À medida que a adoção das várias formas de criptoativos avança entre os usuários, surgem novos ataques, explorados por agentes mal-intencionados, que buscam obter lucros ou simplesmente expor falhas de segurança nas implementações. Nos últimos anos, diferentes formas de fraude foram alertadas, por exemplo, golpes como o Rug Pull ou dusting attack. Nesse caso, a ESET, empresa líder em detecção proativa de ameaças, explica em que consiste a forma de ataque chamada infinite mint.
- Siga o tecflow no Google News!
- Participe do nosso grupo no Telegram ou Whatsapp!
- Confira nossos stories no Instagram e veja notícias como essa!
- Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
- Anuncie conosco aqui.
A tecnologia Blockchain é muito segura, mas pode ser violada por outros serviços ou desenvolvimentos que também usam blockchain. Em um ataque de infinite mint, os invasores exploram uma vulnerabilidade no protocolo que lhes permite alterar o funcionamento do blockchain. Esse tipo de atividade maliciosa ocorre quando um invasor cria (mintea) um grande número de tokens dentro de um mesmo protocolo. Em seguida, ele passa a despejar todos os tokens cunhados no mercado, fazendo com que seu preço caia.
Geralmente, esse processo é feito em um curto espaço de tempo, portanto, eles podem ser adquiridos pelos invasores a um preço muito menor do que seu valor real, ou seja, o valor do criptoativo antes de sua degradação. Também pode acontecer que o invasor tente trocar os tokens minerados por outros antes que o mercado reaja e pegue uma boa quantia de dinheiro.
“Para entender esses tipos de ataques, é importante identificar a tecnologia blockchain. O processo de tokenização refere-se à representação de um ativo ou objeto real como uma expressão de dados exclusivos. A tokenização envolve transformar única e imutavelmente cada uma das propriedades de um objeto, para ter uma representação digital dele no blockchain. Portanto, um token é um objeto que representa algum valor, como uma criptomoeda, uma NFT, obras de arte, videogames, peças colecionáveis ou qualquer outro elemento que possa adquirir um valor único e imutável no blockchain“, explica Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET.
Os sistemas Blockchain, de acordo com a ESET, são vulneráveis a esse tipo de ataque principalmente devido a falhas de segurança associadas à implementação, que permitem que os invasores explorem bugs e outras vulnerabilidades no código.
Um exemplo disso é o ataque em 2020 ao Cover Protocol, uma plataforma que oferece cobertura de risco para contratos inteligentes, na qual os invasores exploraram vulnerabilidades que lhes permitiram obter recompensas não autorizadas do protocolo. Por meio deste ataque foi possível gerar um número exorbitante de tokens COVER (cerca de 40 trilhões), o que fez com que o preço do token perdesse cerca de 97% do seu valor. O invasor então os trocou por outros ativos cripto no valor de US$5 milhões.
Um contrato inteligente é um programa que é executado no blockchain usando uma coleção de código (funções) e dados (estados) que residem em um endereço específico, para que possa ser considerado como um tipo de conta no blockchain. Isso implica que você pode ter saldo e fazer transações através do vermelho, que são executadas de acordo com as instruções programadas. As contas de usuário podem então interagir com elas por meio de transações que executam uma função predefinida, usando regras que são aplicadas automaticamente por meio de código. Devido às suas características, os contratos inteligentes não podem ser excluídos por padrão e as interações são irreversíveis.
As medidas de segurança contra ataques infinite mint compartilhadas pela ESET são:
- Como os ataques de infinite mint estão relacionados principalmente a falhas de implementação e código, a melhor prevenção para esses tipos de ataques são auditorias e práticas de desenvolvimento seguras, especialmente quando se trata de contratos inteligentes, embora outros processos de tokenização também possam ser suscetíveis de serem afetados.
- É importante mencionar que as auditorias não garantem que um protocolo seja completamente seguro e que outras práticas de segurança possam ser implementadas. Principalmente na implementação de blockchain para os vários projetos onde se busca que as informações não possam ser alteradas para fins maliciosos.
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
Leandro Lima
Graduado em tecnologia e design gráfico, sou apaixonado pela fotografia e inovações tecnológicas. Atualmente escrevo para o Tecflow.