Een infinite mint attack richt zich op de ene functie binnen een smart contract die het strengst bewaakt zou moeten worden: de functie die nieuwe token supply aanmaakt. De onderliggende fout is meestal specifiek in plaats van algemeen, zoals een ontbrekende toegangscontrole op de mint-functie, een kapotte rekenvariabele voor rewards, of een integer overflow waardoor het contract denkt dat er onderpand is gestort terwijl dat nooit is gebeurd. Omdat blockchain-transacties direct definitief zijn en niet kunnen worden teruggedraaid, kan een aanvaller die de fout vindt in één transactie miljoenen, of zelfs biljoenen, tokens creëren, ruim voordat een team kan ingrijpen.
De exploit verloopt bijna altijd volgens hetzelfde patroon: de vers geminte tokens worden via een decentrale exchange of liquidity pool geruild voor stablecoins of andere assets nog voordat iemand de inbreuk bevestigt, waardoor de prijs van de token richting nul crasht en de pools worden leeggetrokken waar andere houders op rekenden om te kunnen uitstappen. Cover Protocol verloor op deze manier in december 2020 zo'n 37 miljoen dollar nadat een fout in de staking-rewards-boekhouding aanvallers in staat stelde een astronomisch aantal COVER-tokens te minten. De Solana-stablecoin Cashio werd in 2022 waardeloos gemaakt door een ontbrekende onderpandcontrole, en in juni 2026 haalde een aanvaller 4,67 miljoen dollar weg bij een Secret Network-bridge door cross-chain deposits te vervalsen waarmee ongedekte wrapped tokens werden geminted.
Omdat de schade in één atomaire transactie plaatsvindt, hangt preventie af van het opsporen van de fout vóór lancering: grondige security audits, minting-rechten die zijn afgeschermd met multisignature, en realtime monitoring van de supply. Zelfs gecontroleerde protocollen blijven een zeker risico lopen, omdat nieuwe codepaden dezelfde soort fout kunnen verbergen.