حمله مینت بی‌نهایت (infinite mint attack)، زمانی رخ میدهد که یک هکر با دستکاری کد یک قرارداد، به طور مداوم و نامحدود توکن‌های جدید را بیشتر از حد مجاز تولید کند.

این نوع حمله اغلب در پروتکل‌های مالی غیرمتمرکز (DeFi) رخ می‌دهد. این حمله، با ایجاد تعداد نامحدودی از توکن‌ها، باعث کاهش ارزش ک توکن و اعتماد آن می‌شود.

به عنوان مثال، یک هکر از آسیب‌پذیری در قرارداد هوشمند شبکه Paid بهره‌برد و با استفاده از آن، توکن‌ها را به طور غیرقانونی مینت و سپس از بین برد. این حمله منجر به از دست دادن ۱۸۰ میلیون دلار و کاهش ۸۵٪ ارزش توکن PAID شد. قبل از متوقف شدن حمله، بیش از ۲.۵ میلیون توکن PAID به اتر (ETH) تبدیل شدند. شبکه خسارات وارد شده به کاربران را جبران کرد و شایعات درباره نقش داخلی در این حمله (rug pull) را رد کرد.

در این رابطه بخوانید‌ : برنامه معاملاتی چیست؟ و یک برنامه معاملاتی خوب چه ویژگی هایی دارد؟

هکر در این حملات میتواند با فروش توکن‌هایی که به طور غیرقانونی ایجاد کرده است، سود کسب کند یا با مداخله در عملیات روزانه شبکه بلاکچین، بر روی شبکه تأثیر بگذارد. شیوع حملات مینت بی‌نهایت، اهمیت بررسی‌ دقیق و کامل کدها و انجام اقدامات امنیتی در فرآیند توسعه قراردادهای هوشمند را برای جلوگیری از این حملات را نشان می‌دهد.

حمله مینت بی‌نهایت چگونه عمل میکند؟

برای تولید تعداد بی‌نهایتی از توکن‌ها، حمله مینت بی‌نهایت بر روی آسیب‌پذیری‌های موجود در قراردادهای هوشمند، به خصوص آن‌هایی که با قابلیت تولید توکن (مینت) مرتبط هستند، تمرکز میکند.

قدم اول: شناسایی آسیب پذیری‌ها

هکر در این حمله ابتدا نقاط ضعف منطقی در قرارداد را شناسایی میکند، که معمولاً به اعتبارسنجی ورودی یا مکانیسم‌های کنترل دسترسی مربوط می‌شود. هکر پس از پیدا کردن آسیب‌پذیری، یک تراکنش را ایجاد می‌کند که باعث می‌شود قرارداد بدون مجوز یا تأیید لازم، توکن‌های جدیدی را تولید کند. این آسیب‌پذیری ممکن است باعث شود که محدودیت‌های مربوط به تعداد توکن‌های قابل تولید در قرارداد نادیده گرفته شود.

قدم دوم: بهره‌ برداری

این آسیب‌پذیری زمانی به وجود می‌آید که حمله‌کننده یک تراکنش خبیث را ایجاد کرده و اجرا می‌کند. به این ترتیب، حمله‌کننده می‌تواند با تغییر پارامترها، اجرای توابع خاص یا بهره‌برداری از ارتباطات غیرمنتظره بین اجزای مختلف کد، قرارداد را بدون مجوز یا تأیید به ایجاد توکن‌های جدید دچار کند.

قدم سوم: ماینینگ نامحدود و دامپینگ توکن

این بهره‌برداری به حمله‌کننده اجازه می‌دهد که تعداد توکن‌ها را بیشتر از حد مجازی که توسط معماری پروتکل تعیین شده است، صادر کند. این امر موجب می‌شود که تعداد توکن‌های موجود در بازار، ناگهان افزایش یابد و در نتیجه باعث ایجاد تورم و کاهش ارزش آن توکن‌ شود. این مسئله ممکن است عواقب منفی برای سرمایه‌گذاران و کاربران آن توکن در پی داشته باشد.

دامپینگ توکن به معنای عملی است که حمله‌کننده به سرعت تعداد زیادی از توکن‌های تازه تولید شده را در بازار منتشر می‌کند و سپس آن‌ها را در عوض استیبل‌کوین‌ها یا رمزارزهای دیگر معامله می‌کند. این اقدام منجر به افزایش ناگهانی در عرضه توکن‌ها می‌شود که باعث کاهش شدید ارزش توکن اصلی و فروپاشی قیمت آن می‌گردد. با این حال، حمله‌کننده تلاش می‌کند این توکن‌های ساختگی را قبل از واکنش بازار، به فروش برساند.

عواقب حمله مینت بی‌نهایت

حمله مینت بی‌نهایت منجر به کاهش سریع ارزش توکن، زیان‌های مالی و اختلال در اکوسیستم آن می‌شود.

حمله مینت بی‌نهایت با ایجاد تعداد بی‌نهایتی از توکن‌ها و فروش فوری آن ها ارزش دارایی را تحت تأثیر قرار میدهد و باعث کاهش آن و  در نتیجه منجر ضرر قابل توجهی برای کاربران و سرمایه‌گذاران می‌شود. این حمله باعث تخریب اعتماد سرمایه گداران به کل اکوسیستم و برنامه‌های متمرکز (DApps) متصل به آن میشود.

به علاوه، با فروش توکن‌های ساختگی قبل از واکنش کامل بازار، حمله‌کننده می‌تواند سود کسب کند و احتمالا باعص کاهش ارزش دارایی دیگران شود. به همین دلیل، اگر حمله به بحران نقدینگی منجر شود، سرمایه‌گذاران ممکن است نتوانند دارایی‌های خود را با قیمت منصفانه بفروشند یا با مشکلاتی روبرو شوند.

به عنوان مثال، در حمله به پروتکل Cover در دسامبر ۲۰۲۰، ارزش توکن COVER در عرض چند ساعت از بیشتر از ۷۰۰ دلار به کمتر از ۵ دلار کاهش یافت و سرمایه‌گذاران توکن COVER، زیان‌های مالی شدیدی را تجربه کردند. هکرها بیش از ۴۰ کوینتیلیون کوین را مینت کردند.

همچنین بخوانید : سود باز یا اپن اینترست (open interest) در بازار آتی کریپتو چیست؟

سقوط ارزش یک توکن می‌تواند باعث اختلال در کل اکوسیستم شود، از جمله برنامه‌های غیرمتمرکز (DApps)، صرافی‌ها و سایر خدماتی که به پایداری این توکن وابسته‌اند. این نوع حمله ممکن است منجر به مشکلات حقوقی و بازرسی نظارتی پروژه شود که ممکن است تحریم‌ها و جریمه‌های قانونی دیگری در پی داشته باشد.

مقایسه حمله مینت بی نهایت با حمله ورود مجدد

• حمله مینت نامحدود با هدف ایجاد تعداد بی‌نهایتی از توکن‌ها صورت می‌گیرد، در حالی که حمله ورود مجدد از مکانیزم‌های برداشت استفاده می‌کند تا به طور پیوسته وجوه را تخلیه کند.
• حملات مینت بی نهایت، از ضعف‌های موجود در فرآیند ایجاد توکن استفاده می‌کنند تا تعداد بی‌نهایتی از توکن‌ها را تولید کنند. این کار باعث می‌شود ارزش توکن کاهش یافته و سرمایه‌گذاران دچار زیان شوند.
• از سوی دیگر، حملات ورود مجدد (Reentrancy attacks) بر روی فرآیند برداشت تمرکز دارند. در این حملات، مهاجمین، قبل از اینکه قرارداد فرصت به‌روزرسانی موجودی‌های خود را داشته باشد،‌ می‌توانند به طور پیوسته وجوه را از یک قرارداد هوشمند تخلیه کنند.

با اینکه هر نوع حمله می‌تواند عواقب فاجعه‌باری داشته باشد، درک تفاوت‌ بین این حملات برای توسعه تکنیک‌های مؤثر کاهش ضرر ضروری است.

تفاوت کلیدی بین این حملات عبارت اند از:

چگونه از این حمله جلوگیری کنیم؟

پروژه‌های ارزهای دیجیتال می‌توانند با تاکید بر امنیت و اجرای اقدامات پیشگیرانه، به میزان زیادی احتمال هدف قرار گرفتن توسط این نوع حملات را کاهش دهند و از سرمایه‌های اعضای جامعه محافظت کنند.

برای جلوگیری از حملات مینت بی نهایت، نیاز به یک استراتژی چندگانه است که در هر مرحله‌ از پروژه ارزدیجیتال، امنیت را در اولویت قرار دهد. این استراتژی شامل انجام بررسی های دقیق و مکرر بر روی قراردادهای هوشمند توسط کارشناسان امنیت مستقل است. در این بررسی ها، کد به دقت بررسی می‌شود تا نقاط ضعفی که می‌توانند برای تولید نامحدود توکن مورد بهره‌برداری قرار گیرند، شناسایی شود و اقدامات مناسب اصلاحی انجام شود.

برای جلوگیری از حملات مینت بی نهایت، اقدامات زیر بسیار حیاتی هستند:

1. باید سیستم کنترل دسترسی قوی و موثری راه‌اندازی شود، به طوری که فقط افراد مجاز به قدرت مینتینگ دسترسی داشته باشند.

2. استفاده از کیف‌پول‌های چندامضایی برای افزایش امنیت لازم است، این اقدام می‌تواند از حملات مینت نامحدود جلوگیری کند.

3. استفاده از ابزارهای نظارتی لحظه‌ای ضروری است تا به سرعت به حملات احتمالی و شناسایی الگوهای نامناسب تراکنش‌ها یا افزایش ناگهانی در تامین توکن‌ها پاسخ داده شود.

4. پروژه‌ها باید برنامه‌های پشتیبانی قوی داشته باشند تا به سرعت به حملات احتمالی واکنش پاشخ دهند و باعث کاهش آسیب های احتمالی شوند، از جمله برقراری خطوط ارتباط با صرافی‌ها، ارائه‌دهندگان کیف‌پول و جامعه برای پیش‌بینی مشکلات احتمالی و برنامه‌ریزی راه‌حل‌ها.

این اقدامات باید با همکاری افراد متخصص و کارشناسان امنیتی مستقل انجام شود تا از پروژه رمزارز و سرمایه‌گذاران در برابر حملات احتمالی محافظت شود.

ترجمه شده توسط مجله خبری نیپوتو