- Dėl įsilaužimo į daugiaparašę piniginę atsirado galimybė pradėti kalinti monetas; pradinė suma siekė apie 11,3 mln. USD.
- „Arbitrum“ platformoje buvo nukaldinta mažiausiai 2.000 milijardai UXLINK kriptovaliutų; kelios biržos įšaldė indėlius.
- Užpuolikas tapo sukčiavimo auka ir prarado 48 mln. USD, prieš tai konvertavęs 28,1 mln. USD į ETH.
- „UXLINK“ rengia žetonų mainus ir naują sutartį su fiksuotu tiekimu, atliekant išorinį auditą.
UXLINK yra gyvenęs kritinis saugumo incidentas po to, kai jos daugiaparašėje piniginėje buvo įsilaužta, dėl ko buvo galima gauti leidimus kaldinti jos žetoną. Užpuolikas pasinaudojo šia prieiga, kad sukurtų didelius UXLINK kiekius ir perkeltų išteklius., sukeldamas likvidumo įtampą, sutrikdydamas įtraukimą į biržos sąrašus ir skubią biržų reakciją.
Netrukus byla pakrypo netikėta linkme: pats atsakingas asmuo galiausiai įkrito į sukčiavimas sukčiavimo būdu ir prarado 48 mln. dolerių, nepaisant to, kad anksčiau pavyko grandinėje konvertuoti ETH už mažiausiai 28,1 mln. USD. Savo ruožtu bendrovė pranešė apie planas žetonų mainai ir naujos fiksuoto tiekimo sutarties įdiegimaskartu su nepriklausomu auditu, siekiant sustiprinti saugumą ir atkurti pasitikėjimą.
Atakos chronologija ir naudotas vektorius
Remiantis pirmosiomis kibernetinio saugumo įmonių analizėmis, Įsilaužimas kilo iš kelių parašų modulio ir lėmė kalyklos vaidmens paskyrimas kuris neturėjo būti prieinamasPradinis lėšų nukreipimas buvo apskaičiuotas maždaug 11,3 mln. dolerių, įskaitant USDT, USDC, WBTC ir ETH, su mainų maršrutais ir jungtimis tarp tinklų, kad būtų sunku sekti.
Kontroliuodamas vaidmenį, kenkėjiškas veikėjas ėmėsi kurti naujus žetonus: Techninėse ataskaitose nurodoma pirmoji 1.000 milijardo UXLINK partija ir antroji – dar 1.000 milijardo. ArbitrumeŠi veikla sukėlė spaudimą rinkai ir sutrikdė žetono įtraukimą į biržą, todėl prekiautojai buvo įspėjami vengti sąveikos su įtartinomis sutartimis ir valiutų poromis.
Tuo pačiu metu komanda susisiekė su centralizuotomis ir decentralizuotomis platformomis, kad įšaldyti įtartinus indėlius ir išsiuntė įspėjimus atitinkamoms institucijoms. Keletas CEX partnerių teikė paramą, padėdami sustabdyti kai kuriuos srautus ir apriboti didesnis tiesioginis poveikis.
Poveikis žetonų rinkai
Dėl neleistinos kaldinimo ir susijusių pardavimų atsiradęs perteklinis tiekimas sukėlė beveik 90% žlugimas kaina pakilo nuo 0,33 USD iki maždaug 0,033 USD ribos, o vėliau iš dalies atsigavo iki 0,11 USD. Nepastovumas smarkiai išaugo, o likvidumas keliose valiutų porose išliko labai įtemptas.
Šis epizodas pakenkė kainodarai ir knygos gyliui, pabrėždamas, kaip tiekimo manipuliavimas gali sukelti užsakymų ir neatitikimų kaskadas kotiruojamose rinkose. Dialogas su biržomis buvo labai svarbus siekiant sušvelninti domino efektą antrinės rinkos.
Netikėtas posūkis: užpuolikas – sukčiavimo auka
Sunku patikėti netikėtu posūkiu, agresorius galiausiai tapo taikiniu sukčiavimas sukčiavimo būdu ir prarado apie 48 mln. dolerių turte, kuriame pabrėžiama priemonių, skirtų blokuoti kenkėjiškus puslapiusŠaltiniai grandinėje rodo, kad pinigų nutekėjimas įvyko tuo metu, kai užpuolikas vis dar valdė pozicijas ir likvidumą po masinio kriptovaliutų kalimo.
Net ir taip, prieš tą suklupimą jam pavyko išplovė mažiausiai 28,1 mln. dolerių ETH, paliekant pusiausvyrą, kurioje galutinė nusikalstama nauda yra neaiški ir vis dėlto daug mažesnė nei atrodė po pirmojo smūgio.
UXLINK atsakas ir paskelbtos priemonės
Siekdama stabilizuoti ekosistemą, komanda patvirtino, kad žetonų keitimo planas padedant keliems centralizuotiems partneriams. Tikslas – atkurti projekto ekonominę pusiausvyrą ir apsaugoti vartotojus nuo neteisėtos monetų kalybos padarinių.
Be to, a nauja išmanioji sutartis su fiksuotu tiekimu, pašalinant bet kokį vektorių, kuris leistų perkalti. Ši sutartis buvo išsiųsta išorės auditui, o projekto metu rengiama išsami techninė ataskaita, kurioje rekonstruojama visas incidentas.
UXLINK pripažįsta, kad funkcijos mėtinis/degintas turėjo praktinį naudingumą tarpgrandininiuose srautuose, tačiau naujajame modelyje jis bus kruopščiai peržiūrėtas. informacinis dokumentasDabar prioritetas yra užtikrinti tiekimo ir saugių vaidmenų leidimų nekintamumą.
Susidūrusi su bendruomene, komanda pabrėžia, kad nėra jokių požymių, jog naudotojų piniginės buvo pažeisti, nors prašoma būti itin atsargiems, naudotis tik oficialiais kanalais ir nepasitikėti tariamomis trečiųjų šalių reklamomis ar nuorodomis, kurios žada greitas atsigavimas.
Pamokos ir geriausia praktika DeFi projektams
Šis incidentas vėl atkreipia dėmesį į išsamių auditų poreikį ir stebėjimas realiuoju laiku grandinėje siekiant aptikti anomalius modelius. Rezultatų ir taisomųjų planų skelbimas padeda kurti pasitikėjimą krizių metu.
Turi būti taikomos kelių parašų konfigūracijos ir leidimų valdymas mažiausių privilegijų principas, pakeitimų valdikliai ir avarinio pristabdymo funkcijos. Klaidų paieškos programos ir nepriklausomi patikrinimai sumažina atakų paviršių prieš jautrias sutartis.
Lankstus koordinavimas su CEX ir DEX įšaldyti turtą ir srautų atvaizdavimas kartu su AML/KYC procedūromis, jei reikia, pagerina reagavimą. Šiose situacijose veiklos skaidrumas ir aiškus bendravimas su naudotojais yra labai svarbūs. toks pat svarbus, kaip ir pats techninis pataisymas.
UXLINK incidentas iliustruoja, kaip leidimų neišdavimo, rinkos spaudimo ir... užpuoliko žmogiškosios klaidos Tai gali sukelti viesulą per kelias valandas; izoliacijos priemonės, sutarčių pertvarkymas ir gerai atliktas žetonų keitimas bus labai svarbūs norint atkurti stabilumą ir patikimumą vidutinės trukmės laikotarpiu.
Esu technologijų entuziastas, savo „geek“ pomėgius pavertęs profesija. Daugiau nei 10 savo gyvenimo metų praleidau naudodamas pažangiausias technologijas ir iš gryno smalsumo kūriau visas programas. Dabar aš specializuojasi kompiuterinėse technologijose ir vaizdo žaidimuose. Taip yra todėl, kad daugiau nei 5 metus rašau įvairioms interneto svetainėms apie technologijas ir vaizdo žaidimus, kurdamas straipsnius, kuriuose noriu pateikti jums reikalingą informaciją visiems suprantama kalba.
Jei turite klausimų, mano žinios svyruoja nuo visko, kas susiję su Windows operacine sistema, taip pat su Android mobiliesiems telefonams. Ir aš įsipareigoju jums, aš visada pasiruošęs skirti kelias minutes ir padėti jums išspręsti visus klausimus, kurie jums gali kilti šiame interneto pasaulyje.