Autor: Onkar Singh, CoinTelegraph; Compilador: Tao Zhu, Golden Finance;

1. Explicación del ataque de monedas infinitas

Un ataque de acuñación ilimitada ocurre cuando un atacante manipula el código del contrato para acuñar continuamente nuevos tokens que exceden el límite de suministro autorizado.

Este tipo de pirateo es más común en los protocolos de finanzas descentralizadas (DeFi). Este ataque compromete la integridad y el valor de una criptomoneda o token al crear una cantidad ilimitada de tokens.

Por ejemplo, un pirata informático aprovechó una vulnerabilidad de contrato inteligente en la red Paid para acuñar y quemar tokens, lo que provocó pérdidas de 180 millones de dólares y una caída del 85% en el valor PAGADO. Más de 2,5 millones de tokens PAGADOS se convirtieron en Ethereum (ETH) antes de que se detuviera el ataque. La red compensó a los usuarios y disipó los rumores sobre una operación interna (rug pull).

Los actores malintencionados pueden beneficiarse de tales ataques vendiendo tokens creados ilegalmente o interfiriendo con el funcionamiento normal de la red blockchain afectada. La prevalencia de ataques de acuñación infinita enfatiza la importancia de realizar revisiones exhaustivas del código e incorporar medidas de seguridad en el desarrollo de contratos inteligentes para prevenir tales vulnerabilidades.

2. ¿Cómo funciona el ataque ilimitado con monedas?

Para crear una vulnerabilidad que permita a un atacante acuñar una cantidad ilimitada de tokens, los ataques de acuñación infinita apuntan a vulnerabilidades en los contratos inteligentes, específicamente relacionados con la funcionalidad de acuñación de tokens.

Paso 1: identificación de vulnerabilidad

Los métodos de ataque requieren encontrar debilidades lógicas en el contrato, generalmente relacionadas con la validación de entradas o los mecanismos de control de acceso. Una vez que se descubre la vulnerabilidad, el atacante crea una transacción que explota la vulnerabilidad, lo que hace que el contrato acuñe nuevos tokens sin la autorización o verificación necesaria. Esta vulnerabilidad podría permitir superar el límite previsto en la cantidad de tokens que se pueden crear.

Paso 2: explotar

La vulnerabilidad se desencadena por una transacción maliciosa construida por un atacante. Esto puede requerir cambiar parámetros, realizar funciones específicas o explotar conexiones imprevistas entre varias piezas de código.

Paso 3: Minería ilimitada y volcado de tokens

La vulnerabilidad permite a un atacante emitir más tokens de los previstos por la arquitectura del protocolo. Esta inundación de tokens puede provocar inflación, lo que reduce el valor de la moneda asociada al token y puede generar pérdidas para diversas partes interesadas, incluidos inversores y usuarios.

El dumping de tokens es una práctica en la que los atacantes inundan rápidamente el mercado con tokens recién creados, que luego se intercambian por monedas estables u otras criptomonedas. El valor del token original cayó drásticamente debido a un aumento inesperado en la oferta, lo que provocó que el precio cayera en picado. Sin embargo, los tokens se venden antes de que el mercado tenga la oportunidad de beneficiar al atacante.

3. Consecuencias del ataque ilimitado de monedas

Los ataques de acuñación infinitos pueden provocar una rápida depreciación del valor de los tokens, pérdidas financieras y destrucción del ecosistema.

Los ataques de acuñación infinita generan una cantidad ilimitada de tokens o criptomonedas, devaluando instantáneamente los activos afectados y causando enormes pérdidas a los usuarios e inversores. Esto socava la confianza en la red blockchain afectada y sus aplicaciones descentralizadas conectadas, comprometiendo la integridad de todo el ecosistema.

Además, al vender tokens antes de que el mercado haya reaccionado por completo, los atacantes pueden obtener ganancias y potencialmente dejar a otros con un activo sin valor. Por lo tanto, si un ataque resulta en una crisis de liquidez, a los inversores les puede resultar difícil o imposible vender sus activos a un precio justo.

Por ejemplo, durante el ataque del Cover Protocol en diciembre de 2020, el valor del token cayó de más de $700 a menos de $5 en cuestión de horas, y los inversores que poseían tokens COVER sufrieron pérdidas financieras. Los piratas informáticos acuñaron más de 40 mil billones de monedas.

Un colapso en el valor de un token podría alterar todo el ecosistema, incluidas las aplicaciones descentralizadas (DApps), los intercambios y otros servicios que dependen de la estabilidad del token. Un ataque podría generar problemas legales y un escrutinio regulatorio del proyecto, lo que daría lugar a multas u otras sanciones.

4. Ataque de moneda ilimitado y ataque de reentrada

Los ataques de acuñación infinita tienen como objetivo crear una cantidad ilimitada de tokens, mientras que los ataques de reentrada emplean un mecanismo de retiro para drenar fondos continuamente.

Los ataques de acuñación infinita explotan fallas en el proceso de creación de tokens para generar un suministro ilimitado, lo que deprime el valor y causa pérdidas a los inversores.

Los ataques de reentrada, por otro lado, se centran en los procedimientos de retiro, lo que permite al atacante desviar continuamente fondos de un contrato antes de tener la oportunidad de actualizar su saldo.

Si bien cualquier ataque puede tener consecuencias catastróficas, comprender las diferencias es fundamental para desarrollar técnicas de mitigación eficaces.

Las principales diferencias entre los ataques de acuñación infinita y los ataques de reentrada son:

5. Cómo prevenir ataques de acuñación infinita de criptomonedas

Al enfatizar la seguridad y tomar precauciones, los proyectos de criptomonedas pueden reducir en gran medida la probabilidad de ser blanco de infinitos ataques de acuñación y proteger las inversiones de los miembros de la comunidad.

Se necesita una estrategia multifacética que priorice la seguridad en cada etapa de un proyecto de criptomonedas para evitar infinitos ataques de acuñación. Es fundamental realizar auditorías exhaustivas y frecuentes de contratos inteligentes por parte de expertos en seguridad independientes. Estas auditorías examinan el código en busca de fallas que podrían usarse para generar tokens ilimitados.

Se deben implementar controles de acceso estrictos; los derechos de acuñación solo deben otorgarse a partes autorizadas; se deben utilizar billeteras con múltiples firmas para mayor seguridad. Las herramientas de monitoreo en tiempo real son esenciales para responder rápidamente a posibles ataques e identificar patrones comerciales extraños o aumentos repentinos en el suministro de tokens.

Los proyectos también deben tener un plan de respaldo sólido, listo para manejar cualquier posible ataque rápidamente y minimizar las pérdidas. Esto requiere mantener líneas abiertas de comunicación con los intercambios, los proveedores de billeteras y la comunidad en general para anticipar posibles problemas y desarrollar soluciones.