Comprendre l'attaque de frappe de pièces infinie en un coup d'œil

Fondamentalement, l'idée centrale de Web3 est de se débarrasser de l'interférence d'organisations centralisées pour rendre les transactions plus libres. Les organisations centralisées peuvent participer aux transactions traditionnelles en grande partie parce qu'elles peuvent garantir la sécurité des parties prenantes et de leurs actifs. À cet égard, bien que Web3 présente un niveau de sécurité plus élevé, il comporte encore certains risques.

Les cryptoactifs offrent un nouveau moyen de transférer des actifs, mais ils apportent également de nouveaux risques. L'attaque d'émission illimitée de pièces est l'un des moyens innovants et extrêmement destructeurs.

Avec cette méthode d'attaque, le Hacker a déjà volé des millions de dollars à partir de nombreux projets de chiffrement, et de nombreux projets n'ont toujours pas récupéré complètement. Pour résoudre ce problème, nous devons comprendre le principe et le fonctionnement de l'attaque de création de monnaie infinie, ainsi que les mesures de précaution à prendre.

###Qu'est-ce qu'une attaque de création monétaire illimitée ?

Les protocoles de la finance décentralisée (DeFi) sont souvent la cible principale des attaques d'inflation monétaire illimitée. Les projets de finance décentralisée s'appuient sur des Smart Contracts pour assurer une gestion automatisée, et ces contrats sont Open Source, ce qui signifie que n'importe qui peut consulter leur code. Si les contrats sont mal écrits ou insuffisamment sécurisés, les hackers peuvent facilement trouver des failles et les exploiter.

Lors de la mise en œuvre d'une attaque de minting illimité, un Hacker exploitera les failles du contrat pour altérer la fonction de minting du projet. La fonction de minting est responsable de la gestion de la quantité de Jetons, et le Hacker, en lançant une attaque, ordonnera au contrat de minting de créer de nouveaux Jetons au-delà des limites, ce qui entraînera une dépréciation rapide de la valeur des Jetons.

La vitesse de frappe de l'attaque de minting illimité est extrêmement rapide. Pendant l'attaque, les Hackers envahissent rapidement le système, altèrent le contrat pour créer de nouveaux Jetons, puis les vendent rapidement. Généralement, ils échangent les Jetons contre des actifs plus précieux tels que le Bitcoin (BTC) ou des stablecoins (USDC). En répétant ces opérations, au moment où le marché réagit, les Hackers ont déjà réalisé des profits tandis que la valeur des Jetons est presque nulle.

Comment fonctionne l'attaque de création de monnaie illimitée ?

Lors de l'exécution de l'attaque de frappe infinie, le Hacker agit rapidement et avec précision. Selon la congestion du réseau et le temps de réponse de la plateforme, l'attaque peut être terminée en quelques minutes. L'attaque de frappe infinie comporte généralement quatre étapes principales :

1. Découverte de vulnérabilités

Pour réussir une attaque, le projet doit avoir des failles, et les Hackers savent très bien où chercher ces failles - c'est-à-dire dans les smart contracts. Les smart contracts sont essentiels à l'exécution automatisée des protocoles dans les projets de Décentralisation, sans intervention de tiers.

En raison de l'immutabilité et de la transparence publique des smart contracts, les hackers peuvent étudier leur code, trouver et exploiter les failles.

2. Utiliser les vulnérabilités

Les Hackers recherchent généralement des failles dans les fonctionnalités de minting des contrats. Une fois trouvées, ils établissent des transactions spécifiques pour contourner les vérifications et les restrictions standard du contrat, ce qui leur permet de minting une quantité excessive de Jeton.

Une transaction construite de cette manière peut exécuter des fonctions spécifiques, ajuster des paramètres ou exploiter des relations inconnues entre les codes.

3. minting并dumping

Après la violation du contrat intelligent, les Hackers peuvent créer de nouveaux Jetons Jeton et les vendre rapidement.

Une grande quantité de nouveaux Jeton affluent sur le marché, et les pirates informatiques ont généralement tendance à les échanger rapidement contre des stablecoins. Au cours de ce processus, la valeur du Jeton va rapidement chuter.

4. Obtenir des bénéfices

Après la dépréciation du Jeton, le Hacker a profité de la dernière étape de l'attaque de création de jetons illimitée. Bien que le Jeton ait alors perdu une grande partie de sa valeur, le marché ajuste relativement lentement, le Hacker profitera de la réaction du marché pour échanger ses Jetons presque sans valeur contre des jetons stables, et en tirer profit ici.

À cette étape, les moyens de profit du Hacker peuvent être réalisés de plusieurs manières, comme le dumping de Jeton à un prix élevé avant la réaction du marché; vendre à des prix non ajustés sur différentes plateformes pour obtenir de l'arbitrage; ou épuiser les actifs existants du pool de liquidité en échangeant des Jeton nouvellement mintés.

Source: pexels

###Exemple concret d'une attaque d'émission illimitée de jetons

Avec la popularité de Web3, en particulier avec la montée en puissance de BTC, les attaques de toutes sortes se sont multipliées ; le premier incident digne d'être suivi a été l'attaque de Mg.Gox par un Hacker en 2011. Depuis lors, les méthodes d'attaque sont devenues de plus en plus complexes, et il existe même des attaques d'émission de jetons illimitées. Voici quelques exemples connexes :

####Attaque du protocole de couverture

Coverprotocole est un projet de Finance décentralisée qui vise à fournir une assurance pour les vulnérabilités, les attaques et autres problèmes de Smart Contracts pour d'autres projets de Finance décentralisée. En décembre 2020, ils ont été victimes d'une attaque d'émission de jetons illimitée où un Hacker a volé 1 million de DAI, 1400 ETH et 90 WBTC, pour un total de plus de 4 millions de dollars.

En exploitant une faille dans le Smart Contract de Cover, l'attaquant a créé un grand nombre de Jetons. En utilisant une vulnérabilité de gestion de la mémoire et du stockage dans les langages de programmation, le Hacker a réussi à créer 40 billions de Jetons COVER mint et à vendre rapidement pour une valeur de 5 millions de dollars. La valeur des Jetons Cover a chuté de 75% en 24 heures selon les données de CoinGecko.

Quelques heures plus tard, un 白帽Hacker nommé Grap Finance a utilisé les médias sociaux X a annoncé être responsable de cette attaque et a déclaré que tous les fonds ont été restitués.

####Attaque du réseau PAID

Le réseau PAID est une plateforme de finance décentralisée (DeFi) qui vise à simplifier les contrats. Il utilise la technologie de la blockchain pour automatiser et simplifier le processus de création de contrats juridiques et commerciaux. Au début de 2021, le réseau PAID a été victime d'une attaque. Un hacker a exploité une faille dans le contrat de minting du réseau PAID pour créer une grande quantité de Jetons, réussissant ainsi à échanger 2,5 millions de Jetons contre de l'Ethereum.

Cette attaque a entraîné une perte de 180 millions de dollars pour le réseau PAID, et la valeur du Jeton a chuté de 85 %. Certains utilisateurs ont émis des doutes à ce sujet, estimant qu'il s'agissait d'une arnaque préméditée. Par la suite, le réseau PAID a indemnisé tous les utilisateurs affectés et dissipé les doutes connexes.

####Attaque de pont BNB

Le pont BNB permet aux utilisateurs d'effectuer des transferts cross-chain d'interaction, leur permettant de déplacer des actifs de la chaîne Binance Smart vers la chaîne Binance Smart (BSC). En octobre 2022, ce pont a été victime d'une attaque de création de jetons illimitée. Le Hacker a utilisé une faille de contrat pour créer des JetonsBNB d'une valeur de 586 millions de dollars (pour un total de 2 millions).

Les Hacker mintent ces BNB directement dans leur Portefeuille, mais ils ne les échangent pas contre ces Jeton, et ne les transfèrent pas hors de la plateforme Binance, ils les utilisent comme garantie pour obtenir un prêt et envoient le prêt vers un autre réseau. Heureusement, cette attaque a été bloquée à temps par les validateurs de Binance, mais la chaîne intelligente a dû suspendre temporairement ses opérations.

####Attaque Ankr

(https://kriptomat.io/cryptocurrency-prices/ankr-price/what-is/#:~:text=Ankr%20was%20founded,ANKR%20Web3%20platform.) is an infrastructure based on the Bloc chain with DeFi functionality, aimed at promoting the development of Web3.[Ankr]2022年，Ankr曾遭到黑客攻击。黑客获取了开发者的私钥并修改了智能合约，使其可以铸造六千万亿aBNBc代币，随后这些代币被兑换为500万美元的USDC。此次攻击给Ankr造成了500万美元的损失，并使ANKR在币安平台上的提现暂停。

###Comment se prémunir contre les attaques de frappe infinie de monnaie ?

Lors du développement de projets de chiffrement, les développeurs doivent placer la sécurité au premier plan. Avec le développement rapide de l'économie de la Décentralisation, toutes sortes d'idées innovantes émergent, et les méthodes de piratage des Hackers deviennent de plus en plus sophistiquées. Par conséquent, la prévention est plus importante que la correction.

Les développeurs doivent prendre plusieurs mesures pour se prémunir contre des attaques de hackers telles que l'inflation infinie. Tout d'abord, la sécurité des contrats intelligents doit être assurée par des audits réguliers. Un audit consiste à vérifier s'il existe des failles de sécurité dans le code des contrats intelligents, de préférence réalisé par des experts en sécurité tiers plutôt que par une simple vérification interne.

Deuxièmement, il est essentiel de limiter strictement l'accès au pouvoir de frappe de la monnaie. Si trop de personnes peuvent manipuler la fonction de frappe de la monnaie, le projet devient plus vulnérable aux attaques et aux abus. L'utilisation d'un Portefeuille multisignature est une autre mesure de sécurité efficace, car il nécessite plusieurs Clés privées pour accéder au compte, ce qui renforce considérablement la sécurité.

Enfin, les porteurs de projet devraient accorder une attention particulière à la surveillance en temps réel et à la communication. Des outils de surveillance en temps réel sont nécessaires pour répondre rapidement aux attaques potentielles et identifier tout schéma de transaction anormal ou toute augmentation soudaine de l'offre de jetons. De plus, maintenir des liens étroits avec les plateformes d'échange, les autres porteurs de projet et la communauté du chiffrement permet aux porteurs de projet d'anticiper les problèmes potentiels et de planifier des solutions en cas de besoin. En équipant le projet d'un système de surveillance avancé, il peut réagir rapidement en cas d'anomalie.

###L'avenir sécurisé des smart contracts dans le monde du chiffrement

Avec la popularisation des smart contracts, il est également nécessaire d'améliorer en permanence les lois et les normes de sécurité qui les entourent. Dans ce contexte, nous devons suivre attentivement la sécurité des smart contracts afin de garantir que les utilisateurs ne subissent aucune perte due à des failles. Tout d'abord, les projets devraient prendre les mesures de sécurité nécessaires et suivre les étapes de prévention mentionnées ci-dessus. Cependant, la réalité est que les lois existantes concernant les smart contracts ne sont pas encore complètes et certains projets pourraient négliger les recommandations mentionnées dans cet article. Dans une telle situation, comment devrions-nous faire face à ce problème ?

En tant que nouvelle technologie, les Smart Contracts se situent encore en périphérie du cadre juridique. Les deux problèmes les plus importants à suivre à ce stade sont l'exécution des contrats et la compétence juridictionnelle. Les Smart Contracts sont présents sur la blockchain et visent à servir l'économie décentralisée, donc est-il possible de les soumettre à des contraintes juridiques ? Bien qu'il existe déjà quelques lois et litiges liés aux cryptoactifs, les discussions juridiques concernant les Smart Contracts restent insuffisantes.

Un autre défi lié à la juridiction est la divergence des lois entre les pays. Une action légale aux États-Unis peut être illégale au Royaume-Uni. Pour résoudre ces problèmes, il est nécessaire de renforcer le cadre de réglementation de la sécurité des contrats intelligents. Les experts en technologie blockchain et les professionnels du droit doivent travailler ensemble pour parvenir à un consensus unifié.

Il y a encore de grands espoirs d'amélioration. En 2023, le domaine de la finance décentralisée (DeFi) a connu une baisse de plus de 50% du nombre d'attaques de hackers. Si des réglementations correspondantes peuvent être élaborées et mises en œuvre, les incidents d'attaques de hackers à l'échelle mondiale diminueront davantage.

###Conclusion

Dans l'ensemble, l'attaque de Jeton minting illimité est rapide et stratégique. Une fois que le Hacker lance l'attaque, il peut mint des millions de Jeton en quelques minutes. Cependant, en prenant les mesures de sécurité appropriées, le projet de fête peut prévenir efficacement ces attaques.

À l'avenir, il est toujours nécessaire de perfectionner davantage le cadre juridique afin de protéger les intérêts des projets de fête et des utilisateurs contre les attaques illimitées de création de monnaie. Actuellement, les projets DeFi doivent maintenir une grande conscience de sécurité et rester vigilants face aux menaces potentielles.