A febre pelas criptomoedas deu lugar a diferentes tipos de fraudes e ataques que têm como objetivo se apropriar de ativos de usuários e plataformas. Nos últimos anos, temos visto diferentes tipos de fraudes, como o golpe Rug Pull ou ataques de dusting, por exemplo. E à medida que a adoção de diferentes formas de criptativos cresce entre os usuários, surgem novos vetores de ataque que são explorados por cibercriminosos que, entre outras razões, procuram obter benefícios econômicos ou simplesmente expõem falhas de segurança nas implementações. Desta vez, explicamos em que consiste a forma de ataque chamada infinite mint.
Antes de começar a explicar o que é um ataque infinite mint, é importante esclarecer alguns conceitos relacionados à tecnologia blockchain.
No contexto da blockchain, o processo de tokenização se refere a representação de um ativo ou objeto real como uma expressão de dados únicos. Em outras palavras, a tokenização envolve a transformação única e imutável de cada uma das propriedades de um objeto a fim de ter uma representação digital do mesmo na blockchain.
Portanto, um token é um objeto que representa algum valor, como uma criptomoeda, um NFT, arte, games, colecionáveis ou qualquer outro item que possa adquirir um valor único e imutável na blockchain.
O que é um ataque infinite mint?
Embora a tecnologia blockchain em si seja muito segura, ela pode ser comprometida por outros serviços ou desenvolvimentos que usam a blockchain. No caso de um ataque infinite mint, cibercriminosos exploram uma vulnerabilidade no protocolo que permite alterar o funcionamento da blockchain. Este tipo de atividade criminosa ocorre quando um atacante cria uma grande quantidade de tokens dentro de um protocolo. Em seguida, os cibercriminosos despejam todos os tokens cunhados no mercado, o que causa a queda no preço do criptoativo.
Geralmente, este processo de forma bastante rápida, de modo que uma vez que os tokens adquiram um valor menor, poderão ser comprados por cibercriminosos a um preço muito inferior ao seu valor real, ou seja, o valor do criptoativo antes de sua desvalorização. O cibercriminosos também pode trocar os tokens por outros antes que o mercado reaja e faça uma boa soma de dinheiro.
Os sistemas blockchain são vulneráveis a este tipo de ataque principalmente devido a falhas de segurança associadas à implementação que permitem aos cibercriminosos explorar bugs e outras vulnerabilidades no código.
Um ataque infinite mint
Podemos ver exemplos de um ataque infinite mint em casos como o ataque de 2020 ao Cover Protocol, uma plataforma que disponibiliza cobertura de risco para contratos inteligentes. Neste caso, os cibercriminosos exploraram vulnerabilidades que permitem obter recompensas não autorizadas do protocolo.
Através deste ataque foi possível gerar um número exorbitante de tokens COVER (cerca de 40 trilhões), o que fez com que o preço do token perdesse cerca de 97% de seu valor. O criminoso os trocou por outros criptoativos no valor de 5 milhões de dólares.
Um contrato inteligente é um programa que funciona na blockchain através de uma coleção de códigos (funções) e dados (estados) que residem em um endereço específico, de modo que pode ser considerado como um tipo de conta na blockchain.
Isto implica que essa conta pode manter saldos e realizar transações através da rede, que são executadas de acordo com instruções programadas. Posteriormente, as contas de usuário podem interagir com elas através de transações que executam uma função pré-definida, utilizando regras que são aplicadas automaticamente através do código. Devido às suas características, os contratos inteligentes não podem ser excluídos por padrão e as interações são irreversíveis.
Medidas de segurança contra ataques infinite mint
Como os ataques infinite mint estão principalmente relacionados à implementação e às falhas no código, a melhor prevenção é realizar auditorias e aplicar práticas de desenvolvimento seguras, especialmente quando se trata de contratos inteligentes, embora outros processos de tokenização também possam ser afetados.
É importante mencionar que as auditorias não garantem que um protocolo seja completamente seguro e que outras práticas de segurança possam ser implementadas. Principalmente na implementação da blockchain para os diversos projetos nos quais se pretende que as informações não possam ser alteradas para fins maliciosos.