- Arweiniodd toriad yn y waled aml-lofnod at rôl bathu; roedd y dargyfeiriad cychwynnol tua $11,3 miliwn.
- Bathwyd o leiaf 2.000 biliwn o UXLINK ar Arbitrum; rhewodd sawl cyfnewidfa adneuon.
- Aeth yr ymosodwr yn ddioddefwr i we-rwydo a chollodd $48M ar ôl trosi $28,1M yn ETH o'r blaen.
- Mae UXLINK yn paratoi cyfnewid tocynnau a chontract newydd gyda chyflenwad sefydlog, o dan archwiliad allanol.
UXLINK wedi byw digwyddiad diogelwch critigol ar ôl toriad yn ei waled aml-lofnod a ganiataodd gael caniatâd bathu ar gyfer ei docyn. Manteisiodd yr ymosodwr ar y mynediad hwn i greu symiau mawr o UXLINK a symud asedau., gan achosi tensiynau hylifedd, aflonyddwch rhestru, ac ymateb uniongyrchol gan gyfnewidfeydd.
Cymerodd yr achos dro annisgwyl yn fuan wedyn: fe wnaeth y person cyfrifol ei hun syrthio i mewn i pysgota a cholli $48 miliwn, er gwaethaf llwyddo i drosi o leiaf $28,1 miliwn o ETH ar y gadwyn o'r blaen. Mae'r cwmni, ar ei ran, wedi adrodd am cynllun o cyfnewid tocynnau a defnyddio contract newydd gyda chyflenwad sefydlog, ynghyd ag archwiliad annibynnol i gryfhau diogelwch ac adfer hyder.
Cronoleg yr ymosodiad a'r fector a ddefnyddiwyd
Yn ôl y dadansoddiadau cyntaf gan gwmnïau seiberddiogelwch, Dechreuodd yr ymyrraeth yn y modiwl aml-lofnod ac arweiniodd at y aseiniad rôl bathu na ddylai fod wedi bod ar gaelAmcangyfrifwyd bod y dargyfeirio cychwynnol o arian tua $11,3 biliwn, gan gynnwys USDT, USDC, WBTC ac ETH, gyda llwybrau cyfnewid a phontio rhwng rhwydweithiau i wneud olrhain yn anodd.
Gyda rheolaeth dros y rôl, aeth yr actor maleisus ymlaen i greu tocynnau newydd: Mae adroddiadau technegol yn awgrymu swp cyntaf o 1.000 biliwn o UXLINK ac ail swp o 1.000 biliwn arall. yn ArbitrumRhoddodd y gweithgaredd hwn bwysau ar y farchnad a tharfu ar restr y tocyn, gan gynhyrchu rhybuddion i fasnachwyr osgoi rhyngweithio â chontractau a pharau amheus.
Ochr yn ochr, cysylltodd y tîm â llwyfannau canolog a datganoledig i rhewi blaendaliadau amheus a chyhoeddodd rybuddion i'r awdurdodau perthnasol. Darparodd sawl partner CEX gefnogaeth, gan helpu i atal rhai o'r llifau a chyfyngu ar effaith uniongyrchol fwy.
Effeithiau ar y farchnad tocynnau
Achosodd y gorgyflenwad a ddeilliodd o fathu heb awdurdod a gwerthiannau cysylltiedig a cwymp o bron i 90% pris, o'r ystod $0,33 i'r isafbwyntiau o gwmpas $0,033, gydag adferiad rhannol dilynol i $0,11. Cododd yr anwadalrwydd yn sydyn, ac roedd hylifedd yn parhau i fod dan straen mawr mewn sawl pâr.
Niweidiodd y bennod ffurfio prisiau a dyfnder llyfrau, gan dynnu sylw at sut y trin cyflenwad gall sbarduno rhaeadrau o archebion ac anghydweddiadau mewn rhestrau. Roedd deialog â chyfnewidfeydd yn allweddol i liniaru'r effaith domino yn marchnadoedd eilaidd.
Y tro annisgwyl: yr ymosodwr, dioddefwr gwe-rwydo
Mewn tro sy'n anodd ei gredu, daeth yr ymosodwr yn destun a pysgota a cholli tua $48 miliwn mewn asedau, sy'n tanlinellu pwysigrwydd mesurau i rhwystro tudalennau maleisusMae ffynonellau ar y gadwyn yn dangos bod yr all-lif wedi digwydd tra bod yr ymosodwr yn dal i reoli safleoedd a hylifedd yn dilyn y bathu torfol.
Er hynny, cyn y camgymeriad hwnnw roedd wedi llwyddo golchi o leiaf $28,1 miliwn mewn ETH, gan adael cydbwysedd lle mae'r elw troseddol terfynol yn ansicr ac, serch hynny, yn llawer is nag yr oedd yn ymddangos ar ôl yr ergyd gyntaf.
Ymateb UXLINK a'r mesurau a gyhoeddwyd
Er mwyn sefydlogi'r ecosystem, mae'r tîm wedi cadarnhau a cynllun cyfnewid tocynnau gyda chefnogaeth sawl partner canolog. Y nod yw adfer cydbwysedd economaidd y prosiect ac amddiffyn defnyddwyr rhag effeithiau bathu anghyfreithlon.
Yn ogystal, a contract clyfar newydd gyda chyflenwad sefydlog, gan ddileu unrhyw fector a fyddai'n caniatáu ail-fathu. Mae'r contract hwn wedi'i anfon at archwiliad allanol, ac mae'r prosiect yn gweithio ar adroddiad technegol manwl sy'n ail-greu y digwyddiad cyfan.
Mae UXLINK yn cydnabod bod swyddogaethau mintys/llosgi roedd ganddo ddefnyddioldeb gweithredol mewn llifau rhyng-gadwyn, ond bydd y model yn cael ei ddiwygio'n drylwyr yn y newydd papur gwynY flaenoriaeth nawr yw sicrhau annewidioldeb y cyflenwad a sicrhau caniatâd rôl.
Gan wynebu'r gymuned, mae'r tîm yn pwysleisio nad oes unrhyw arwydd bod waledi defnyddwyr wedi cael eu peryglu, er ei fod yn gofyn i fod yn hynod ofalus, defnyddio sianeli swyddogol yn unig a diffyg ymddiriedaeth mewn hysbysebion neu ddolenni honedig gan drydydd partïon sy'n addo adferiadau cyflym.
Gwersi ac arferion gorau ar gyfer prosiectau DeFi
Mae'r digwyddiad yn rhoi sylw eto i'r angen am archwiliadau cynhwysfawr a monitro amser real ar y gadwyn i ganfod patrymau anarferol. Mae cyhoeddi canlyniadau a chynlluniau adfer yn helpu i feithrin ymddiriedaeth yn ystod cyfnodau o argyfwng.
Rhaid bod ffurfweddiadau aml-lofnod a rheoli caniatâd yn berthnasol egwyddor y fraint leiaf, rheolyddion newid, a swyddogaethau oedi brys. Mae rhaglenni gwobr bygiau ac archwiliadau annibynnol yn lleihau'r arwyneb ymosod ar gontractau sensitif.
Cydlynu ystwyth gyda CEX a DEX i rhewi asedau a mapio llifau, ynghyd â gweithdrefnau Gwrth-Gwyngalchu Arian/Cyd-Gwybodaeth i Bobl (KYC) lle bo'n briodol, yn gwella ymatebolrwydd. Mae tryloywder gweithredol a chyfathrebu clir â defnyddwyr, yn y sefyllfaoedd hyn, mor bwysig â'r clwt technegol ei hun.
Mae digwyddiad UXLINK yn dangos sut mae cyfuniad o fethiannau trwyddedau, pwysau'r farchnad a camgymeriadau dynol yr ymosodwr Gall ryddhau corwynt o fewn ychydig oriau; bydd mesurau cyfyngu, ailgynllunio contractau, a chyfnewid tocynnau wedi'i weithredu'n dda yn hanfodol i adennill sefydlogrwydd a hygrededd yn y tymor canolig.
Rwy'n frwd dros dechnoleg sydd wedi troi ei ddiddordebau "geek" yn broffesiwn. Rwyf wedi treulio mwy na 10 mlynedd o fy mywyd yn defnyddio technoleg flaengar ac yn tinkering gyda phob math o raglenni allan o chwilfrydedd pur. Nawr rydw i wedi arbenigo mewn technoleg gyfrifiadurol a gemau fideo. Mae hyn oherwydd ers mwy na 5 mlynedd rwyf wedi bod yn ysgrifennu ar gyfer gwefannau amrywiol ar dechnoleg a gemau fideo, gan greu erthyglau sy'n ceisio rhoi'r wybodaeth sydd ei hangen arnoch mewn iaith sy'n ddealladwy i bawb.
Os oes gennych unrhyw gwestiynau, mae fy ngwybodaeth yn amrywio o bopeth sy'n ymwneud â system weithredu Windows yn ogystal ag Android ar gyfer ffonau symudol. Ac mae fy ymrwymiad i chi, rwyf bob amser yn barod i dreulio ychydig funudau a'ch helpu i ddatrys unrhyw gwestiynau sydd gennych yn y byd rhyngrwyd hwn.