Зрозумійте атаку безмежного монетарного гральника за одну статтю

За своєю сутністю основна ідея Web3 полягає в уникненні втручання централізованих установ у здійснення операцій та забезпеченні більшої свободи у сфері торгівлі. Можливість участі централізованих установ у традиційних операціях в значній мірі пов'язана з їх здатністю забезпечити безпеку для обох сторін угоди та їхніх активів. Незважаючи на те, що Web3 має більш високий рівень безпеки, він все ще має свої певні ризики.

Криптовалюта надає новий спосіб перенесення активів, але також приносить нові ризики. Необмежене виготовлення монет - це один із новаторських та дуже руйнівних методів.

Хакер вже вкрав мільйони доларів з численних проектів шифрування через такий вид атаки, і деякі з проектів досі не повністю відновилися. Щоб вирішити цю проблему, нам потрібно розібратися у принципах та способах функціонування атаки на безмежне друковання грошей та як прийняти відповідні заходи забезпечення безпеки.

Що таке безконтрольна атака на витік монет?

Децентралізація фінансів (Децентралізовані фінанси) протоколи зазвичай є основною метою атак з нескінченним емітованням монет. Проекти децентралізованих фінансів залежать від смарт-контрактів для автоматизованого управління, а ці контракти є відкритим вихідним кодом, що означає, що будь-хто може переглянути їх код. Якщо контракт було написано неправильно або має недостатню безпеку, хакери можуть легко знайти вразливості та зловживати ними.

Під час реалізації атаки безмежного мінтингу, Хакер використовує вразливість контракту для зміни функціональності мінтингу проекту. Функція мінтингу відповідає за контроль кількості Токенів, а Хакер, використовуючи атаку, видає команди контракту мінтити нові Токени, що перевищують обмеження, що призводить до швидкого падіння вартості Токенів.

Швидкість нескінченного мінтингу токенів дуже велика. Під час атаки Хакер швидко вторгається в систему, змінює контракт, щоб мінтити нові токени, а потім швидко демпінгує ці токени. Зазвичай вони конвертують токени в BTC (BTC) або стабільні монети (USDC) та інші більш цінні активи. Шляхом постійного повторення операцій, коли ринок реагує, Хакер вже заробив прибуток, а вартість токенів майже нічого не варта.

###Як працює атака на нескінченне ковзання монет?

Хакер, виконуючи атаку на безмежне монетарне грошове виробництво, діє швидко і точно。Залежно від стану мережевої затору та часу реакції платформи, атака може бути завершена протягом декількох хвилин. Атака на безмежне монетарне грошове виробництво зазвичай складається з чотирьох основних кроків:

1. Виявлення уразливості

Щоб успішно запустити атаку, проект повинен мати уразливість, а Хакер дуже добре знає, де шукати ці уразливості - саме в смартконтракті. Смартконтракт є ключовим для автоматизованого виконання протоколу проекту Децентралізація без посередництва третьої сторони.

Завдяки незмінності та відкритій прозорості смартконтрактів, Хакер може вивчати їх код, шукати та використовувати вразливості.

2. Використовуйте уразливості

Хакери зазвичай шукають вразливості функції мінтингу у контрактах. Якщо вони знайдуть їх, вони створять спеціальні угоди, обійдуть стандартні перевірки та обмеження в контракті, щоб Токен вийшов у великій кількості.

Ця побудована угода може виконувати певні функції, налаштовувати параметри або використовувати невідомі зв'язки між кодами.

3. мінт і демпінг

Після вторгнення в смарт-контракт Хакер може створити новий Токен і швидко викинути ці Токени.

На ринок надходить велика кількість нових Токенів, зазвичай хакери швидко обмінюють їх на стабільні монети. У цьому процесі вартість Токену швидко знижується.

4. Отримання прибутку

Після депреціації Токена Хакер здійснив останній крок у безкінечній розшивці монети, щоб заробити гроші. Незважаючи на те, що Токен втратив більшість своєї вартості, швидкість регулювання на ринку відносно повільна, Хакер буде використовувати реакцію ринку, щоб обміняти майже безцінний Токен на стабільну криптовалюту і заробити на цьому.

На цьому етапі, Хакер може заробляти гроші по-різному, наприклад, продавати Токени з демпінгом за високу ціну до реакції ринку; здійснювати Арбітраж, знаходячи ціни, які ще не були налаштовані на різних платформах; також можна витратити на існуючі активи ліквідності басейну, обмінюючи їх на нові Токени, що були мінтінговані.01928374656574839201

Джерело:pexels

###Практичний приклад атаки на необмежене виготовлення монет

З поширенням Web3, особливо зростанням BTC, збільшується кількість різноманітних атак; першим значним подією, на яку варто підписатися, був Хакерський напад на Mg.Gox. З того часу методи атак стали все більш складними, і навіть сьогодні є атаки на нескінченне видобуток монет. Нижче наведено відповідні приклади:

####Coverпротокол攻击

Coverпротокол - це проект в галузі Децентралізованих фінансів, спрямований на надання страхових послуг для інших проектів Децентралізованих фінансів у разі вразливостей смарт-контрактів, атак тощо. У грудні 2020 року їм довелося зіткнутися з атакою на нескінчене видобуття монет, під час якої Хакер вкрав 1 мільйон DAI, 1400 ефірів та 90 WBTC, загалом понад 4 мільйони доларів.

Атакувальник завдяки використанню уразливості в смартконтракті Cover за допомогою мінтингу виготовив велику кількість Токенів. Використовуючи уразливості управління пам'яттю та зберігання в мові програмування, Хакер успішно мінтнув 40 трильйонів Токенів COVER та за короткий час здійснив демпінг на суму 5 мільйонів доларів США. За 24 години вартість Токенів COVER впала на 75%.

Через кілька годин хакер під ніком Grap Finance через соціальні мережіX взяв на себе відповідальність за напад і заявив, що всі кошти були повернуті.

####Атака мережі Paid

Paid мережа.) - це платформа Децентралізація фінансів, спрямована на спрощення укладання угод за комерційними протоколами та автоматизацію цього процесу за допомогою технології блокчейну. На початку 2021 року мережа Paid була скомпрометована. Хакер використав уразливість у контракті на мінтинг токенів мережі Paid, мінтуючи велику кількість токенів та успішно обмінявши 2,5 мільйона токенів на Ethereum.

Цей атака призвела до втрат Paid мережі в розмірі 180 мільйонів доларів США, вартість Токену знизилася на 85%. Деякі користувачі підозрюють, що це самоствердження шахрайства. Пізніше мережа Paid компенсувала всіх постраждалих користувачів і висвітлила відповідні сумніви.

####Атака моста BNB

BNB Bridge дозволяє користувачам здійснювати крос-ланцюгові перекази, за допомогою яких користувачі можуть перенести активи з Binance Chain на Binance Smart Chain (BSC). У жовтні 2022 року, цей міст зазнав атаки на безкінечне мінтінг. Хакер використав уразливість контракту і мінтнув 2 мільйони BNB Токенів на суму близько 566 мільйонів доларів США, які потім були переказані на рахунки на інших ланцюгах.

Хакери безпосередньо мінтять ці BNB в свої Гаманці, але не обмінюють ці Токени і не переказують їх з біржі Binance, а використовують BNB як заставу для отримання кредиту та надсилають кредит на іншу мережу. На щастя, цей атака була своєчасно зупинена валідаторами Binance, але Смарт-ланцюга тим часом довелося тимчасово припинити роботу.

####Атака Ankr

(https://kriptomat.io/cryptocurrency-prices/ankr-price/what-is/#:~:text=Ankr%20was%20founded,ANKR%20Web3%20platform.) - це інфраструктура, заснована на Блокчейні та з функціоналом DeFi, спрямована на просування розвитку Web3. В[Ankr]2022У 2022 році Ankr було взламано. Зловмисник отримав доступ до приватних ключів розробника і оновив смарт-контракт. Це оновлення надало зловмиснику привілей майнингу токенів. Було намайнено шість квадрильйонів токенів aBNBc. Потім зловмисник обміняв їх на приблизно 5 мільйонів USDC.

###Як захистити себе від атаки на безліч монет?

Під час розробки проекту шифрування розробникам слід надавати перевагу безпеці. Зі швидким розвитком Децентралізація економіки постійно з'являються нові ідеї, а Хакери стають все більш вдосконаленими у своїх атаках. Тому запобігання є важливішим за захист.

Розробнику потрібно вжити низку заходів для запобігання таким Хакерським діям, як наприклад, безмежне видобуток монет. По-перше, безпеку смарт-контракту слід забезпечити шляхом його регулярної аудиту. Аудит - це процес перевірки смарт-контрактів на наявність потенційних уразливостей, краще довірити його проведення зовнішнім безпечним експертам, а не обмежуватися внутрішнім оглядом.

По-друге, необхідно суворо обмежувати доступ до монетного виробництва. Якщо занадто багато людей мають можливість керувати функцією монетного виробництва, проект стає більш вразливим до злому та зловживання. Використання розумного контракту Гаманець є ще одним ефективним заходом для підвищення рівня безпеки, оскільки для доступу до рахунку необхідно використовувати кілька Закритих ключів, що значно підвищує рівень безпеки.

Нарешті, команда проекту має надати належну увагу до реального часу моніторингу%20та%20комунікації]. За допомогою сучасних систем моніторингу, проект може швидко реагувати на будь-які незвичайні ситуації. Крім того, зберігання тісного зв'язку з біржами, іншими командами проекту та спільнотою забезпечує можливість своєчасно передбачити потенційні загрози і розробити захисні стратегії.

###шифрування世界中的смартконтракти安全未来

З популяризацією смартконтрактів необхідно постійно вдосконалювати правові та безпекові норми, що регулюють їх використання. В сучасних умовах ми більше підписатися на безпеку смартконтрактів, щоб забезпечити, що користувачі не зазнають збитків через вразливості. Проєкти мають приймати необхідні заходи безпеки та слідувати запропонованим профілактичним заходам. Однак на практиці існуючі смартконтрактні правові норми ще не є повністю розвиненими, а деякі проєкти можуть ігнорувати рекомендації, зазначені в цьому тексті. Як нам слід діяти в такій ситуації?

Смарт-контракт, як новітня технологія, ще знаходиться на межі правового регулювання. Наразі два найважливіші питання, на які варто звернути увагу, - це виконавча здійсненість контракту та юрисдикція. Смарт-контракти існують на блокчейні з метою обслуговування децентралізованої економіки, отже, чи може право накладати на них обмеження? Хоча вже існують деякі закони та судові справи, пов'язані з Криптоактиви, все ще недостатньо обговорень щодо юридичних аспектів Смарт-контрактів.

Ще одна важка проблема, пов'язана з юрисдикцією, полягає в різниці в законодавстві різних країн. Поведінка, що є законною в США, може бути незаконною в Великобританії. Для вирішення цих питань необхідно посилити регуляторну рамку з безпеки смартконтрактів. Експерти з технологій блокчейну повинні співпрацювати з юристами для досягнення єдиного Консенсусу.

Наразі все ще є велика надія на покращення. У 2023 році кількістьХакер攻击数量减少了50%以上 в галузі Децентралізованих фінансів зменшилася більш як на 50%. Якщо будуть розроблені та впроваджені відповідні правила, кількість Хакер攻击 подальше зменшиться на глобальному рівні.

###Висновок

Загалом кажучи, атака на нескінченне мінтинг є швидкою та цілеспрямованою, і якщо Хакер запускає атаку, вони можуть за кілька хвилин мінтити мільйони Токенів. Однак прийняття відповідних заходів безпеки може ефективно запобігти таким атакам вечірки проєкту.

У майбутньому все ще буде необхідно подальше вдосконалювати правовий каркас, щоб забезпечити захист вечірки проєкту та інтересів користувачів від атак необмеженого монетарного злочину. Наразі проєкти Децентралізація фінансу потребують високої свідомості щодо безпеки та завжди мають бути насторожі перед потенційними загрозами.