Compreender o ataque de cunhagem infinita em um único artigo

Essencialmente, a ideia central do Web3 é livrar-se da interferência das instituições centralizadas e tornar as transações mais livres. A capacidade das instituições centralizadas de participar em transações tradicionais deve-se, em grande parte, à sua capacidade de garantir a segurança das partes envolvidas e dos seus ativos. Embora o Web3 tenha um nível mais elevado de segurança, ainda assim apresenta algumas vulnerabilidades.

Ativos de criptografia oferecem novas formas de transferência de ativos, mas também trazem novos riscos. Um dos métodos inovadores e altamente destrutivos é o ataque de emissão ilimitada de moedas.

Através deste tipo de ataque, o Hacker já conseguiu roubar milhões de dólares de vários projetos de encriptação, muitos dos quais ainda não recuperaram totalmente. Para resolver este problema, é necessário compreender os princípios e o funcionamento do ataque de coins infinitos, bem como adotar medidas preventivas adequadas.

O que é um ataque de mintagem infinito?

A Descentralização financeira (Finanças Descentralizadas) é geralmente o principal alvo de ataques de criação ilimitada de moedas. Os projetos de Finanças Descentralizadas dependem de contratos inteligentes para automação de gerenciamento, e esses contratos são de código aberto, o que significa que qualquer pessoa pode visualizar seu código. Se o contrato for mal escrito ou tiver pouca segurança, os Hackers podem facilmente encontrar falhas e explorá-las.

Ao realizar um ataque de cunhagem ilimitada, o Hacker aproveita as vulnerabilidades no contrato para modificar a função de cunhagem do projeto. A função de cunhagem é responsável por controlar a quantidade de Tokens, e o Hacker, por meio do ataque, comanda o contrato para cunhar novos Tokens além do limite, causando uma rápida desvalorização do valor do Token.

A velocidade do ataque de cunhagem infinita é extremamente rápida. Durante o ataque, o Hacker invade rapidamente o sistema, altera o contrato para cunhar novos Tokens, e depois descarta rapidamente esses Tokens. Geralmente, eles trocam os Tokens por BTC (BTC) ou stablecoins (USDC) e outros ativos mais valiosos. Com operações repetidas, quando o mercado se apercebe, o Hacker já lucrou, mas o valor do Token tornou-se quase inútil.

###Como funciona o ataque de cunhagem infinita?

Hacker performs infinite mint attacks quickly and accurately. The attack may be completed within minutes depending on network congestion and platform response time. Infinite mint attacks generally consist of four main steps:

1. Descobrir vulnerabilidades

Para lançar um ataque bem-sucedido, o projeto deve ter vulnerabilidades e o Hacker sabe muito bem onde procurar por elas - nos contratos inteligentes. Os contratos inteligentes são fundamentais para a execução automatizada de protocolos em projetos descentralizados, sem a necessidade de intervenção de terceiros.

Devido à natureza imutável e transparente dos contratos inteligentes, os Hackers podem estudar o seu código, procurar e explorar as vulnerabilidades.

2. Aproveitando-se de falhas

Os hackers geralmente procuram vulnerabilidades na função de cunhagem de tokens nos contratos. Uma vez encontradas, eles estabelecem transações específicas para contornar as verificações e restrições padrão no contrato, permitindo a cunhagem excessiva de Tokens.

Esta transação construída pode executar funções específicas, ajustar parâmetros ou explorar relações desconhecidas entre códigos.

3. cunhagem并descartar

Após o contrato inteligente ser violado, o Hacker pode criar novos Tokens e descartá-los rapidamente.

Uma grande quantidade de novos Tokens entra no mercado e, geralmente, os hackers rapidamente os trocam por moedas estáveis. Durante esse processo, o valor dos Tokens cai rapidamente.

4. Obter lucro

Depois que o Token desvaloriza, o Hacker lucra com a última etapa do ataque de cunhagem infinita. Embora o Token tenha perdido a maior parte de seu valor, o mercado se ajusta lentamente e o Hacker aproveita a reação do mercado para trocar o Token praticamente sem valor por stablecoins e lucrar com isso.

Nesta etapa, o Hacker pode obter lucro de várias maneiras, como descartarToken a um preço alto antes da reação do mercado; vender a preços não ajustados em diferentes plataformas para obter Arbitragem; ou esgotar os ativos existentes do pool de liquidez trocando por novos Tokens cunhados.

Fonte: pexels

###Exemplo Real de Ataque de Emissão Ilimitada de Moedas

Com a popularização do Web3, especialmente com o surgimento do BTC, houve um aumento significativo de vários tipos de ataques; o primeiro grande ataque que vale a pena mencionar foi o ataque do Hacker à Mg.Gox. Desde então, os métodos de ataque se tornaram cada vez mais complexos, e agora até mesmo existem os ataques de criação ilimitada de moedas. Seguem-se os casos relacionados:

####Ataque ao protocolo Cover

Coverprotocolo é um projeto de Finanças Descentralizadas que visa fornecer seguro para vulnerabilidades, ataques e outros incidentes de Contrato inteligente em outros projetos de Finanças Descentralizadas. Em dezembro de 2020, eles sofreram um ataque de criação infinita de moedas, onde um Hacker roubou 1 milhão de DAI, 1400 ETH e 90 WBTC, totalizando mais de 4 milhões de dólares.

Ao manipular a vulnerabilidade inteligent da Contrato na capa, o atacante criou um grande número de tokens. Explorando o gerenciamento de memória e armazenamento em linguagens de programação [vulnerabilidade](https://www.coindesk.com/markets/2020/12/28/cover-protocol-attack-perpetrated-by-white-hat-funds-returned-hacker-claims/?_gl=1o9xt6c_upMQ.. _gaMTQ5NjUwNDM1LjE3MjY0ODk0MzU._ga_VM3STRYVN8MTcyNjQ4OTQzNS4xLjAuMTcyNjQ4OTQzNS4wLjAuMzIwNTEyMTg2#:~:text=%22The%20attack%20does,the%20programming%20language.) Hacker conseguiu cunhar [40 trilhões COVERToken] (https://etherscan.io/tx/0xca135d1c4268d6354a019b66946d4fbe4de6f7ddf0ff56389a5cc2ba695b035f) e descartar US $ 5 milhões em tokens em um curto período de tempo. O valor do CoverToken [cai 75%] em 24 horas (https://www.coindesk.com/markets/2020/12/28/cover-protocol-attack-perpetrated-by-white-hat-funds-returned-hacker-claims/?_gl=1o9xt6c*_up* MQ.. _gaMTQ5NjUwNDM1LjE3MjY0ODk0MzU._ga_VM3STRYVN8MTcyNjQ4OTQzNS4xLjAuMTcyNjQ4OTQzNS4wLjAuMzIwNTEyMTg2#:~: text=O%20price%20of%20COVER%20has%20despencou%20to%20%24177%20by%20over%2075%25%20over%20the%20last%2024%2Dhour%20period%2C%20according%20to%20the%20data%20from% 20CoinGecko.)。

Algumas horas depois, um 白帽Hacker chamado Grap Finance divulgou nas redes sociaisX Anunciou a responsabilidade pelo ataque e afirmou que todos os fundos foram devolvidos.

####Ataque à Rede Paid

A rede PAID.) é uma plataforma de finanças Descentralização dedicada a simplificar contratos. Ela automatiza e simplifica o processo de elaboração de contratos legais e protocolo comercial usando tecnologia de blockchain. No início de 2021, a plataforma da rede PAID foi atacada. Um Hacker explorou uma vulnerabilidade no contrato de cunhagem da rede PAID e cunhou uma grande quantidade de Tokens, convertendo com sucesso 2,5 milhões de Tokens em Ether.

Esta ataque resultou em perdas de 180 milhões de dólares para a rede PAID, com o valor do Token a diminuir 85%. Alguns utilizadores levantaram suspeitas, acreditando que se tratava de uma 'trapaça'. Posteriormente, a rede PAID compensou todos os utilizadores afetados e esclareceu as dúvidas relacionadas.

####Ataque de ponte BNB

Ponte BNB permite aos usuários transferir ativos entre cadeias, permitindo-lhes mover ativos da Binance Chain para a Binance Smart Chain (BSC). Em outubro de 2022, a ponte entre cadeias da BNB, BSC Beacon, foi hackeada, resultando na exploração de uma vulnerabilidade no código da ponte. O ataque resultou na criação de 2 milhões de tokens BNB, no valor aproximado de 566 milhões de dólares, que foram transferidos para contas em outras cadeias.

O Hacker cunhou diretamente esses BNB em sua Carteira, mas não os trocou por Tokens, nem os transferiu para fora da plataforma Binance, em vez disso, usou os BNB como garantia para obter um empréstimo e enviá-lo para outra rede. Felizmente, o ataque foi impedido a tempo pelos validadores da Binance, mas a smart chain teve que parar temporariamente.

####Ataque Ankr

(https://kriptomat.io/cryptocurrency-prices/ankr-price/what-is/#:~:text=Ankr%20was%20founded,ANKR%20Web3%20platform.) é uma infraestrutura baseada na cadeia de Bloco com funcionalidade DeFi, projetada para impulsionar o desenvolvimento do Web3. Em outras palavras, é uma plataforma Web3 com recursos de infraestrutura DeFi.[Ankr]2022年，Ankr曾遭到黑客攻击。黑客获取了开发者的私钥并修改了智能合约，使其可以铸造六千万亿aBNBc代币，随后这些代币被兑换为500万美元的USDC。此次攻击给Ankr造成了500万美元的损失，并使ANKR在币安平台上的提现暂停。

###Como prevenir ataques de cunhagem infinita?

Ao desenvolver projetos de encriptação, os desenvolvedores devem colocar a segurança em primeiro lugar. Com o rápido desenvolvimento da economia de Descentralização, surgem constantemente novas ideias inovadoras e os métodos de ataque dos Hackers estão se tornando cada vez mais sofisticados. Portanto, a prevenção é mais importante do que a recuperação.

Os desenvolvedores precisam tomar várias medidas para se proteger de ações de hackers, como o ataque de criação ilimitada de moedas. Em primeiro lugar, a segurança dos contratos inteligentes precisa ser garantida por meio de auditorias regulares. A auditoria é o processo de verificar se há vulnerabilidades de segurança no código do contrato inteligente e é preferível que seja realizada por especialistas em segurança de terceiros, em vez de depender de revisões internas.

Em segundo lugar, é importante restringir estritamente o controle de acesso às funções de cunhagem. Se houver muitas pessoas com a capacidade de controlar a função de cunhagem, o projeto estará mais suscetível a invasões e abusos. O uso de carteiras multi-assinatura é outra medida eficaz para aumentar a segurança, uma vez que as carteiras multi-assinatura requerem várias chaves privadas para acessar a conta, aumentando significativamente a segurança.

Por fim, o projeto deve dar importância à monitorização em tempo real e à comunicação. Ferramentas de monitorização em tempo real são necessárias para responder rapidamente a possíveis ataques e identificar quaisquer padrões de transação estranhos ou aumentos abruptos no fornecimento de tokens. Os projetos também devem ter planos de backup sólidos prontos para lidar rapidamente com quaisquer possíveis ataques e minimizar danos. Isso envolve ter canais de comunicação abertos com exchanges, provedores de carteiras e a comunidade em geral para antecipar possíveis problemas e planejar soluções.

###Contratos inteligentes e segurança de encriptação no mundo futuro

Com a disseminação dos contratos inteligentes, as leis e regulamentos de segurança em torno de seu uso precisam ser continuamente aprimorados. No contexto atual, estamos mais focados em seguir a segurança dos contratos inteligentes para garantir que os usuários não sofram perdas devido a falhas. Em primeiro lugar, a equipa do projeto deve adotar as medidas de segurança necessárias, que podem seguir as etapas preventivas mencionadas anteriormente. No entanto, a realidade é que as leis existentes relacionadas a contratos inteligentes ainda não estão completas, e alguns projetos podem negligenciar as sugestões mencionadas neste artigo. Como devemos lidar com essa situação?

Os contratos inteligentes, como uma nova tecnologia, ainda estão à margem do quadro legal. Neste momento, as duas questões mais importantes a seguir são a executabilidade do contrato e a jurisdição. Os contratos inteligentes existem na blockchain, visando servir a economia descentralizada, então a lei pode impor restrições a eles? Embora já existam alguns casos legais e disputas relacionadas a criptomoedas, ainda há uma escassez de discussões legais sobre contratos inteligentes.

Outro desafio sobre a jurisdição é a diferença nas leis de cada país. Uma ação legal nos Estados Unidos pode ser ilegal no Reino Unido. Para resolver essas questões, é essencial fortalecer o quadro regulatório de segurança dos contratos inteligentes. Especialistas em tecnologia de Blockchain e profissionais jurídicos devem trabalhar juntos para alcançar um consenso unificado.

Atualmente, ainda há grandes esperanças de ver melhorias. Em 2023, o número de ataques de Hacker no campo das Finanças Descentralizadas diminuiu em mais de 50% (https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2024/#:~:text=But%20in%202023%2C%20hackers%20stole,see%20on%20the%20chart%20below.). Se regulamentos apropriados puderem ser formulados e implementados, os incidentes de ataques de Hacker em todo o mundo diminuirão ainda mais.

###Conclusão

Em geral, o ataque de cunhagem ilimitada é rápido e estratégico, uma vez que o Hacker lança o ataque, eles podem cunhar milhões de Tokens em poucos minutos. No entanto, tomando as medidas de segurança apropriadas, a equipa do projeto pode prevenir eficazmente esses ataques.

No futuro, será ainda necessário aperfeiçoar ainda mais o enquadramento jurídico para proteger os interesses da equipa do projeto e dos utilizadores contra ataques de criação ilimitada de moedas. Atualmente, os projetos DeFi precisam manter uma consciência de segurança elevada e estar sempre atentos a ameaças potenciais.