Ciudad de México, 15 de diciembre de 2022.
ESET, compañía líder en detección proactiva de amenazas, analiza una forma de ataque que ocurre cuando se logra vulnerar la blockchain y explotar vulnerabilidades que permiten acuñar una gran cantidad de tokens y así provocar una caída en el precio de un criptoactivo.
A medida que la adopción de las distintas formas de criptoactivos avanza entre los usuarios, surgen nuevos vectores de ataque que son aprovechados por actores maliciosos buscando obtener beneficios económicos o simplemente exponer las fallas de seguridad en las implementaciones. En los últimos años se advirtió sobre distintas modalidades de fraudes, como la estafa como las Rug Pull o los ataques de dusting, por nombrar algunos. En este caso, ESET, compañía líder en detección proactiva de amenazas, explica en qué consiste la forma de ataque denominada infinite mint.
La tecnología blockchain en sí misma es muy segura, pero puede ser vulnerada a partir de otros servicios o desarrollos que utilizan blockchain. En un ataque infinite mint, los atacantes aprovechan unavulnerabilidad en el protocolo que les permite alterar el funcionamiento de la blockchain. Este tipo de actividad maliciosa ocurre cuando un atacante crea (mintea) una gran cantidad de tokens dentro de un protocolo. Luego, procede a volcar todos los tokens acuñados en el mercado provocando que su precio caiga.
Generalmente, este proceso se realiza en poco tiempo, por lo que una vez que los tokens adquieren un valor menor, pueden ser adquiridos por los atacantes a un precio mucho menor a su valor real, es decir, el valor del criptoactivo antes de su degradación. También puede ocurrir que el atacante intente intercambiar los tokens minteados por otros antes de que el mercado reaccione y llevarse una buena suma de dinero.
“Para comprender este tipo de ataques primero es importante identificar la tecnología blockchain. El proceso de tokenización hace referencia a la representación de un activo u objeto real como una expresión de datos únicos. Tokenizar implica transformar de forma única e inmutable cada una de las propiedades de un objeto, para tener una representación digital del mismo en la blockchain. Por lo tanto, un token es un objeto que representa algún valor, como una criptomoneda, un NFT, obras de arte, videojuegos, piezas coleccionables o cualquier otro elemento que pueda adquirir un valor único e inmutable en la cadena de bloques.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Los sistemas blockchain, según ESET, son vulnerables a este tipo de ataque principalmente debido a fallas de seguridad asociadas a la implementación que permiten a los atacantes explotar errores y otras vulnerabilidades en el código.
Un ejemplo de esto, es el ataque en 2020 a Cover Protocol, una plataforma que ofrece cobertura de riesgo para contratos inteligentes, en el cual los atacantes explotaron vulnerabilidades que les permitieron obtener recompensas no autorizadas del protocolo. A través de este ataque fue posible generar una cifra exorbitante de tokens COVER (alrededor de 40 trillones), lo que provocó que el precio del token perdiera alrededor del 97% de su valor. Luego el atacante los intercambió por otros criptoactivos por un valor de $5 millones.
Un contrato inteligente es un programa que se ejecuta en blockchain mediante una colección de código (funciones) y datos (estados) que residen en una dirección específica, por lo que puede ser considerada como un tipo de cuenta en la cadena de bloques. Esto implica que puede tener saldo y realizar transacciones a través de la red, que se ejecutan según las instrucciones programadas. Luego, las cuentas de usuario pueden interactuar con ellos a través de transacciones que ejecutan una función previamente definida, mediante reglas que se aplican automáticamente a través del código. Debido a sus características, los contratos inteligentes no se pueden eliminar de forma predeterminada y las interacciones son irreversibles.
Las medidas de seguridad contra ataques infinite mint que comparte ESET, son:
Debido a que los ataques de infinite mint están relacionados principalmente a la implementación y fallas en el código, la mejor prevención para este tipo de ataques son las auditorías y las prácticas de desarrollo seguro, especialmente cuando se trata de contratos inteligentes, aunque otros procesos de tokenización también podrían ser susceptibles de ser afectados.
Es importante mencionar que las auditorías no garantizan que un protocolo sea completamente seguro y hay otras prácticas de seguridad que pueden ser utilizadas. Principalmente en la implementación de blockchain para los diversos proyectos donde se busque que la información no pueda ser alterada con propósitos maliciosos.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/14/que-es-ataque-infinite-mint-como-afecta-valor-token/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
Visítanos en: @ESETLA /company/eset-latinoamerica
Acerca de ESET
Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo. Para obtener más información, visite www.eset-la.com o síganos en LinkedIn, Facebook y Twitter.
Datos de Contacto de Comunicación y Prensa: Vanessa Gutiérrez, 55.86.88.34.26, vanessa.gutierrez@sernapr.com Arlette Salvador, 55.41.30.06.50 arlette.salvador@sernapr.com
Copyright © 1992 – 2022. Todos los derechos reservados. ESET y NOD32 son marcas registradas de ESET. Otros nombres y marcas son marcas registradas de sus respectivas empresas.
Más historias
ESET descubre un nuevo actor de amenazas que abusa de servicios como Dropbox, OneDrive y GitHub
Carta de presentación Stefanini
El Buen Fin 2024: estrategias innovadoras para mejorar las ventas con IA