Простір Web3 є синонімом свободи від централізованих інституцій, які хочуть брати участь у вашій транзакції. Однією з причин, чому ці треті сторони втручаються в централізовані транзакції, є безпека активів, які передаються, та сторін, що беруть участь у транзакції. Навіть якщо світ Web3 є безпечним, деякі питання безпеки залишаються.

Криптопростір вводить нові способи переміщення активів, які будуть супроводжуватися новими та креативними способами крадіжки цих активів. Атаки нескінченного мінтингу - один з більш інноваційних способів крадіжки активів та дестабілізації проекту.

Хакери використовували атаки нескінченного мінтингу, щоб вкрасти мільйони з криптопроектів, деякі з яких проекти все ще намагаються відновитися. Для вирішення цього ми повинні зрозуміти, що таке атака нескінченного мінтингу, як вона працює, і як ми можемо захиститися від неї.

Що таке атака нескінченного мінтингу?

Протоколи децентралізованої фінансової (DeFi) найбільше постраждали від атак нескінченного мінтінгу. Проекти DeFi використовують розумні контракти для автоматизації управління, а розумний контракт є відкритим джерелом, що означає, що будь-хто може побачити, як він працює. Якщо контракт не правильно написаний і захищений, хакери можуть його переглянути та легко знайти вразливості для зловживання.

Коли хакери виконують атаку нескінченного мінтингу, вони використовують помилку, щоб підробити контракт проекту. Вони спеціально націлюються на функцію мінтингу контракту, яка контролює кількість монет, які видаються. Хакери вказують контракту видавати нові токени значно понад встановлене обмеження, що призведе до депреціації токена.

Нескінченна атака монетного двору швидка. Зловмисники зламують систему, маніпулюють контрактом, карбують нові токени та швидко їх продають. Як правило, токени обмінюються на більш цінні активи, такі як Bitcoin (BTC) або стейблкоїни, такі як USDC. Цей процес повторюється так часто протягом короткого періоду, що до того моменту, коли ринок адаптується, токени, які вони продавали для отримання прибутку раніше, вже майже нічого не варті.

Як працюють атаки нескінченного мінтингу?

Хакери дуже хірургічні, коли вони виконують атаку нескінченного мінтингу.Атака швидка і точна, і в залежності від перегрузки мережі та часу реакції платформи, атака може статися за кілька хвилин. Атаки нескінченного мінтингу мають чотири основні кроки, вони:

1. Виявлення вразливості

Для того, щоб сталася атака, в проекті повинна бути слабка точка (вразливість), і нападники точно знають, де її шукати - в смарт-контракті. Смарт-контракт - це спосіб функціонування децентралізованих проектів без допітливих третіх сторін. Він автоматично забезпечує виконання угод між двома сторонами.

Смарт-контракти є незмінними; після укладення їх неможливо змінити. Хакери використовують цю незмінність, разом з відкритим характером контрактів. Оскільки смарт-контракти є прозорими, хакери можуть вивчати їх, щоб знайти вразливості, а потім зловживати ними.

1. Використання вразливості

Хакери зазвичай шукають вразливості в функції мінтингу контракту. Як тільки вони знаходять одну, вони створюють транзакцію, яка дозволить умовно-прохідному смарт-контракту обійти стандартні перевірки та баланси, і додатково мінтити монети.

Сконструйована транзакція може лише виконувати певну функцію, коригувати параметр або навіть використовувати невідому зв'язок між різними сегментами коду.

1. Атака нескінченного мінтингу та дампінгу

Використовуючи смарт-контракт, зловмисники можуть карбувати стільки нових токенів, скільки захочуть, а потім скидати їх на ринок.

Швидко відбувається виведення токенів. Ринок заполонений новими токенами, і зазвичай атакувальники обмінюють токени на стейблкоїни. Виведені токени серйозно депреціюють після того, як ринок адаптується до транзакцій.

1. Осуществление прибыли

Після депреціації токена зловмисники отримують прибуток з останнього етапу атаки нескінченного мінтингу. Навіть якщо монета втратила вартість, ринок не коригується настільки швидко, як токен депреціює, тому зловмисники будуть обмінювати тепер майже безцінні токени на стейблкоїни і прибуток за рахунок тримачів токенів.

Зловмисники творчо підходять до цього кроку. Вони можуть отримати прибуток кількома способами, одним з яких є демпінг на біржах, продаж їх дорого до того, як ринок відреагує на демпінг. Вони також можуть арбітражувати, порівнюючи різні платформи, щоб знайти ту, де ціна не змінилася, а потім продаючи токени там. Атаки також можуть спустошити пул ліквідності, обмінюючи щойно викарбувані токени на стейблкоїни в пулі.

Джерело: pexels

Приклади атак нескінченного мінтингу

З появою Web3, завдяки частково Bitcoin, також зросла кількість атак; першою помітною була Взлом Mg.Goxу 2011 році. З того часу хакери стали більш вдосконаленими; тепер у нас є хакерські атаки, які називаються атаками нескінченного мінтингу. Ось декілька прикладів атак нескінченного мінтингу:

Атака протоколу обкладення

Протокол Cover - це проект DeFi, створений для надання страхування іншим проектам DeFi у разі вразливостей, атак смарт-контрактів та іншого. У грудні 2020 року їх вразив атака нескінченного мінтингу. Атакувальник(и) вкрали один мільйон DAI, 1 400 ефіру та 90 WBTC, заробивши понад 4 мільйони доларів.

Зловмисник(и) може атакувати після того, як маніпулюватиме смарт-контрактом обкладинки, щоб надрукувати токени як винагороду. Об'єкт багвони скористались недоліком зберігання та використання пам'яті в мові програмування. З цим допомогою вони змогли мінтувати40 квинтильйонів КОВЕРтокени, і за кілька годин вони могли продати до 5 мільйонів доларів у COVER. За всього 24 години, вартість токену Coverвпав на 75%.

Через кілька годин, білий хет-хакерназваний Grap Finance заявив про відповідальність за атаку черезX пост. Хакер також заявив, що ніякої вигоди від атаки не було отримано і що всі кошти були повернуті Cover.

Атака на мережу Paid

Платна мережа.) - це децентралізована фінансова (DeFi) платформа, створена для полегшення укладення контрактів. Вона автоматизує та розбиває правові та бізнес-угоди за допомогою сили технології блокчейн. На початку 2021 року користувачі мережі Paid помітили проблему: мережу атакували. Зловмисники скористалися вразливістю у контракті по мінтингу. Зловмисники мінтили та спалювали токени. Вони змогли мінтити мільйони токенів PAID та конвертували 2,5 мільйона в ETH до закінчення атаки.

Атакувальники залишили PAID з втратою у 180 мільйонів доларів і втратою 85% його вартості. Деякі користувачі були підозрювані щодо мережі Paid, і вони вважали, що атака була руг-пулОднак, після того, як мережа Paid змогла компенсувати всіх постраждалих користувачів, ці підозри були зняті.

Атака мосту BNB

BNB Містдозволяє користувачам здійснювати крос-ланцюжкові перекази. З його допомогою користувачі можуть переміщувати активи з Binance Beacon Chain на Binance Smart Chain (BSC). ВЖовтень 2022, міст BNB був атакований нескінченним мінтингом. Зловмисники скористалися помилкою в контракті та витиснули 2 мільйони доларів $BNB; це становило 586 мільйонів доларів.

Зловмисники змогли створити BNB прямо у своїх гаманцях. Вони також вирішили не обмінювати токени і не планували пересувати їх з Binance. Замість цього вони використали BNB як заставу для отримання кредиту, який мав бути відправлений на іншу мережу. На щастя, валідатори Binance зупинили хакерську атаку, але мережу довелося тимчасово припинити.

Атака на Анкр

Ankrбула створена для розвитку web3. Ankr - це блокчейн-інфраструктура з можливостями DeFi.У 2022 році, його взламали. Хакери отримали розроблені приватні ключі й перейшли до оновлення смарт-контракту. Це дозволило їм надрукувати 6 квадрильйонів токенів aBNBc, які потім були конвертовані в 5 мільйонів USDC. Внаслідок атаки Ankr втратив 5 мільйонів доларів і змушений був призупинити виведення ANKR з Binance.

Як запобігти атаки нескінченного мінтингу

Розробники криптопроектів повинні ставити безпеку на перше місце при створенні проекту. Децентралізована економіка змінюється щодня; є багато інновацій, але хакери так само інноваційні. Потрібно більше акценту на запобігання, а не на пом'якшення.

Розробники повинні реалізувати кілька кроків для запобігання взломам, таким як атака нескінченного мінтингу. Один з кроків у безпеці розумного контракту - провести ретельнуаудитичасто. Аудит - це процес перевірки коду смарт-контракту на вразливості, які можуть бути використані. Ідеально, ці аудити повинні бути здійснені не внутрішньо, але довіреними професіоналами з безпеки сторонніх сторін.

Ще одним кроком є затягнути кришку на тих, хто має доступ до контролю над мінтінгом. Якщо у вас забагато людей з доступом, легше потрапити в них і скористатися. Проекти також можуть використовувати...багатопідпис Гаманець. Це підвищує безпеку, оскільки з ним вам знадобиться кілька приватних ключів для доступу до облікового запису.

Наостанок, проекти повинні пам'ятати про важливість контроль і комунікація. Вони повинні мати найсучасніші інструменти моніторингу, щоб виявляти будь-які порушення з моменту їх початку. Якщо у них є відкрита лінія зв'язку з біржами, іншими проєктами та криптоспільнотою, вони можуть передбачити будь-яку атаку та спланувати захист.

Майбутнє безпеки розумних контрактів у криптосвіті

Зі з'явою розумних контрактів має бути щось, що керуватиме їх використанням. У цьому випадку ми більше зосереджені на йогобезпекатаким чином користувачі не постраждають під час порушення. Перше, що ми можемо зробити, - порадити проектам бути в безпеці. Вони можуть дотримуватися кроків, перерахованих у останньому підрозділі. Проблема полягає в тому, що деякі проекти можуть не дотримуватися поради, а закони про розумні контракти обмежені. Тому, куди ми йдемо звідси?

Смарт-контракти є новими, і законодавство ще не наздогнало їх. Зараз найважливіше розглядати питання забезпечення виконання та юрисдикції. Зі смарт-контрактами, що створюються на блокчейні для децентралізованих сервісів, чи може закон накладати свої правила на нихІснують закони та судові справи щодо криптовалют, але смарт-контракти не отримали достатньо уваги.

Тепер щодо юрисдикціяОтже, питання полягає в тому, як закон відповідає за проект, якщо є різниці в законі? Те, що є законним у США, може бути незаконним у Великобританії. Для вирішення цих питань повинна існувати регуляторна рамка, яка чітко вирішує питання безпеки смарт-контрактів. Експерти з технологій блокчейну та права повинні співпрацювати, щоб досягнути консенсусу.

Є ще трохи надії, на яку варто триматися. У 2023 році кількість Хакерські атаки на DeFi зменшилися на понад 50%, якщо ці регуляторні норми будуть введені, то світових хаків стане ще менше.

Висновок

Підсумовуючи, нескінченні атаки мінтингу є дуже стратегічними та швидкими. Як тільки нападник починає, він може створити мільйони токенів всього за кілька хвилин, але атаки можуть бути запобіжені, якщо будуть вжиті відповідні заходи безпеки.

Ще існують деякі кроки для створення належного правового каркасу, щоб захистити проекти та їх користувачів від атак нескінченного мінтингу. Наразі, проекти децентралізованої фінансової (DeFi) повинні бути особливо безпечними та бджилкими.