- Pelanggaran dalam dompet berbilang tandatangan menimbulkan peranan mencetak; lencongan awal adalah sekitar $11,3 juta.
- Sekurang-kurangnya 2.000 bilion UXLINK telah dicetak di Arbitrum; beberapa bursa membekukan deposit.
- Penyerang menjadi mangsa pancingan data dan kerugian $48 juta selepas sebelum ini menukar $28,1 juta kepada ETH.
- UXLINK sedang menyediakan pertukaran token dan kontrak baharu dengan bekalan tetap, di bawah audit luaran.
UXLINK telah hidup a insiden keselamatan kritikal selepas pelanggaran dalam dompet berbilang tandatangannya yang membenarkan kebenaran mencetak diperoleh untuk tokennya. Penyerang mengambil kesempatan daripada akses ini untuk mencipta sejumlah besar UXLINK dan memindahkan aset., menyebabkan ketegangan kecairan, gangguan penyenaraian dan tindak balas segera daripada bursa.
Kes itu bertukar yang tidak dijangka sejurus selepas: orang yang bertanggungjawab itu sendiri akhirnya terjerumus ke dalam a Phishing dan kehilangan $48 juta, walaupun sebelum ini berjaya menukar sekurang-kurangnya $28,1 juta nilai ETH dalam rantaian. Syarikat itu, bagi pihaknya, telah melaporkan a pelan pertukaran token dan penempatan kontrak baharu dengan pembekalan tetap, bersama-sama dengan audit bebas untuk mengukuhkan keselamatan dan memulihkan keyakinan.
Kronologi serangan dan vektor yang digunakan
Menurut analisis pertama oleh firma keselamatan siber, Pencerobohan itu berasal dari modul berbilang tandatangan dan mengakibatkan penugasan peranan penempaan yang sepatutnya tidak adaPengalihan awal dana dianggarkan pada sekitar 11,3 juta, termasuk USDT, USDC, WBTC dan ETH, dengan laluan pertukaran dan merapatkan antara rangkaian untuk menyukarkan pengesanan.
Dengan mengawal peranan, pelakon berniat jahat itu terus mencipta token baharu: Laporan teknikal menunjukkan kumpulan pertama sebanyak 1.000 bilion UXLINK dan kumpulan kedua sebanyak 1.000 bilion lagi. dalam ArbitrumAktiviti ini memberi tekanan kepada pasaran dan mengganggu penyenaraian token, menjana makluman untuk pedagang untuk mengelak daripada berinteraksi dengan kontrak dan pasangan yang mencurigakan.
Secara selari, pasukan menghubungi platform terpusat dan terdesentralisasi untuk membekukan deposit yang mencurigakan dan mengeluarkan amaran kepada pihak berkuasa yang berkenaan. Beberapa rakan kongsi CEX memberikan sokongan, membantu membendung beberapa aliran dan mengehadkan impak segera yang lebih besar.
Kesan pada pasaran token
Lebihan bekalan yang terhasil daripada penempaan tanpa kebenaran dan jualan berkaitan menyebabkan a keruntuhan hampir 90% harga, daripada julat $0,33 hingga terendah sekitar $0,033, dengan pemulihan separa seterusnya kepada $0,11. Volatiliti melonjak, dan kecairan kekal sangat tegang dalam beberapa pasangan.
Episod itu merosakkan pembentukan harga dan kedalaman buku, menonjolkan bagaimana manipulasi bekalan boleh mencetuskan banyak pesanan dan ketidakpadanan dalam penyenaraian. Dialog dengan pertukaran adalah kunci untuk mengurangkan kesan domino dalam pasaran sekunder.
Pusingan yang tidak dijangka: penyerang, mangsa pancingan data
Dalam kelainan yang sukar dipercayai, penceroboh akhirnya menjadi subjek a Phishing dan kerugian kira-kira $48 juta dalam aset, yang menggariskan kepentingan langkah untuk menyekat halaman berniat jahatSumber dalam rantaian menunjukkan bahawa aliran keluar berlaku semasa penyerang masih menguruskan kedudukan dan kecairan berikutan penempaan besar-besaran.
Pun begitu, sebelum tersadung itu dia sudah berjaya mencuci sekurang-kurangnya $28,1 juta dalam ETH, meninggalkan keseimbangan di mana keuntungan jenayah akhir tidak menentu dan, bagaimanapun, jauh lebih rendah daripada apa yang kelihatan selepas pukulan pertama.
Maklum balas UXLINK dan langkah yang diumumkan
Untuk menstabilkan ekosistem, pasukan telah mengesahkan a pelan pertukaran token dengan sokongan beberapa rakan kongsi berpusat. Matlamatnya adalah untuk memulihkan keseimbangan ekonomi projek dan melindungi pengguna daripada kesan penempaan haram.
Selain itu, a kontrak pintar baharu dengan bekalan tetap, menghapuskan mana-mana vektor yang akan membenarkan syiling semula. Kontrak ini telah dihantar kepada audit luaran, dan projek itu sedang mengusahakan laporan teknikal terperinci yang membina semula keseluruhan kejadian.
UXLINK menyedari bahawa fungsi pudina/bakar mempunyai utiliti operasi dalam aliran antara rantaian, tetapi model itu akan disemak secara menyeluruh dalam model baharu whitepaperKeutamaan sekarang adalah untuk memastikan kebolehubahan bekalan dan kebenaran peranan yang selamat.
Menghadapi masyarakat, pasukan itu menegaskan bahawa tidak ada petunjuk itu dompet pengguna telah dikompromi, walaupun ia meminta untuk berhati-hati, gunakan hanya saluran rasmi dan tidak mempercayai iklan yang sepatutnya atau pautan daripada pihak ketiga yang menjanjikan pemulihan nyata.
Pelajaran dan amalan terbaik untuk projek DeFi
Insiden itu memberi perhatian semula kepada keperluan untuk audit menyeluruh dan pemantauan dalam rantaian masa nyata untuk mengesan corak anomali. Menerbitkan keputusan dan pelan pemulihan membantu membina kepercayaan semasa tempoh krisis.
Konfigurasi berbilang tandatangan dan pengurusan kebenaran mesti digunakan prinsip keistimewaan yang paling sedikit, kawalan perubahan dan fungsi jeda kecemasan. Program hadiah pepijat dan pemeriksaan bebas mengurangkan permukaan serangan pada kontrak sensitif.
Penyelarasan tangkas dengan CEX dan DEX untuk membekukan aset dan aliran pemetaan, bersama-sama dengan prosedur AML/KYC di mana sesuai, meningkatkan daya tindak balas. Ketelusan operasi dan komunikasi yang jelas dengan pengguna, dalam situasi ini, sama pentingnya dengan patch teknikal itu sendiri.
Insiden UXLINK menggambarkan bagaimana gabungan kegagalan permit, tekanan pasaran dan kesilapan manusia penyerang Ia boleh melepaskan angin puyuh dalam masa beberapa jam; langkah pembendungan, reka bentuk semula kontrak dan pertukaran token yang dilaksanakan dengan baik akan menjadi penting untuk mendapatkan semula kestabilan dan kredibiliti dalam jangka sederhana.
Saya seorang peminat teknologi yang telah menjadikan minat "geek"nya sebagai satu profesion. Saya telah menghabiskan lebih daripada 10 tahun hidup saya menggunakan teknologi canggih dan bermain-main dengan semua jenis program kerana rasa ingin tahu yang tulen. Sekarang saya mempunyai pakar dalam teknologi komputer dan permainan video. Ini kerana selama lebih daripada 5 tahun saya telah menulis untuk pelbagai laman web mengenai teknologi dan permainan video, mencipta artikel yang bertujuan untuk memberi anda maklumat yang anda perlukan dalam bahasa yang boleh difahami oleh semua orang.
Jika anda mempunyai sebarang soalan, pengetahuan saya merangkumi semua perkara yang berkaitan dengan sistem pengendalian Windows serta Android untuk telefon mudah alih. Dan komitmen saya adalah kepada anda, saya sentiasa bersedia untuk meluangkan masa beberapa minit dan membantu anda menyelesaikan sebarang soalan yang mungkin anda ada dalam dunia internet ini.