A medida que la adopción de las distintas formas de criptoactivos avanza entre los usuarios, surgen nuevos vectores de ataque que son aprovechados por actores maliciosos buscando obtener beneficios económicos o simplemente exponer las fallas de seguridad en las implementaciones. En los últimos años se advirtió sobre distintas modalidades de fraudes, como la estafa como las Rug Pull o los ataques de dusting, por nombrar algunos. En este caso, ESET, compañía líder en detección proactiva de amenazas, explica en qué consiste la forma de ataque denominada infinite mint.
La tecnología blockchain en sí misma es muy segura, pero puede ser vulnerada a partir de otros servicios o desarrollos que utilizan blockchain. En un ataque infinite mint, los atacantes aprovechan una vulnerabilidad en el protocolo que les permite alterar el funcionamiento de la blockchain. Este tipo de actividad maliciosa ocurre cuando un atacante crea (mintea) una gran cantidad de tokens dentro de un protocolo. Luego, procede a volcar todos los tokens acuñados en el mercado provocando que su precio caiga.
Generalmente, este proceso se realiza en poco tiempo, por lo que una vez que los tokens adquieren un valor menor, pueden ser adquiridos por los atacantes a un precio mucho menor a su valor real, es decir, el valor del criptoactivo antes de su degradación. También puede ocurrir que el atacante intente intercambiar los tokens minteados por otros antes de que el mercado reaccione y llevarse una buena suma de dinero.
“Para comprender este tipo de ataques primero es importante identificar la tecnología blockchain. El proceso de tokenización hace referencia a la representación de un activo u objeto real como una expresión de datos únicos. Tokenizar implica transformar de forma única e inmutable cada una de las propiedades de un objeto, para tener una representación digital del mismo en la blockchain. Por lo tanto, un token es un objeto que representa algún valor, como una criptomoneda, un NFT, obras de arte, videojuegos, piezas coleccionables o cualquier otro elemento que pueda adquirir un valor único e inmutable en la cadena de bloques.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Los sistemas blockchain, según ESET, son vulnerables a este tipo de ataque principalmente debido a fallas de seguridad asociadas a la implementación que permiten a los atacantes explotar errores y otras vulnerabilidades en el código.
Un ejemplo de esto, es el ataque en 2020 a Cover Protocol, una plataforma que ofrece cobertura de riesgo para contratos inteligentes, en el cual los atacantes explotaron vulnerabilidades que les permitieron obtener recompensas no autorizadas del protocolo. A través de este ataque fue posible generar una cifra exorbitante de tokens COVER (alrededor de 40 trillones), lo que provocó que el precio del token perdiera alrededor del 97% de su valor. Luego el atacante los intercambió por otros criptoactivos por un valor de US$5 millones.
Un contrato inteligente es un programa que se ejecuta en blockchain mediante una colección de código (funciones) y datos (estados) que residen en una dirección específica, por lo que puede ser considerada como un tipo de cuenta en la cadena de bloques. Esto implica que puede tener saldo y realizar transacciones a través de la red, que se ejecutan según las instrucciones programadas. Luego, las cuentas de usuario pueden interactuar con ellos a través de transacciones que ejecutan una función previamente definida, mediante reglas que se aplican automáticamente a través del código. Debido a sus características, los contratos inteligentes no se pueden eliminar de forma predeterminada y las interacciones son irreversibles.
Las medidas de seguridad contra ataques infinite mint que comparte ESET, son:
• Debido a que los ataques de infinite mint están relacionados principalmente a la implementación y fallas en el código, la mejor prevención para este tipo de ataques son las auditorías y las prácticas de desarrollo seguro, especialmente cuando se trata de contratos inteligentes, aunque otros procesos de tokenización también podrían ser susceptibles de ser afectados.
• Es importante mencionar que las auditorías no garantizan que un protocolo sea completamente seguro y hay otras prácticas de seguridad pueden ser implementadas. Principalmente en la implementación de blockchain para los diversos proyectos donde se busque que la información no pueda ser alterada con propósitos maliciosos.
Fuente: NP ESET