¿Qué es un ataque Infinite Mint?
En un ataque de Infinite Mint, el atacante explota una vulnerabilidad existente en un protocolo blockchain y crea (mintea) una enorme cantidad de tokens dentro de ese protocolo.
A medida que los usuarios evolucionan para adoptar diferentes tipos de criptomonedas, surgen nuevos ataques que son utilizados por actores maliciosos que buscan ganar dinero o simplemente exponer agujeros de seguridad en la implementación. En los últimos años, ha habido advertencias sobre diferentes tipos de estafas, como las estafas Rug Pull o Dusting Attack. En este caso, ESET, empresa especializada en la detección de amenazas, explicó en qué consiste este tipo de ataques, denominados «Infinite Mint».
Durante el ataque Infinite Mint, los hackers explotaron una vulnerabilidad del protocolo que permitía alterar la cadena de bloques. Este tipo de actividad maliciosa ocurre cuando un atacante crea (mina) una gran cantidad de tokens en un solo protocolo. Luego procedió a volcar todos los tokens acuñados en el mercado, lo que provocó que el precio cayera.
Este proceso generalmente se completa en poco tiempo, por lo que los atacantes pueden obtenerlos por mucho menos de lo que realmente valen. También puede ocurrir que un atacante intente cambiar los tokens acuñados por otros tokens antes de que el mercado reaccione y se lleve una gran cantidad de dinero.
«Para comprender este tipo de ataques, es importante reconocer la tecnología blockchain. El proceso de tokenización se refiere a la representación de activos u objetos reales como una expresión única de datos. La tokenización implica la transformación única e inmutable de la propiedad de cada objeto para representarlo digitalmente en la cadena de bloques, por lo que un token es un objeto que representa algún valor, como una criptomoneda, NFT, arte, videojuego, coleccionable o cualquier otro elemento. que pueden adquirir propiedades únicas y un valor inmutable en la cadena de bloques”, explicó Camilo Gutiérrez Amaya, director de ESET Research Labs.
Según ESET, los sistemas de cadena de bloques son vulnerables a tales ataques, principalmente debido a fallas de seguridad relacionadas con la implementación que permiten a los atacantes explotar errores y otras vulnerabilidades del código.
Un ejemplo de esto es el ataque de 2020 a Cover Protocol, una plataforma que brinda cobertura de riesgo para contratos inteligentes, donde los atacantes explotan vulnerabilidades que les permiten recibir recompensas no autorizadas del protocolo. Usando este ataque, fue posible generar una cantidad excesiva de tokens COVER (alrededor de 40 mil millones), lo que provocó que el precio del token perdiera alrededor del 97% de su valor. Luego, los atacantes los vendieron por $ 5 millones en otras criptomonedas.
Un contrato inteligente es un programa que se ejecuta en la cadena de bloques utilizando una colección de código (funciones) y datos (estado) ubicados en una dirección específica, por lo que puede considerarse como un tipo de cuenta en la cadena de bloques. Esto significa que usted puede realizar saldos y transacciones en la red, las cuales se realizan de acuerdo a instrucciones programadas. Luego, las cuentas de usuario pueden interactuar con ellos a través de transacciones que realizan funciones predefinidas utilizando reglas que se aplican automáticamente a través del código. Debido a la naturaleza del contrato inteligente, el contrato inteligente no se puede eliminar de forma predeterminada y la interacción es irreversible.
¿Cómo evitar un ataque Infinite mint?
Según ESET, dado que los ataques de Infinite mint se deben principalmente a errores de implementación y código, la auditoría y las sólidas prácticas de desarrollo son la mejor manera de prevenir tales ataques, especialmente cuando se trata de contratos inteligentes, aunque otros procesos de token también pueden ser vulnerables.
Cabe mencionar que la auditoría no garantiza que el protocolo sea completamente seguro o que se puedan implementar otras medidas de seguridad. Principalmente, las implementaciones de blockchain de varios proyectos requieren que la información no se pueda cambiar con fines maliciosos.