作者:Onkar Singh,CoinTelegraph;編譯:陶朱,金色財經
一、無限鑄幣攻擊解釋
無限鑄幣攻擊是指攻擊者操縱合約程式碼不斷鑄造超出授權供應限制的新代幣。
這種駭客行為在去中心化金融(DeFi) 協議中最為常見。這種攻擊透過創建無限數量的代幣來損害加密貨幣或代幣的完整性和價值。
例如,一名駭客利用了Paid 網路的智慧合約漏洞來鑄造和銷毀代幣,導致1.8 億美元的損失和PAID 價值下跌85%。在攻擊停止之前,超過250 萬個PAID 代幣被轉換為以太坊(ETH)。該網絡向用戶進行了補償,消除了有關內部作案(rug pull) 的謠言。
惡意行為者可能會透過出售非法創建的代幣或乾擾受影響的區塊鏈網路的正常運作來從此類攻擊中獲利。無限鑄幣攻擊的盛行強調了進行徹底的程式碼審核並將安全措施納入智慧合約開發以防止此類漏洞的重要性。
二、無限鑄幣攻擊是如何運作的?
為了創建一個漏洞,使攻擊者可以鑄造無限數量的代幣,無限鑄幣攻擊針對智慧合約中的漏洞,特別是與代幣鑄造功能相關的漏洞。
步驟1:漏洞識別
攻擊方法需要找到合約中的邏輯弱點,通常與輸入驗證或存取控制機制有關。一旦發現漏洞,攻擊者就會創建一個利用該漏洞的交易,導致合約在沒有必要授權或驗證的情況下鑄造新代幣。此漏洞可能允許繞過可創建的代幣數量的預期限制。
步驟2:利用
該漏洞由攻擊者建構的惡意交易觸發。這可能需要更改參數、執行特定功能或利用各個程式碼段之間不可預見的連接。
步驟3:無限挖掘與代幣傾銷
該漏洞允許攻擊者發行超出協議架構預期的代幣。這種代幣氾濫可能會導致通貨膨脹,從而降低與代幣相關的貨幣的價值,並可能導致包括投資者和用戶在內的各種利益相關者遭受損失。
代幣傾銷是指攻擊者迅速用新創建的代幣充斥市場,然後將其兌換成穩定幣或其他加密貨幣的做法。原始代幣的價值因供應量的意外增加而急劇下降,導致價格暴跌。然而,在市場有機會讓攻擊者受益之前出售代幣。
三、無限鑄幣攻擊的後果
無限鑄幣攻擊會導致代幣價值迅速貶值、財務損失和生態系統破壞。
無限鑄幣攻擊會產生無限數量的代幣或加密貨幣,使受影響的資產立即貶值,並對用戶和投資者造成巨大損失。這會破壞對受影響的區塊鏈網路及其連接的去中心化應用程式的信心,從而損害整個生態系統的完整性。
此外,透過在市場完全反應之前出售的代幣,攻擊者可以獲利,並可能讓其他人持有毫無價值的資產。因此,如果攻擊導致流動性危機,投資者可能會發現很難或不可能以公平的價格出售其資產。
例如,在2020 年12 月的Cover Protocol 攻擊期間,代幣的價值在幾個小時內從700 多美元跌至不到5 美元,持有COVER 代幣的投資者遭受了財務損失。駭客鑄造了超過40 千萬億枚代幣。
代幣價值的崩盤可能會破壞整個生態系統,包括依賴代幣穩定性的去中心化應用(DApp)、交易所和其他服務。攻擊可能會導致法律問題和對項目的監管審查,從而導致罰款或其他處罰。
四、無限鑄幣攻擊與重入攻擊
無限鑄幣攻擊旨在創建無限數量的代幣,而重入攻擊則採用提現機制來不斷消耗資金。
無限鑄幣攻擊利用代幣創建過程中的缺陷來產生無限的供應,從而壓低價值並對投資者造成損失。
另一方面,重入攻擊專注於提現程序,使攻擊者能夠在合約有機會更新其餘額之前不斷從合約中抽走資金。
雖然任何攻擊都可能帶來災難性的後果,但了解差異對於開發有效的緩解技術至關重要。
無限鑄幣攻擊和重入攻擊之間的主要區別是:
五、如何防止加密貨幣中的無限鑄幣攻擊
透過強調安全性和採取預防措施,加密貨幣計畫可以大大降低成為無限鑄幣攻擊目標的可能性,並保護社群成員的投資。
需要製定一個多方面的策略,在加密貨幣專案的每個階段都將安全放在首位,以防止無限鑄幣攻擊。由獨立安全專家進行徹底和頻繁的智慧合約審計至關重要。這些審計會仔細檢查程式碼中是否有可用於鑄造無限量代幣的缺陷。
必須實施強大的存取控制;鑄幣權只應授予授權方;應使用多重簽名錢包來提高安全性。即時監控工具對於快速響應可能的攻擊並識別任何奇怪的交易模式或代幣供應的突然激增是必不可少的。
項目還應有強大的備份計劃,隨時準備快速處理任何可能的攻擊並將損失降至最低。這需要與交易所、錢包提供者和整個社區保持開放的溝通管道,以預測可能出現的問題並製定解決方案。
