la seguridad de los contratos inteligentes. Los expertos en tecnología de la cadena de bloques y los profesionales legales deben trabajar juntos para llegar a un consenso unificado.

En la actualidad, sigue habiendo una gran esperanza de ver mejoras. En 2023, el número de ataques de Hacker en el campo de las Finanzas descentralizadas (DeFi) disminuyó en más del 50% (https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2024/#:~:text=But%20in%202023%2C%20hackers%20stole,see%20on%20the%20chart%20below.). Si se pueden establecer e implementar regulaciones correspondientes, los incidentes de ataques de Hacker a nivel global se reducirán aún más.

###Conclusión

En general, el ataque de acuñando ilimitado es rápido y estratégico. Una vez que el Hacker lanza el ataque, pueden acuñar millones de Tokens en cuestión de minutos. Sin embargo, mediante la adopción de las medidas de seguridad adecuadas, el equipo detrás del proyecto puede prevenir eficazmente estos ataques.

En el futuro, sigue siendo necesario mejorar aún más el marco legal para proteger los intereses del equipo detrás del proyecto y de los usuarios contra los ataques de emisión ilimitada. Actualmente, los proyectos de DeFi deben mantener una alta conciencia de seguridad y estar alerta ante posibles amenazas.