Tác giả: Onkar Singh, CoinTelegraph; Người biên soạn: Tao Zhu, Golden Finance
Tấn công đúc tiền vô hạn có nghĩa là kẻ tấn công thao túng mã hợp đồng để liên tục đúc nhiều hơn Ủy quyền các mã thông báo mới có giới hạn nguồn cung.
Loại hack này phổ biến nhất trong các giao thức tài chính phi tập trung (DeFi). Cuộc tấn công này làm tổn hại đến tính toàn vẹn và giá trị của tiền điện tử hoặc mã thông báo bằng cách tạo số lượng mã thông báo không giới hạn.
Ví dụ: một hacker đã khai thác lỗ hổng hợp đồng thông minh trong mạng Trả phí để đúc và đốt mã thông báo, dẫn đến thiệt hại 180 triệu USD và giá trị TRẢ TIỀN giảm 85%. Hơn 2,5 triệu mã thông báo TRẢ TIỀN đã được chuyển đổi thành Ethereum (ETH) trước khi cuộc tấn công bị dừng lại. Mạng đền bù cho người dùng, xóa tan tin đồn về việc làm bên trong (kéo thảm).
Những kẻ độc hại có thể kiếm lợi từ các cuộc tấn công như vậy bằng cách bán mã thông báo được tạo bất hợp pháp hoặc can thiệp vào hoạt động bình thường của mạng blockchain bị ảnh hưởng. Sự phổ biến của các cuộc tấn công khai thác vô hạn nhấn mạnh tầm quan trọng của việc tiến hành đánh giá mã kỹ lưỡng và kết hợp các biện pháp bảo mật vào quá trình phát triển hợp đồng thông minh để ngăn chặn những lỗ hổng đó.
Để tạo ra lỗ hổng cho phép kẻ tấn công đúc số lượng token không giới hạn, các cuộc tấn công đúc tiền vô hạn nhắm vào các lỗ hổng trong hợp đồng thông minh, đặc biệt liên quan đến chức năng đúc mã thông báo.
Phương thức tấn công yêu cầu tìm ra điểm yếu logic trong hợp đồng, thường liên quan đến cơ chế xác thực đầu vào hoặc cơ chế kiểm soát truy cập. Sau khi phát hiện ra lỗ hổng, kẻ tấn công sẽ tạo một giao dịch khai thác lỗ hổng, khiến hợp đồng tạo ra các mã thông báo mới mà không có sự ủy quyền hoặc xác minh cần thiết. Lỗ hổng này có thể cho phép bỏ qua giới hạn dự kiến về số lượng token có thể được tạo.
Lỗ hổng được kích hoạt bởi một giao dịch độc hại do kẻ tấn công tạo ra. Điều này có thể yêu cầu thay đổi các tham số, thực hiện các chức năng cụ thể hoặc khai thác các kết nối không lường trước được giữa các đoạn mã khác nhau.
Lỗ hổng này cho phép kẻ tấn công phát hành nhiều mã thông báo hơn dự định của kiến trúc giao thức. Việc tràn ngập mã thông báo như vậy có thể dẫn đến lạm phát, làm giảm giá trị của loại tiền tệ liên quan đến mã thông báo và có thể gây thiệt hại cho các bên liên quan khác nhau, bao gồm cả nhà đầu tư và người dùng.
Bán phá giá token là hành vi trong đó những kẻ tấn công nhanh chóng tràn ngập thị trường với các token mới được tạo và sau đó đổi chúng lấy stablecoin hoặc các loại tiền điện tử khác. Giá trị của token ban đầu giảm mạnh do nguồn cung tăng đột biến khiến giá giảm mạnh. Tuy nhiên, token được bán trước khi thị trường có cơ hội mang lại lợi ích cho kẻ tấn công.
Tấn công tiền xu vô hạn sẽ dẫn đến sự mất giá nhanh chóng của giá trị mã thông báo, tổn thất tài chính và phá hủy hệ sinh thái.
Các cuộc tấn công đúc tiền vô hạn tạo ra số lượng token hoặc tiền điện tử không giới hạn, ngay lập tức làm giảm giá trị tài sản bị ảnh hưởng và gây tổn thất lớn cho người dùng và nhà đầu tư. Điều này làm suy yếu niềm tin vào mạng blockchain bị ảnh hưởng và các ứng dụng phi tập trung được kết nối của nó, làm ảnh hưởng đến tính toàn vẹn của toàn bộ hệ sinh thái.
Ngoài ra, bằng cách bán token trước khi thị trường phản ứng đầy đủ, những kẻ tấn công có thể thu lợi và có khả năng khiến người khác nắm giữ một tài sản vô giá trị. Do đó, nếu một cuộc tấn công dẫn đến khủng hoảng thanh khoản, các nhà đầu tư có thể gặp khó khăn hoặc không thể bán tài sản của mình ở mức giá hợp lý.
Ví dụ: trong cuộc tấn công Giao thức Cover vào tháng 12 năm 2020, giá trị của mã thông báo đã giảm từ hơn 700 đô la xuống dưới 5 đô la chỉ trong vài giờ và các nhà đầu tư nắm giữ mã thông báo COVER bị tổn thất tài chính. Tin tặc đã đúc được hơn 40 triệu tỷ đồng tiền.
Giá trị mã thông báo Sự cố có thể phá vỡ toàn bộ hệ sinh thái, bao gồm các ứng dụng phi tập trung (DApps), trao đổi và các dịch vụ khác dựa vào tính ổn định của mã thông báo. Một cuộc tấn công có thể dẫn đến các vấn đề pháp lý và sự giám sát pháp lý đối với dự án, dẫn đến bị phạt tiền hoặc các hình phạt khác.
Cuộc tấn công tiền xu không giới hạn nhằm mục đích tạo ra số lượng token không giới hạn, trong khi cuộc tấn công reentrancy sử dụng cơ chế rút tiền để liên tục tiêu thụ tiền.
Các cuộc tấn công đúc tiền vô hạn khai thác lỗ hổng trong quá trình tạo mã thông báo để tạo ra nguồn cung không giới hạn, từ đó làm giảm giá trị và gây thiệt hại cho các nhà đầu tư.
Mặt khác, các cuộc tấn công Reentrancy tập trung vào các thủ tục rút tiền, cho phép kẻ tấn công liên tục rút tiền từ hợp đồng trước khi có cơ hội cập nhật số dư của mình.
Mặc dù bất kỳ cuộc tấn công nào cũng có thể gây ra hậu quả thảm khốc, nhưng hiểu được sự khác biệt là rất quan trọng để phát triển các kỹ thuật giảm nhẹ hiệu quả.
Sự khác biệt chính giữa tấn công đúc tiền vô hạn và tấn công reentrancy là:
Bằng cách nhấn mạnh đến tính bảo mật và thực hiện các biện pháp phòng ngừa, các dự án tiền điện tử có thể giảm đáng kể Khả năng bị nhắm mục tiêu không giới hạn các cuộc tấn công đúc tiền và bảo vệ khoản đầu tư của các thành viên cộng đồng.
Cần có một chiến lược nhiều mặt ưu tiên bảo mật ở mọi giai đoạn của dự án tiền điện tử để ngăn chặn các cuộc tấn công đào tiền vô hạn. Việc kiểm tra hợp đồng thông minh kỹ lưỡng và thường xuyên bởi các chuyên gia bảo mật độc lập là rất quan trọng. Các cuộc kiểm tra này sẽ xem xét kỹ lưỡng mã để tìm các sai sót có thể được sử dụng để tạo ra số lượng token không giới hạn.
Phải thực hiện các biện pháp kiểm soát truy cập chặt chẽ; quyền khai thác chỉ nên được cấp cho các bên được ủy quyền; nên sử dụng ví đa chữ ký để tăng cường tính bảo mật. Các công cụ giám sát thời gian thực là cần thiết để phản ứng nhanh với các cuộc tấn công có thể xảy ra và xác định bất kỳ mô hình giao dịch lạ nào hoặc nguồn cung cấp token tăng đột ngột.
Các dự án cũng cần có kế hoạch dự phòng mạnh mẽ, sẵn sàng xử lý mọi cuộc tấn công có thể xảy ra một cách nhanh chóng và giảm thiểu tổn thất. Điều này đòi hỏi phải duy trì đường dây liên lạc cởi mở với các sàn giao dịch, nhà cung cấp ví và cộng đồng nói chung để dự đoán các vấn đề có thể xảy ra và phát triển các giải pháp.
Kraken liệt kê các đồng tiền meme BONK và WIF cho người dùng ở Vương quốc Anh, cùng với các đồng tiền mới khác. Việc mở rộng bao gồm việc mua lại TradeStation Crypto và Coin Meester B.V. Ví Kraken cung cấp giải pháp nguồn mở cho các tài sản blockchain đa dạng, tăng cường bảo mật.
EdmundLĩnh vực tài chính phi tập trung (DeFi) đã ghi nhận những khoản lỗ lớn vào năm 2022.
BitcoinistBa địa chỉ chính đã gửi 17.278 Ether đến sáu sàn giao dịch, giúp đóng băng ít nhất một số tiền bị đánh cắp.
OthersKẻ tấn công đã sử dụng khai thác khoản vay nhanh trên một tùy chọn tài sản thế chấp mới cho nhóm Mạng Jarvis.
BeincryptoHuobi gắn nhãn pGala token là meme coin, khuyến khích người dùng bằng một cuộc thi giao dịch.
OthersMetaverse vẫn còn rất quan trọng khi thời đại internet đang có một hình dạng mới với việc di chuyển các dự án khác nhau sang Web3.
Nulltx
CointelegraphINTERNET CITY, DUBAI, ngày 20 tháng 7 năm 2022 – LBank Exchange, một nền tảng giao dịch tài sản kỹ thuật số toàn cầu, đã niêm yết CRYPTOKKI COIN (TOKKI) ...
BitcoinistNhóm Enso hy vọng sẽ nhận được hơn 1 tỷ đô la trong TVL thông qua "Vampire Attack", nhưng người dùng phải đặt cược trong ít nhất 3 tuần để thấy được lợi ích.
CointelegraphCuộc tấn công lừa đảo trùng với dịp kỷ niệm một năm thành lập BAYC, khiến nhiều người dùng tin rằng liên kết này là thật.
Cointelegraph