Що таке атака з безмежним створенням, і як вона працює?
Атака з безмежним створенням: пояснення
Атака з безмежним створенням відбувається, коли зловмисник маніпулює кодом смарт-контракту з метою безперервного створення нових токенів, перевищуючи встановлений ліміт постачання.
Такий вид атак є найбільш розповсюдженим у протоколах децентралізованих фінансів (DeFi). Атака ставить під загрозу цілісність та вартість криптовалюти чи токена шляхом створення їх безкінечного обсягу.
Наприклад, хакер скористався вразливістю смарт-контракту мережі Paid, щоб створити й спалити токени, що призвело до втрат у розмірі 180 мільйонів доларів та падіння вартості PAID на 85%. Більш ніж 2,5 мільйона токенів PAID було конвертовано в Ethereum до зупинки атаки. Мережа компенсувала збитки користувачам, спростувавши чутки про внутрішню змову (rug pull).
Зловмисники можуть одержувати прибуток завдяки таким атакам, продаючи створені нелегально токени або порушуючи роботу ураженої блокчейн-мережі. Частота атак з безмежним створенням підкреслює важливість ретельних аудиторських перевірок коду та впровадження захисних механізмів у розробку смарт-контрактів для запобігання подібним експлойтам.
Як працює атака з безмежним створенням?
Атака з безмежним створенням спрямована на вразливості в смарт-контрактах, зокрема пов’язані з функціональністю створення токенів, аби створити лазівку, що дозволяє зловмиснику випускати нескінченну кількість токенів.
Крок 1: Виявлення вразливості
Методологія атаки передбачає пошук логічних помилок у контракті, зазвичай пов’язаних із перевіркою вводу або механізмами керування доступом. Після виявлення вразливості зловмисник створює транзакцію, яка її використовує, змушуючи контракт створювати нові токени без необхідного дозволу чи перевірки. Ця вразливість може дозволити обійти заплановані обмеження на кількість створюваних токенів.
Крок 2: Експлуатація
Вразливість активується шляхом злочинної транзакції, яку створює зловмисник. Це може включати зміну параметрів, виконання конкретних функцій або використання несподіваних зв’язків між різними сегментами коду.
Крок 3: Безмежний майнінг і продаж токенів
Експлойт дозволяє зловмиснику випускати токени в кількості, що перевищує заплановані межі архітектури протоколу. Такий надлишок токенів може спричинити інфляцію, що знижує вартість монети, пов’язаної з токенами, і може привести до збитків серед різних зацікавлених сторін, включаючи інвесторів і користувачів.
Продаж токенів (так звана “розпродаж токенів”) передбачає, що зловмисник швидко наповнює ринок новоствореними токенами, обмінюючи їх на стейблкоїни або інші криптовалюти. Несподіване збільшення пропозиції різко знижує вартість оригінального токена, спричиняючи обвал ціни.
Наслідки атаки з безмежним створенням
Атака з безмежним створенням призводить до швидкої девальвації токена, фінансових втрат і порушення роботи екосистеми.
Ця атака викликає створення необмеженої кількості токенів чи криптовалюти, миттєво знецінюючи уражений актив і спричиняючи великі збитки для користувачів та інвесторів. Це ставить під загрозу цілісність всієї екосистеми, підриваючи довіру до ураженої блокчейн-мережі та децентралізованих додатків (DApps), пов’язаних із нею.
Крім того, зловмисники можуть отримувати вигоду, продаючи завищену кількість токенів до того, як ринок встигне зреагувати, залишаючи інших із практично нікчемними активами. У результаті інвестори можуть зіткнутися із труднощами або навіть неможливістю продати свої активи за справедливою ціною, якщо атака викликає кризу ліквідності.
Наприклад, під час атаки на Cover Protocol у грудні 2020 року вартість токена впала з понад $700 до менш ніж $5 за кілька годин, і власники токенів COVER зазнали фінансових втрат. Хакери створили більш ніж 40 квінтильйонів токенів.
Обвал вартості токена може перервати функціонування всієї екосистеми, включаючи децентралізовані додатки, біржі та інші сервіси, які залежать від стабільності токена. Атака може також призвести до юридичних проблем і посиленого регуляторного нагляду щодо проєкту, що може включати штрафи чи інші санкції.
Атака з безмежним створенням проти повторного входу
Атака з безмежним створенням спрямована на створення необмеженої кількості токенів, тоді як атака повторного входу використовує механізми виведення коштів для неперервного їх виснаження.
Атаки з безмежним створенням використовують вразливості в процесі створення токенів, щоб згенерувати необмежену кількість монет, що знижує їхню вартість і призводить до втрат інвесторів.
Натомість у випадку атак повторного входу зловмисники зосереджуються на процедурі виведення коштів, що дозволяє їм постійно виводити гроші з контракту до того, як ті встигають оновити свої баланси.
Хоча обидва види атак можуть мати катастрофічні наслідки, розуміння їхніх відмінностей важливо для розробки ефективних методів запобігання.
Як запобігти атакам з безмежним створенням криптовалют?
Криптовалютні проєкти можуть суттєво знизити ризик стати мішенню атак з безмежним створенням і захистити інвестиції учасників спільноти, надаючи пріоритет безпеці й впроваджуючи превентивні заходи.
Для запобігання таким атакам потрібен багатоплановий підхід із пріоритетом безпеки на кожному етапі криптовалютного проєкту. Крайня важливість полягає у проведенні ретельних і регулярних аудиторських перевірок смарт-контрактів незалежними експертами з безпеки. Ці аудитори ретельно перевіряють код на предмет недоліків, які можуть бути використані для безмежного створення токенів.
Необхідно впровадити міцний контроль доступу: права на створення токенів мають бути надані лише авторизованим сторонам, і слід використовувати мультипідписи гаманців для підвищення рівня безпеки. Інструменти моніторингу в реальному часі є необхідними для швидкої реакції на можливі атаки та виявлення підозрілих транзакцій або раптових сплесків у постачанні токенів.
Проєкти також мають підготувати ефективні плани резервного реагування для швидкої ліквідації можливих атак і мінімізації збитків. Це включає у себе налагоджені канали комунікації з біржами, постачальниками гаманців і всією спільнотою для передбачення можливих проблем і розробки рішень.
