حمله مینت بینهایت (infinite mint attack)، زمانی رخ میدهد که یک هکر با دستکاری کد یک قرارداد، به طور مداوم و نامحدود توکنهای جدید را بیشتر از حد مجاز تولید کند.
حمله مینت بینهایت (infinite mint attack)، زمانی رخ میدهد که یک هکر با دستکاری کد یک قرارداد، به طور مداوم و نامحدود توکنهای جدید را بیشتر از حد مجاز تولید کند.
این نوع حمله اغلب در پروتکلهای مالی غیرمتمرکز (DeFi) رخ میدهد. این حمله، با ایجاد تعداد نامحدودی از توکنها، باعث کاهش ارزش ک توکن و اعتماد آن میشود.
به عنوان مثال، یک هکر از آسیبپذیری در قرارداد هوشمند شبکه Paid بهرهبرد و با استفاده از آن، توکنها را به طور غیرقانونی مینت و سپس از بین برد. این حمله منجر به از دست دادن ۱۸۰ میلیون دلار و کاهش ۸۵٪ ارزش توکن PAID شد. قبل از متوقف شدن حمله، بیش از ۲.۵ میلیون توکن PAID به اتر (ETH) تبدیل شدند. شبکه خسارات وارد شده به کاربران را جبران کرد و شایعات درباره نقش داخلی در این حمله (rug pull) را رد کرد.
در این رابطه بخوانید : ارز دیجیتال بایننس یو اس دی (BUSD) چیست؟ و چه کاربردی دارد؟
هکر در این حملات میتواند با فروش توکنهایی که به طور غیرقانونی ایجاد کرده است، سود کسب کند یا با مداخله در عملیات روزانه شبکه بلاکچین، بر روی شبکه تأثیر بگذارد. شیوع حملات مینت بینهایت، اهمیت بررسی دقیق و کامل کدها و انجام اقدامات امنیتی در فرآیند توسعه قراردادهای هوشمند را برای جلوگیری از این حملات را نشان میدهد.
حمله مینت بینهایت چگونه عمل میکند؟
برای تولید تعداد بینهایتی از توکنها، حمله مینت بینهایت بر روی آسیبپذیریهای موجود در قراردادهای هوشمند، به خصوص آنهایی که با قابلیت تولید توکن (مینت) مرتبط هستند، تمرکز میکند.
قدم اول: شناسایی آسیب پذیریها
هکر در این حمله ابتدا نقاط ضعف منطقی در قرارداد را شناسایی میکند، که معمولاً به اعتبارسنجی ورودی یا مکانیسمهای کنترل دسترسی مربوط میشود. هکر پس از پیدا کردن آسیبپذیری، یک تراکنش را ایجاد میکند که باعث میشود قرارداد بدون مجوز یا تأیید لازم، توکنهای جدیدی را تولید کند. این آسیبپذیری ممکن است باعث شود که محدودیتهای مربوط به تعداد توکنهای قابل تولید در قرارداد نادیده گرفته شود.
قدم دوم: بهره برداری
این آسیبپذیری زمانی به وجود میآید که حملهکننده یک تراکنش خبیث را ایجاد کرده و اجرا میکند. به این ترتیب، حملهکننده میتواند با تغییر پارامترها، اجرای توابع خاص یا بهرهبرداری از ارتباطات غیرمنتظره بین اجزای مختلف کد، قرارداد را بدون مجوز یا تأیید به ایجاد توکنهای جدید دچار کند.
قدم سوم: ماینینگ نامحدود و دامپینگ توکن
این بهرهبرداری به حملهکننده اجازه میدهد که تعداد توکنها را بیشتر از حد مجازی که توسط معماری پروتکل تعیین شده است، صادر کند. این امر موجب میشود که تعداد توکنهای موجود در بازار، ناگهان افزایش یابد و در نتیجه باعث ایجاد تورم و کاهش ارزش آن توکن شود. این مسئله ممکن است عواقب منفی برای سرمایهگذاران و کاربران آن توکن در پی داشته باشد.
دامپینگ توکن به معنای عملی است که حملهکننده به سرعت تعداد زیادی از توکنهای تازه تولید شده را در بازار منتشر میکند و سپس آنها را در عوض استیبلکوینها یا رمزارزهای دیگر معامله میکند. این اقدام منجر به افزایش ناگهانی در عرضه توکنها میشود که باعث کاهش شدید ارزش توکن اصلی و فروپاشی قیمت آن میگردد. با این حال، حملهکننده تلاش میکند این توکنهای ساختگی را قبل از واکنش بازار، به فروش برساند.
عواقب حمله مینت بینهایت
حمله مینت بینهایت منجر به کاهش سریع ارزش توکن، زیانهای مالی و اختلال در اکوسیستم آن میشود.
حمله مینت بینهایت با ایجاد تعداد بینهایتی از توکنها و فروش فوری آن ها ارزش دارایی را تحت تأثیر قرار میدهد و باعث کاهش آن و در نتیجه منجر ضرر قابل توجهی برای کاربران و سرمایهگذاران میشود. این حمله باعث تخریب اعتماد سرمایه گداران به کل اکوسیستم و برنامههای متمرکز (DApps) متصل به آن میشود.
به علاوه، با فروش توکنهای ساختگی قبل از واکنش کامل بازار، حملهکننده میتواند سود کسب کند و احتمالا باعص کاهش ارزش دارایی دیگران شود. به همین دلیل، اگر حمله به بحران نقدینگی منجر شود، سرمایهگذاران ممکن است نتوانند داراییهای خود را با قیمت منصفانه بفروشند یا با مشکلاتی روبرو شوند.
به عنوان مثال، در حمله به پروتکل Cover در دسامبر ۲۰۲۰، ارزش توکن COVER در عرض چند ساعت از بیشتر از ۷۰۰ دلار به کمتر از ۵ دلار کاهش یافت و سرمایهگذاران توکن COVER، زیانهای مالی شدیدی را تجربه کردند. هکرها بیش از ۴۰ کوینتیلیون کوین را مینت کردند.
همچنین بخوانید : حمله آیس فیشینگ چیست؟ و چگونه میتوان از آن در امان ماند؟
سقوط ارزش یک توکن میتواند باعث اختلال در کل اکوسیستم شود، از جمله برنامههای غیرمتمرکز (DApps)، صرافیها و سایر خدماتی که به پایداری این توکن وابستهاند. این نوع حمله ممکن است منجر به مشکلات حقوقی و بازرسی نظارتی پروژه شود که ممکن است تحریمها و جریمههای قانونی دیگری در پی داشته باشد.
مقایسه حمله مینت بی نهایت با حمله ورود مجدد
- حمله مینت نامحدود با هدف ایجاد تعداد بینهایتی از توکنها صورت میگیرد، در حالی که حمله ورود مجدد از مکانیزمهای برداشت استفاده میکند تا به طور پیوسته وجوه را تخلیه کند.
- حملات مینت بی نهایت، از ضعفهای موجود در فرآیند ایجاد توکن استفاده میکنند تا تعداد بینهایتی از توکنها را تولید کنند. این کار باعث میشود ارزش توکن کاهش یافته و سرمایهگذاران دچار زیان شوند.
- از سوی دیگر، حملات ورود مجدد (Reentrancy attacks) بر روی فرآیند برداشت تمرکز دارند. در این حملات، مهاجمین، قبل از اینکه قرارداد فرصت بهروزرسانی موجودیهای خود را داشته باشد، میتوانند به طور پیوسته وجوه را از یک قرارداد هوشمند تخلیه کنند.
با اینکه هر نوع حمله میتواند عواقب فاجعهباری داشته باشد، درک تفاوت بین این حملات برای توسعه تکنیکهای مؤثر کاهش ضرر ضروری است.
تفاوت کلیدی بین این حملات عبارت اند از:
حمله مینت بی نهایت | حمله ورود مجدد | |
هدف | مکانیزم مینت توکن | برداشت قراردادهای هوشمند یا عملکرد انتقال |
روش بهره برداری | دور زدن محدودی های تولید توکن | تکرار درخواستها در حین عملیات تراکنش |
نتیجه | تورم شدید عرضه توکنها و سقوط ارزش آنها | تخلیه تایید نشده وجوه از قرارداد هوشمند |
چگونه از این حمله جلوگیری کنیم؟
پروژههای ارزهای دیجیتال میتوانند با تاکید بر امنیت و اجرای اقدامات پیشگیرانه، به میزان زیادی احتمال هدف قرار گرفتن توسط این نوع حملات را کاهش دهند و از سرمایههای اعضای جامعه محافظت کنند.
برای جلوگیری از حملات مینت بی نهایت، نیاز به یک استراتژی چندگانه است که در هر مرحله از پروژه ارزدیجیتال، امنیت را در اولویت قرار دهد. این استراتژی شامل انجام بررسی های دقیق و مکرر بر روی قراردادهای هوشمند توسط کارشناسان امنیت مستقل است. در این بررسی ها، کد به دقت بررسی میشود تا نقاط ضعفی که میتوانند برای تولید نامحدود توکن مورد بهرهبرداری قرار گیرند، شناسایی شود و اقدامات مناسب اصلاحی انجام شود.
برای جلوگیری از حملات مینت بی نهایت، اقدامات زیر بسیار حیاتی هستند:
1. باید سیستم کنترل دسترسی قوی و موثری راهاندازی شود، به طوری که فقط افراد مجاز به قدرت مینتینگ دسترسی داشته باشند.
2. استفاده از کیفپولهای چندامضایی برای افزایش امنیت لازم است، این اقدام میتواند از حملات مینت نامحدود جلوگیری کند.
3. استفاده از ابزارهای نظارتی لحظهای ضروری است تا به سرعت به حملات احتمالی و شناسایی الگوهای نامناسب تراکنشها یا افزایش ناگهانی در تامین توکنها پاسخ داده شود.
4. پروژهها باید برنامههای پشتیبانی قوی داشته باشند تا به سرعت به حملات احتمالی واکنش پاشخ دهند و باعث کاهش آسیب های احتمالی شوند، از جمله برقراری خطوط ارتباط با صرافیها، ارائهدهندگان کیفپول و جامعه برای پیشبینی مشکلات احتمالی و برنامهریزی راهحلها.
این اقدامات باید با همکاری افراد متخصص و کارشناسان امنیتی مستقل انجام شود تا از پروژه رمزارز و سرمایهگذاران در برابر حملات احتمالی محافظت شود.
ترجمه شده توسط مجله خبری نیپوتو
منبع : https://nipoto.com/mag/what-is-an-infinite-mint-attack-and-how-does-it-work
مقالات مشابه
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی
- شرکت صادرات و واردات کالاهای مختلف از جمله کاشی و سرامیک و ارائه دهنده خدمات ترانزیت و بارگیری دریایی و ریلی و ترخیص کالا برای کشورهای مختلف از جمله روسیه و کشورهای حوزه cis و سایر نقاط جهان - بازرگانی علی قانعی