La fiebre por las criptomonedas ha dado lugar a diferentes modalidades de fraude y ataques que tienen como objetivo apropiarse de los activos de las personas y plataformas. En los últimos años hemos visto distintas modalidades de fraudes, como la estafa como las Rug Pull o los ataques de dusting, por nombrar algunos. Y es que a medida que la adopción de las distintas formas de criptoactivos avanza entre los usuarios, surgen nuevos vectores de ataque que son aprovechados por actores maliciosos que, entre otras razones, buscan obtener beneficios económicos o simplemente exponer las fallas de seguridad en las implementaciones. Este esta oportunidad explicamos en qué consiste la forma de ataque denominada infinite mint.
Antes de comenzar a explicar qué es un ataque de infinite mint, es importante tener claro algunos conceptos relacionados a la tecnología blockchain.
En el contexto de la cadena de bloques, el proceso de tokenización hace referencia a la representación de un activo u objeto real como una expresión de datos únicos. En otras palabras, tokenizar implica transformar de forma única e inmutable cada una de las propiedades de un objeto, para tener una representación digital del mismo en la blockchain.
Por lo tanto, un token es un objeto que representa algún valor, como una criptomoneda, un NFT, obras de arte, videojuegos, piezas coleccionables o cualquier otro elemento que pueda adquirir un valor único e inmutable en la cadena de bloques.
Lectura recomendada: Estafas más comunes con NFT y cómo protegerse
¿Qué es un ataque infinite mint?
Si bien la tecnología blockchain en sí misma es muy segura, lo cierto es que puede ser vulnerada a partir de otros servicios o desarrollos que utilizan blockchain. En el caso de un ataque infinite mint, lo que ocurre es que los atacantes aprovechan una vulnerabilidad en el protocolo que les permite alterar el funcionamiento de la blockchain. Este tipo de actividad maliciosa ocurre cuando un atacante crea (mintea) una gran cantidad de tokens dentro de un protocolo. Luego, proceden a volcar todos los tokens acuñados en el mercado provocando que su precio caiga.
Generalmente, este proceso se realiza en poco tiempo, por lo que una vez que los tokens adquieren un valor menor, pueden ser adquiridos por los atacantes a un precio mucho menor a su valor real, es decir, el valor del criptoactivo antes de su degradación. También puede ocurrir que el atacante intente intercambiar los tokens minteados por otros antes de que el mercado reaccione y llevarse una buena suma de dinero.
Los sistemas blockchain son vulnerables a este tipo de ataque principalmente debido a fallas de seguridad asociadas a la implementación que permiten a los atacantes explotar errores y otras vulnerabilidades en el código.
Un ataque de acuñación infinito
Ejemplos de un ataque infinite mint podemos verlos en casos como el ataque en 2020 a Cover Protocol, una plataforma que ofrece cobertura de riesgo para contratos inteligentes. En esta oportunidad los atacantes explotaron vulnerabilidades que les permitió obtener recompensas no autorizadas del protocolo.
A través de este ataque fue posible generar una cifra exorbitante de tokens COVER (alrededor de 40 trillones), lo que provocó que el precio del token perdiera alrededor del 97% de su valor. Luego el atacante los intercambió por otros criptoactivos por un valor de $5 millones.
Recordemos que un contrato inteligente es un programa que se ejecuta en blockchain mediante una colección de código (funciones) y datos (estados) que residen en una dirección específica, por lo que puede ser considerada como un tipo de cuenta en la cadena de bloques.
Lo anterior implica que puede tener saldo y realizar transacciones a través de la red, que se ejecutan según las instrucciones programadas. Posteriormente, las cuentas de usuario pueden interactuar con ellos a través de transacciones que ejecutan una función previamente definida, mediante reglas que se aplican automáticamente a través del código. Debido a sus características, los contratos inteligentes no se pueden eliminar de forma predeterminada y las interacciones son irreversibles.
Medidas de seguridad contra ataques infinite mint
Debido a que los ataques de infinite mint están relacionados principalmente a la implementación y fallas en el código, la mejor prevención para este tipo de ataques son las auditorías y las prácticas de desarrollo seguro, especialmente cuando se trata de contratos inteligentes, aunque otros procesos de tokenización también podrían ser susceptibles de ser afectados.
Por ello, es importante mencionar que las auditorías no garantizan que un protocolo sea completamente seguro y que otras prácticas de seguridad pueden ser implementadas. Principalmente en la implementación de blockchain para los diversos proyectos donde se busque que la información no pueda ser alterada con propósitos maliciosos.