Web3 空間代表著擺脫想要介入您交易的中央機構的自由。這些第三方介入中央交易的原因之一是為了所轉移的資產和參與交易的各方的安全。即使 Web3 世界是安全的,仍然存在一些安全擔憂。
加密空間引入了新的移動資產方式,這將帶來新的創造性方式來竊取這些資產。無限鑄造攻擊是一種更具創新性的竊取資產和破壞項目的方式之一。
黑客利用無限鑄造攻擊從加密項目中竊取了數百萬美元,其中一些項目仍在努力恢復。為了應對這一問題,我們需要了解無限鑄造攻擊是什麼,它是如何工作的,以及如何防範它。
什麼是無限鑄造攻擊?
去中心化金融(DeFi)協議受無限鑄造攻擊影響最為嚴重。DeFi項目使用智能合約自動化治理,而智能合約是開放源碼的,這意味著任何人都可以看到它的運作方式。如果合約寫得不當且沒有得到保障,黑客可以查閱合約並輕易找到漏洞進行利用。
當黑客執行無限鑄造攻擊時,他們利用錯誤來篡改項目的合約。他們專門針對合約的鑄造功能,該功能控制鑄造多少硬幣。黑客告訴合約鑄造新代幣,超過授權限額許多,這將使代幣貶值。
無限鑄造攻擊速度快。攻擊者入侵系統,操縱合約,鑄造新代幣並迅速出售。通常,這些代幣會被兌換成比特幣(BTC)或穩定幣(如USDC)等更有價值的資產。此過程在短時間內屢次重複,以至於當市場調整時,他們早些時候出售獲利的代幣如今變得幾乎一文不值。
無限鑄造攻擊是如何運作的?
黑客在進行無限鑄造攻擊時非常有針對性。攻擊快速而精確根據網絡擁堵和平台響應時間的不同,攻擊可能在幾分鐘內發生。無限鑄造攻擊主要有四個步驟,它們是:
- 識別漏洞
要發動攻擊,項目的護甲必須有一個缺口(易受攻擊的地方),而攻擊者確切知道要在哪裡檢查,即智能合約。智能合約是去中心化項目可以在無干擾的第三方情況下運作的方式。它自動強制執行兩方之間的協議。
智能合約是不可變的;一旦達成協議,就無法更改。駭客利用這種不可變性,再加上合約的開源性質。由於智能合約是透明的,駭客可以研究它們以尋找漏洞,然後利用它們。
- 漏洞利用
駭客通常尋找合約的鑄造功能中的漏洞。一旦找到漏洞,他們會製作一個交易,讓智能合約繞過標準的檢查和平衡,然後鑄造出多餘的代幣。
所製作的交易可能只是執行某個特定功能,調整某個參數,甚至利用不同程式碼段之間的未知連接。
- 無限挖礦和倒賣
智能合約被利用後,攻擊者可以鑄造任意多的新代幣,然後在市場上抛售。
代幣傾銷發生得很快。市場上充斥著新的代幣,攻擊者通常將代幣兌換成穩定幣。在市場對交易進行調整後,傾銷的代幣會嚴重貶值。
- 盈利實現
在貶值代幣之後,攻擊者從無限鑄造攻擊的最後階段中獲利。儘管代幣失去了價值,但市場調整的速度不及代幣貶值的速度那麼快,因此攻擊者會將現在幾乎毫無價值的代幣兌換成穩定幣和以代幣持有者為代價的利潤.
攻擊者在這一步中變得非常有創意。他們可以通過多種方式獲利,其中一種方式是將這些代幣轉移到交易所,然後在市場對轉移作出反應之前以高價出售。他們還可以進行套利,比較不同平台的價格,找到價格尚未調整的平台,然後在那裡出售代幣。攻擊還可以通過將新鑄造的代幣與流動性池中的穩定幣進行交換來耗盡流動性池。
來源: pexels
無限鑄造攻擊的例子
隨著Web3的崛起,部分歸功於比特幣,攻擊也有所增加;第一個值得注意的攻擊是Mg.Gox駭客攻擊自2011年以來,駭客攻擊越來越精密;現在,我們有像無限鑄造攻擊這樣的攻擊。以下是一些無限鑄造攻擊的示例:
Cover Protocol攻擊
Cover協議是一個DeFi項目,旨在為其他DeFi項目在智能合約漏洞、攻擊等情況下提供保險。 2020年12月,他們遭受了無限鑄造攻擊。攻擊者偷走了100萬DAI、1,400個以太幣和90個WBTC,獲得了超過400萬美元。
攻擊者在操縱Cover的智能合約以打印代幣作為獎勵之後可能進行攻擊。bug他們利用的是與程序語言中的內存和存儲濫用有關的問題。有了這個,他們就能夠進行鑄造40 quintillion COVER代幣,幾小時內,他們可以賣出高達$5百萬的COVER。僅僅在24小時內,Cover代幣的價值下降了75%。
幾小時後,一個 白帽駭客名為Grap Finance的公司聲稱對這次襲擊負責,通過X帖. 駭客還表示該攻擊並未獲得任何收益,並且所有資金已退還給Cover。
Paid Network攻擊
The Paid network.)是一個去中心化金融(DeFi)平臺,旨在使合同更容易。它將利用區塊鏈技術的力量自動化和分解法律和商業協定。2021 年初,付費網路使用者注意到一個問題:網路遭到攻擊。攻擊者利用了鑄幣合約中的漏洞。攻擊者鑄造和蹦蹦跳跳的代幣。他們可以鑄造數百萬個 PAID 代幣,並在攻擊結束前將 250 萬轉換為 ETH。
攻擊者給 PAID 留下了 1.8 億美元的損失,其價值的 85% 消失了。一些使用者對付費網路持懷疑態度,他們認為這次攻擊是拉毯然而,在Paid網絡賠償了所有受影響的用戶之後,這些懷疑消除了。
BNB 橋接攻擊
BNB 橋允許用戶進行跨鏈轉賬。有了它,用戶可以將資產從幣安信標鏈轉移到幣安智能鏈(BSC)。在2022年10月BNB橋遭受無限鑄造攻擊。攻擊者利用合約中的漏洞鑄造了200萬個$BNB,總價值為5.86億美元。
攻擊者能夠直接將BNB鑄造到他們的錢包中。他們還選擇不交換代幣,也不想將其從币安移走。相反,他們使用BNB作為抵押品,以獲得將被發送到不同網絡的貸款。幸運的是,币安的驗證器阻止了這次黑客攻擊,但智能鏈不得不暫時關閉。
Ankr攻擊
ANKR旨在開發 web3。Ankr 是一個具有 DeFi 能力的基於區塊鏈的基礎設施。2022年Ankr在Gate.io上暫停ANKR提款
如何防止無限鑄造攻擊
加密項目的開發者在製作項目時需要將安全放在首位。去中心化經濟每天都在變化;有很多創新,但駭客也同樣具有創新性。需要更加強調預防而不是緩解。
開發人員需要採取多個步驟來防止像無限鑄造攻擊這樣的黑客入侵。智能合約安全的一個步驟是進行徹底的審計頻繁地。審計是檢查智能合約代碼中可被利用的漏洞的過程。理想情況下,這些審計不應該是內部進行,而應由可信任的第三方安全專業人士處理。
另一個步驟是加緊對誰有權訪問鑄造控制的限制。如果太多人可以訪問,就更容易被滲透和利用。項目也可以聘請一些多重簽名錢包。它提高了安全性,因為有了它,您將需要多個私鑰才能訪問一個帳戶。
最後,項目應該記住重要性的監控和通訊他們應該擁有最先進的監控工具,以便在異常情況發生時立即發現。如果他們與交易所、其他項目和加密社區保持開放的溝通渠道,他們可以預料到任何攻擊並制定防禦計劃。
加密世界中智能合約安全的未來
隨著智能合約的出現,也必須有一些東西來指導其使用。在這種情況下,我們更關心的是它的安全這樣使用者在違規期間就不會受到影響。我們可以做的第一件事是建議專案安全。他們可以按照最後一個副標題中列出的步驟進行操作。問題在於,一些專案可能不會接受這些建議,而且關於智能合約的法律很少。那麼,我們該何去何從呢?
智能合約是新的,法律還沒有跟上它們。現在,最重要的兩件事是可執行性和司法管轄權。由於智能合約是在區塊鏈上為去中心化服務而製作的,因此需要特別注意。法律能否對他們強制執行其規則?在加密貨幣方面已經有法律和法庭案例,但智能合約的問題尚未得到足夠的關注。
現在,關於司法管轄問題是,如果法律存在差異,法律如何對項目負責?在美國合法的事情在英國可能是非法的。為了解決這些問題,必須建立一個能夠全面解決智能合約安全性的監管框架。區塊鏈技術和法律專家應該合作,以達成共識。
仍然有一些希望可以抓住。2023年DeFi駭客攻擊減少了50%以上如果實施這些規定,全球的駭客事件將更少。
結論
總而言之,無限鑄造攻擊非常具有策略性和快速性。一旦攻擊者開始,他們可以在短短幾分鐘內鑄造數百萬個代幣,但只要採取正確的安全預防措施,就可以防止這些攻擊。
創建適當的法律框架以保護項目及其用戶免受無限鑄造攻擊仍然存在一些步驟。目前,去中心化金融(DeFi)項目必須格外安全和警惕。
Related articles
什麼是穩定幣 USDT?
一文解讀什幺是區塊鏈
Web3 空間代表著擺脫想要介入您交易的中央機構的自由。這些第三方介入中央交易的原因之一是為了所轉移的資產和參與交易的各方的安全。即使 Web3 世界是安全的,仍然存在一些安全擔憂。
加密空間引入了新的移動資產方式,這將帶來新的創造性方式來竊取這些資產。無限鑄造攻擊是一種更具創新性的竊取資產和破壞項目的方式之一。
黑客利用無限鑄造攻擊從加密項目中竊取了數百萬美元,其中一些項目仍在努力恢復。為了應對這一問題,我們需要了解無限鑄造攻擊是什麼,它是如何工作的,以及如何防範它。
什麼是無限鑄造攻擊?
去中心化金融(DeFi)協議受無限鑄造攻擊影響最為嚴重。DeFi項目使用智能合約自動化治理,而智能合約是開放源碼的,這意味著任何人都可以看到它的運作方式。如果合約寫得不當且沒有得到保障,黑客可以查閱合約並輕易找到漏洞進行利用。
當黑客執行無限鑄造攻擊時,他們利用錯誤來篡改項目的合約。他們專門針對合約的鑄造功能,該功能控制鑄造多少硬幣。黑客告訴合約鑄造新代幣,超過授權限額許多,這將使代幣貶值。
無限鑄造攻擊速度快。攻擊者入侵系統,操縱合約,鑄造新代幣並迅速出售。通常,這些代幣會被兌換成比特幣(BTC)或穩定幣(如USDC)等更有價值的資產。此過程在短時間內屢次重複,以至於當市場調整時,他們早些時候出售獲利的代幣如今變得幾乎一文不值。
無限鑄造攻擊是如何運作的?
黑客在進行無限鑄造攻擊時非常有針對性。攻擊快速而精確根據網絡擁堵和平台響應時間的不同,攻擊可能在幾分鐘內發生。無限鑄造攻擊主要有四個步驟,它們是:
- 識別漏洞
要發動攻擊,項目的護甲必須有一個缺口(易受攻擊的地方),而攻擊者確切知道要在哪裡檢查,即智能合約。智能合約是去中心化項目可以在無干擾的第三方情況下運作的方式。它自動強制執行兩方之間的協議。
智能合約是不可變的;一旦達成協議,就無法更改。駭客利用這種不可變性,再加上合約的開源性質。由於智能合約是透明的,駭客可以研究它們以尋找漏洞,然後利用它們。
- 漏洞利用
駭客通常尋找合約的鑄造功能中的漏洞。一旦找到漏洞,他們會製作一個交易,讓智能合約繞過標準的檢查和平衡,然後鑄造出多餘的代幣。
所製作的交易可能只是執行某個特定功能,調整某個參數,甚至利用不同程式碼段之間的未知連接。
- 無限挖礦和倒賣
智能合約被利用後,攻擊者可以鑄造任意多的新代幣,然後在市場上抛售。
代幣傾銷發生得很快。市場上充斥著新的代幣,攻擊者通常將代幣兌換成穩定幣。在市場對交易進行調整後,傾銷的代幣會嚴重貶值。
- 盈利實現
在貶值代幣之後,攻擊者從無限鑄造攻擊的最後階段中獲利。儘管代幣失去了價值,但市場調整的速度不及代幣貶值的速度那麼快,因此攻擊者會將現在幾乎毫無價值的代幣兌換成穩定幣和以代幣持有者為代價的利潤.
攻擊者在這一步中變得非常有創意。他們可以通過多種方式獲利,其中一種方式是將這些代幣轉移到交易所,然後在市場對轉移作出反應之前以高價出售。他們還可以進行套利,比較不同平台的價格,找到價格尚未調整的平台,然後在那裡出售代幣。攻擊還可以通過將新鑄造的代幣與流動性池中的穩定幣進行交換來耗盡流動性池。
來源: pexels
無限鑄造攻擊的例子
隨著Web3的崛起,部分歸功於比特幣,攻擊也有所增加;第一個值得注意的攻擊是Mg.Gox駭客攻擊自2011年以來,駭客攻擊越來越精密;現在,我們有像無限鑄造攻擊這樣的攻擊。以下是一些無限鑄造攻擊的示例:
Cover Protocol攻擊
Cover協議是一個DeFi項目,旨在為其他DeFi項目在智能合約漏洞、攻擊等情況下提供保險。 2020年12月,他們遭受了無限鑄造攻擊。攻擊者偷走了100萬DAI、1,400個以太幣和90個WBTC,獲得了超過400萬美元。
攻擊者在操縱Cover的智能合約以打印代幣作為獎勵之後可能進行攻擊。bug他們利用的是與程序語言中的內存和存儲濫用有關的問題。有了這個,他們就能夠進行鑄造40 quintillion COVER代幣,幾小時內,他們可以賣出高達$5百萬的COVER。僅僅在24小時內,Cover代幣的價值下降了75%。
幾小時後,一個 白帽駭客名為Grap Finance的公司聲稱對這次襲擊負責,通過X帖. 駭客還表示該攻擊並未獲得任何收益,並且所有資金已退還給Cover。
Paid Network攻擊
The Paid network.)是一個去中心化金融(DeFi)平臺,旨在使合同更容易。它將利用區塊鏈技術的力量自動化和分解法律和商業協定。2021 年初,付費網路使用者注意到一個問題:網路遭到攻擊。攻擊者利用了鑄幣合約中的漏洞。攻擊者鑄造和蹦蹦跳跳的代幣。他們可以鑄造數百萬個 PAID 代幣,並在攻擊結束前將 250 萬轉換為 ETH。
攻擊者給 PAID 留下了 1.8 億美元的損失,其價值的 85% 消失了。一些使用者對付費網路持懷疑態度,他們認為這次攻擊是拉毯然而,在Paid網絡賠償了所有受影響的用戶之後,這些懷疑消除了。
BNB 橋接攻擊
BNB 橋允許用戶進行跨鏈轉賬。有了它,用戶可以將資產從幣安信標鏈轉移到幣安智能鏈(BSC)。在2022年10月BNB橋遭受無限鑄造攻擊。攻擊者利用合約中的漏洞鑄造了200萬個$BNB,總價值為5.86億美元。
攻擊者能夠直接將BNB鑄造到他們的錢包中。他們還選擇不交換代幣,也不想將其從币安移走。相反,他們使用BNB作為抵押品,以獲得將被發送到不同網絡的貸款。幸運的是,币安的驗證器阻止了這次黑客攻擊,但智能鏈不得不暫時關閉。
Ankr攻擊
ANKR旨在開發 web3。Ankr 是一個具有 DeFi 能力的基於區塊鏈的基礎設施。2022年Ankr在Gate.io上暫停ANKR提款
如何防止無限鑄造攻擊
加密項目的開發者在製作項目時需要將安全放在首位。去中心化經濟每天都在變化;有很多創新,但駭客也同樣具有創新性。需要更加強調預防而不是緩解。
開發人員需要採取多個步驟來防止像無限鑄造攻擊這樣的黑客入侵。智能合約安全的一個步驟是進行徹底的審計頻繁地。審計是檢查智能合約代碼中可被利用的漏洞的過程。理想情況下,這些審計不應該是內部進行,而應由可信任的第三方安全專業人士處理。
另一個步驟是加緊對誰有權訪問鑄造控制的限制。如果太多人可以訪問,就更容易被滲透和利用。項目也可以聘請一些多重簽名錢包。它提高了安全性,因為有了它,您將需要多個私鑰才能訪問一個帳戶。
最後,項目應該記住重要性的監控和通訊他們應該擁有最先進的監控工具,以便在異常情況發生時立即發現。如果他們與交易所、其他項目和加密社區保持開放的溝通渠道,他們可以預料到任何攻擊並制定防禦計劃。
加密世界中智能合約安全的未來
隨著智能合約的出現,也必須有一些東西來指導其使用。在這種情況下,我們更關心的是它的安全這樣使用者在違規期間就不會受到影響。我們可以做的第一件事是建議專案安全。他們可以按照最後一個副標題中列出的步驟進行操作。問題在於,一些專案可能不會接受這些建議,而且關於智能合約的法律很少。那麼,我們該何去何從呢?
智能合約是新的,法律還沒有跟上它們。現在,最重要的兩件事是可執行性和司法管轄權。由於智能合約是在區塊鏈上為去中心化服務而製作的,因此需要特別注意。法律能否對他們強制執行其規則?在加密貨幣方面已經有法律和法庭案例,但智能合約的問題尚未得到足夠的關注。
現在,關於司法管轄問題是,如果法律存在差異,法律如何對項目負責?在美國合法的事情在英國可能是非法的。為了解決這些問題,必須建立一個能夠全面解決智能合約安全性的監管框架。區塊鏈技術和法律專家應該合作,以達成共識。
仍然有一些希望可以抓住。2023年DeFi駭客攻擊減少了50%以上如果實施這些規定,全球的駭客事件將更少。
結論
總而言之,無限鑄造攻擊非常具有策略性和快速性。一旦攻擊者開始,他們可以在短短幾分鐘內鑄造數百萬個代幣,但只要採取正確的安全預防措施,就可以防止這些攻擊。
創建適當的法律框架以保護項目及其用戶免受無限鑄造攻擊仍然存在一些步驟。目前,去中心化金融(DeFi)項目必須格外安全和警惕。
Related articles
什麼是穩定幣 USDT?