一文讀懂無限鑄幣攻擊

本質上，Web3的核心理念是擺脫中心化機構的干涉，讓交易變得更自由。中心化機構之所以能參與傳統交易，很大程度上是因為機構可以確保交易雙方及其資產的安全。在這一點上，雖然Web3具有更高級別的安全性，但它依舊存在一些隱患。

加密貨幣為資產轉移提供了新方式，同時也帶來了新的風險。無限鑄幣攻擊就是其中一種創新且極具破壞性的手段。

通過這種攻擊方式，黑客已經從多個加密項目中竊取了數百萬美元，很多項目至今仍未完全恢復元氣。為解決這一問題，我們需要了解無限鑄幣攻擊的原理、運作方式，以及如何採取相應的防範措施。

###什麼是無限鑄幣攻擊？

去中心化金融（DeFi）協議通常是無限鑄幣攻擊的主要目標。DeFi項目依靠智能合約來實現自動化管理，而這些合約是開源的，這意味著任何人都能查看其代碼。如果合約編寫不當或安全性不足，黑客很容易找到其中的漏洞並加以利用。

在實施無限鑄幣攻擊時，黑客會利用合約中的漏洞對項目的鑄幣功能進行篡改。鑄幣的功能是負責控制代幣的數量，而黑客會通過攻擊，命令合約鑄造超出限制的新代幣，導致代幣價值迅速貶值。

無限鑄幣攻擊的速度極快。在攻擊過程中，黑客迅速入侵系統，篡改合約鑄造新代幣，然後再飛速拋售這些代幣。通常，他們會將代幣兌換成比特幣（BTC）或穩定幣（USDC）等更有價值的資產。通過反覆操作，待市場反應過來時，黑客早已獲利，而代幣價值卻變得幾乎一文不值。

###無限鑄幣攻擊如何運作？

黑客在執行無限鑄幣攻擊時動作迅速且精準。據網絡擁堵情況和平臺響應時間而定，攻擊可能會在幾分鐘內完成。無限鑄幣攻擊一般有四個主要步驟：

1. 發現漏洞

要成功發起攻擊，項目必須存在漏洞，而黑客非常清楚在哪裡尋找漏洞——即智能合約。智能合約是去中心化項目自動化執行協議的關鍵，無需第三方干預。

由於智能合約的不可更改、公開透明，黑客可以研究其代碼，尋找並利用其中的漏洞。

2. 利用漏洞

黑客通常會尋找合約中鑄幣功能的漏洞。一旦找到，他們會建立特定的交易，繞過合約中的標準檢查和限制，從而鑄造出超量的代幣。

這種被構造的交易可能會執行特定的功能，調整參數，或是利用代碼之間的未知關聯。

3. 鑄造並拋售

在智能合約被攻破後，黑客可以隨意鑄造新代幣，並快速拋售這些代幣。

大量新代幣湧入市場，通常黑客會迅速將其兌換成穩定幣。這一過程中，代幣的價值會快速下跌。

4. 獲得利潤

代幣貶值後，黑客通過無限鑄幣攻擊的最後一步獲利。儘管那時的代幣已經失去大部分的價值，但市場調整的速度相對較慢，黑客會趁市場反應前，將幾乎無價值的代幣兌換成穩定幣，並從中獲利。

在這一步，黑客獲利的方式可通過多種方式進行，如在市場反應前高價拋售代幣；在不同平臺上找到尚未調整的價格進行出售以獲得套利；也可以通過兌換新鑄造的代幣來耗盡流動性池的現有資產。

來源: pexels

###無限鑄幣攻擊的實際案例

隨著Web3的普及，尤其是比特幣的崛起，各類攻擊事件也隨之增多；最早值得關注的事件是2011年 Mg.Gox 的黑客攻擊。從那時起，攻擊手段就變得日益複雜，如今甚至有了無限鑄幣攻擊。以下其相關案例：

####Cover協議攻擊

Cover協議是DeFi的一個項目，旨在為其他DeFi項目提供智能合約漏洞、攻擊等情況的保險。2020年12月，他們曾遭遇一次無限鑄幣攻擊，黑客竊取了100萬DAI、1400枚以太幣和90個WBTC，總計超過400萬美元。

攻擊者通過操縱Cover的智能合約漏洞，鑄造了大量代幣。利用編程語言中的內存和存儲管理漏洞，黑客成功鑄造了40萬億個COVER代幣，並在短時間內拋售了價值500萬美元的代幣。Cover代幣的價值在24小時內下跌了75%。

幾小時後，一名名為Grap Finance的 白帽黑客 通過社交媒體 X 宣佈對此次攻擊負責，並表示所有資金已歸還。

####Paid網絡攻擊

Paid網絡.)是一個致力於簡化合同的去中心化金融平臺。它利用區塊鏈技術將法律規定、商業協議的合同制定過程變得自動化、簡單化。2021年初，Paid網絡平臺被黑。黑客利用了Paid網絡鑄幣合約中的漏洞，鑄造了大量代幣，成功將250萬代幣兌換成以太幣。

此次攻擊導致Paid網絡損失了1.8億美元，代幣價值縮水了85%。部分用戶對此產生了懷疑，認為這是一次自導自演的騙局。事後，Paid網絡賠償了所有受影響的用戶，並澄清了相關疑慮。

####BNB橋攻擊

BNB橋允許用戶進行跨鏈轉賬，通過它，用戶可以將資產從幣安信標鏈轉移到幣安智能鏈（BSC）。在2022年10月，該橋遭遇了一次無限鑄幣攻擊。黑客利用合約漏洞鑄造了價值5.86億美元的BNB代幣（數量總計200萬個）。

黑客將這些BNB直接鑄造到他們的錢包中，但他們不兌換這些代幣，也不將其轉移出幣安平臺，而是以BNB作為抵押獲得貸款，並將貸款發送到另一個網絡上。幸運的是，此次攻擊被幣安的驗證者及時阻止，而智能鏈卻不得不暫時停止運行。

####Ankr攻擊

(https://kriptomat.io/cryptocurrency-prices/ankr-price/what-is/#:~:text=Ankr%20was%20founded,ANKR%20Web3%20platform.)是一個基於區塊鏈且具備DeFi功能的基礎設施，旨在推動Web3的發展。在[Ankr]2022年，Ankr曾遭到黑客攻擊。黑客獲取了開發者的私鑰並修改了智能合約，使其可以鑄造六千萬億aBNBc代幣，隨後這些代幣被兌換為500萬美元的USDC。此次攻擊給Ankr造成了500萬美元的損失，並使ANKR在幣安平臺上的提現暫停。

###如何防範無限鑄幣攻擊？

在開發加密項目時，開發者應將安全性放在首要位置。隨著去中心化經濟的快速發展，各種創新想法層出不窮，而黑客的攻擊手段也日益精進。因此，預防比補救更加重要。

開發者需要採取多種措施來防範像無限鑄幣攻擊這樣的黑客行為。首先，智能合約的安全保障需要通過定期進行審計來實現。審計是檢查智能合約代碼是否存在安全漏洞的過程，最好由第三方的安全專家進行，而不是依賴內部審查。

其次，要嚴格限制鑄幣權限的訪問控制。如果有太多人可以操控鑄幣功能，項目就更容易被入侵和利用。使用多簽名錢包是提升安全性的另一種有效措施，因為多簽名錢包需要多個私鑰才能訪問賬戶，從而大大增加了安全性。

最後，項目方應重視實時監控和溝通。通過配備先進的監控系統，項目可以在出現異常時第一時間做出響應。此外，與交易所、其他項目方及加密社區保持緊密聯繫，可以讓項目方及時預見潛在威脅並制定防禦計劃。

###加密世界中的智能合約安全未來

隨著智能合約的普及，圍繞其使用範疇而制定的法律和安全規範也需要不斷完善。在當前的背景下，我們更關注智能合約的安全性，以確保用戶不會因漏洞遭受損失。首先，項目方應該採取必要的安全措施，在此可以遵循前述的預防步驟。然而，現實情況是，現有的智能合約相關法律尚未健全、部分項目也可能會忽視本文提到的建議。在此情況下，我們該如何應對這個問題？

智能合約作為一種新興技術，尚處於法律框架制定的邊緣地帶。現階段，最值得關注的兩個問題是合約的可執行性和管轄權。智能合約存在於區塊鏈上，旨在服務去中心化經濟，那麼法律能否對其施加約束呢？雖然已經有一些加密貨幣相關的法律和訴訟案例，但針對智能合約的法律討論仍不足。

關於管轄權的另一個難題在於各國法律的差異性。某個在美國合法的行為可能在英國是非法的。如果要解決這些問題，智能合約安全方面的監管框架必須得到加強。區塊鏈技術專家與法律界人士應攜手合作，達成統一的共識。

目前，依然有很大的希望看到改進。2023年，去中心化金融（DeFi）領域的黑客攻擊數量減少了50%以上。如果能夠制定和實施相應的法規，全球範圍內的黑客攻擊事件將進一步減少。

###結論

總的來說，無限鑄幣攻擊是快速且有策略的，一旦黑客發起攻擊，他們可以在短短几分鐘內鑄造出數百萬代幣。然而，通過採取合適的安全措施，項目方可以有效地預防這些攻擊。

在未來，仍有必要進一步完善法律框架，以保障項目方和用戶的利益免受無限鑄幣攻擊的侵害。目前，去中心化金融項目需要保持高度的安全意識，並隨時警惕潛在威脅。