A medida que avanza la adopción de diversas formas de criptomonedas entre los usuarios, surgen nuevos ataques, explotados por actores maliciosos, que buscan obtener ganancias o simplemente exponer fallas de seguridad en las implementaciones. En los últimos años se han alertado diferentes formas de fraude, por ejemplo, estafas como Rug Pull o Dusting Assault. En este caso, ESET, empresa especialista en detección de amenazas, explica en qué consiste la forma de ataque denominada «infinite mint«.
En un ataque de Infinite mint, los atacantes explotan una vulnerabilidad en el protocolo que les permite alterar el funcionamiento de la cadena de bloques. Este tipo de actividad maliciosa ocurre cuando un atacante crea (mintea) una gran cantidad de tokens dentro de un mismo protocolo. Luego procede a volcar todos los tokens acuñados en el mercado, lo que hace que su precio baje.
Este proceso suele realizarse en poco tiempo, por lo que pueden ser adquiridos por los atacantes a un precio muy inferior a su valor serious. También puede ocurrir que el atacante intente cambiar los tokens minteados por otros antes de que el mercado reaccione y se lleve una buena cantidad de dinero.
“Para comprender este tipo de ataques, es importante identificar la tecnología blockchain. El proceso de tokenización se refiere a la representación de un activo u objeto genuine como una expresión de datos únicos. La tokenización implica transformar de manera única e inmutable cada una de las propiedades de un objeto para tener una representación digital del mismo en la cadena de bloques, por lo tanto, un token es un objeto que representa algún valor, como una criptomoneda, un NFT, obras de arte, videojuegos, coleccionables o cualquier otro elemento que pueda adquirir un carácter único y valor inmutable en la cadena de bloques«, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET.
Los sistemas de cadena de bloques, según ESET, son vulnerables a este tipo de ataque principalmente debido a fallas de seguridad asociadas con la implementación, que permiten a los atacantes explotar errores y otras vulnerabilidades en el código.
Un ejemplo de esto es el ataque de 2020 a Address Protocol, una plataforma que brinda cobertura de riesgo para contratos inteligentes, en la que los atacantes explotaron vulnerabilidades que les permitieron obtener recompensas no autorizadas del protocolo. A través de este ataque, fue posible generar una cantidad exorbitante de tokens Deal with (alrededor de 40 billones), lo que provocó que el precio del token perdiera alrededor del 97% de su valor. Luego, el atacante los intercambió por otros activos criptográficos por valor de USD 5 millones.
Un contrato inteligente es un programa que se ejecuta en la cadena de bloques utilizando una colección de códigos (funciones) y datos (estados) que residen en una dirección específica, por lo que puede considerarse como un tipo de cuenta en la cadena de bloques. Esto implica que se puede tener saldo y realizar transacciones a través de pink, las cuales se ejecutan de acuerdo a instrucciones programadas. Luego, las cuentas de usuario pueden interactuar con ellas a través de transacciones que realizan una función predefinida, utilizando reglas que se aplican automáticamente a través del código. Por sus características, los contratos inteligentes no se pueden eliminar por defecto y las interacciones son irreversibles.
¿Cuáles son las medidas de seguridad contra ataques de Infinite mint?
Según ESET, dado que los ataques de Infinite mint están relacionados principalmente con fallas de implementación y código, la mejor prevención para este tipo de ataques son las auditorías y las prácticas sólidas de desarrollo, especialmente cuando se trata de contratos inteligentes, aunque otros procesos de tokenización también pueden verse afectados.
Es importante mencionar que las auditorías no garantizan que un protocolo sea completamente seguro y que se puedan implementar otras prácticas de seguridad. Principalmente en la implementación de blockchain para los distintos proyectos donde se busca que la información no pueda ser alterada con fines maliciosos.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Te puede interesar:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto overall invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.