- Mitme allkirjaga rahakoti rikkumine andis alust mündi loomiseks; esialgne ümbersuunamine oli umbes 11,3 miljonit dollarit.
- Arbitrumi platvormil vermiti vähemalt 2.000 miljardit UXLINKi; mitu börsi külmutasid hoiused.
- Ründaja langes andmepüügi ohvriks ja kaotas 48 miljonit dollarit pärast seda, kui oli eelnevalt 28,1 miljonit dollarit ETH-ks konverteerinud.
- UXLINK valmistab ette välise auditi käigus žetoonide vahetust ja uut fikseeritud tarneajaga lepingut.
UXLINK on elanud a kriitiline turvaintsident pärast seda, kui selle mitme allkirjaga rahakotis oli rikkumine, mis võimaldas selle tokeni jaoks vermimislubasid hankida. Ründaja kasutas seda juurdepääsu ära suure hulga UXLINK-ide loomiseks ja varade teisaldamiseks., põhjustades likviidsuspingeid, noteerimishäireid ja börside kohest reageerimist.
Juhtum võttis ootamatu pöörde varsti pärast seda: vastutav isik ise kukkus lõpuks andmepüük ja kaotas 48 miljonit dollarit, hoolimata sellest, et neil on varem õnnestunud ketis konverteerida vähemalt 28,1 miljoni dollari väärtuses ETH-d. Ettevõte on omalt poolt teatanud a plaan žetoonide vahetus ja uue fikseeritud tarnelepingu sõlmiminekoos sõltumatu auditiga turvalisuse tugevdamiseks ja usalduse taastamiseks.
Rünnaku kronoloogia ja kasutatud vektor
Küberturvalisuse ettevõtete esimeste analüüside kohaselt Sissetung sai alguse mitme signatuuriga moodulist ja selle tulemuseks oli rahapaja rolli määramine mis ei oleks tohtinud saadaval ollaEsialgse rahaliste vahendite ümbersuunamise hinnanguline suurus oli umbes 11,3 miljardit dollarit, sealhulgas USDT, USDC, WBTC ja ETH, vahetusmarsruutide ja võrkudevahelise sildamisega, mis muudab jälgimise keeruliseks.
Rolli kontrolli all olles asus pahatahtlik tegelane looma uusi märke: Tehnilised aruanded viitavad esimesele 1.000 miljardi UXLINK-i partiile ja teisele 1.000 miljardi suurusele partiile. ArbitrumisSee tegevus avaldas turule survet ja häiris tokeni noteerimist, genereerides kauplejatele hoiatusi, et vältida kahtlaste lepingute ja paaridega suhtlemist.
Paralleelselt võttis meeskond ühendust tsentraliseeritud ja detsentraliseeritud platvormidega, et kahtlaste hoiuste külmutamine ja andis asjaomastele asutustele hoiatusi. Mitmed CEX-i partnerid pakkusid tuge, aidates peatada mõningaid vooge ja piirates suurem kohene mõju.
Mõjud žetoonide turule
Volitamata vermimisest ja sellega seotud müügist tulenev ülepakkumine põhjustas ligi 90% kokkuvarisemine hind 0,33 dollari vahemikust madalaimale tasemele umbes 0,033 dollarini, millele järgnes osaline taastumine 0,11 dollarini. Volatiilsus kasvas järsult ja likviidsus püsis mitme valuutapaari puhul väga pingelises olukorras.
See episood kahjustas hinnakujundust ja raamatu sügavust, tuues esile, kuidas pakkumise manipuleerimine võib käivitada tellimuste ja noteeringute mittevastavuste kaskaade. Dialoog börsidega oli doominoefekti leevendamisel võtmetähtsusega järelturud.
Ootamatu pööre: ründaja, andmepüügi ohver
Raskesti usutavas keerdkäigus agressorist sai lõpuks rünnaku ohver andmepüük ja kaotas umbes 48 miljonit dollarit varades, mis rõhutab meetmete olulisust, et blokeeri pahatahtlikke lehtiAhelas olevad allikad näitavad, et väljavool toimus ajal, mil ründaja haldas pärast massilist vermimist veel positsioone ja likviidsust.
Sellegipoolest oli ta enne seda komistamist suutnud pesi vähemalt 28,1 miljonit dollarit ETH-s, jättes olukorra, kus lõplik kuritegelik kasu on ebakindel ja sellegipoolest palju väiksem, kui see pärast esimest lööki tundus.
UXLINKi vastus ja väljakuulutatud meetmed
Ökosüsteemi stabiliseerimiseks on meeskond kinnitanud a žetoonide vahetusplaan mitme tsentraliseeritud partneri toel. Eesmärk on taastada projekti majanduslik tasakaal ja kaitsta kasutajaid ebaseadusliku mündimise mõjude eest.
Lisaks a uus nutileping fikseeritud tarnega, välistades kõik vektorid, mis võimaldaksid ümbermünte vermida. See leping on saadetud välisele auditile ja projekti raames töötatakse välja üksikasjalikku tehnilist aruannet, mis rekonstrueerib kogu see juhtum.
UXLINK tunnistab, et funktsioonid piparmünt/põletus oli ahelatevahelistes voogudes operatiivselt kasulik, kuid mudelit muudetakse uues põhjalikult valge raamatNüüd on prioriteediks tagada pakkumise ja turvaliste rolliõiguste muutumatus.
Kogukonnaga silmitsi seistes rõhutab meeskond, et puuduvad igasugused märgid selle kohta, et kasutaja rahakotid on rikutud, kuigi palub olla äärmiselt ettevaatlik, kasutada ainult ametlikke kanaleid ja umbusaldada väidetavaid reklaame või linke kolmandatelt osapooltelt, mis lubavad kiirtaastumised.
DeFi-projektide õppetunnid ja parimad tavad
See juhtum toob taas esile vajaduse põhjalike auditite järele. reaalajas ahela jälgimine anomaalsete mustrite tuvastamiseks. Tulemuste ja parandusplaanide avaldamine aitab kriisiperioodidel usaldust luua.
Mitme allkirja konfiguratsioonid ja õiguste haldus peavad kehtima vähima privileegi põhimõte, muudatuste juhtimine ja hädaolukorra peatamise funktsioonid. Vigade eest preemiaprogrammid ja sõltumatud kontrollid vähendavad tundlike lepingute rünnakupinda.
Agiilne koordineerimine CEX-i ja DEX-iga vara külmutada ja voogude kaardistamine koos AML/KYC protseduuridega, kui see on asjakohane, parandab reageerimisvõimet. Sellistes olukordades on tegevuse läbipaistvus ja selge suhtlus kasutajatega oluline. sama oluline kui tehniline parandus ise.
UXLINKi intsident illustreerib, kuidas lubade andmise ebaõnnestumiste, turusurve ja ründaja inimlikud vead See võib mõne tunniga valla päästa keeristormi; ohjeldamismeetmed, lepingute ümberkujundamine ja hästi teostatud žetoonide vahetus on keskpikas perspektiivis stabiilsuse ja usaldusväärsuse taastamiseks üliolulised.
Olen tehnoloogiahuviline, kes on muutnud oma "nohikese" huvidest elukutse. Olen veetnud üle 10 aasta oma elust tipptehnoloogiat kasutades ja puhtast uudishimust igasuguste programmide kallal nokitsenud. Nüüd olen spetsialiseerunud arvutitehnoloogiale ja videomängudele. Seda seetõttu, et rohkem kui 5 aastat olen kirjutanud erinevatele tehnoloogia ja videomängude veebisaitidele, luues artikleid, mille eesmärk on anda teile vajalikku teavet kõigile arusaadavas keeles.
Kui teil on küsimusi, siis minu teadmised ulatuvad kõigest, mis on seotud nii Windowsi operatsioonisüsteemiga kui ka Androidiga mobiiltelefonidele. Ja ma olen pühendunud teile, olen alati nõus kulutama paar minutit ja aitama teil lahendada kõik küsimused, mis teil selles Interneti-maailmas tekkida võivad.