- Zaradi vdora v denarnico z več podpisi je prišlo do vloge kovanja denarja; začetna preusmeritev je znašala približno 11,3 milijona dolarjev.
- Na Arbitrumu je bilo skovanih vsaj 2.000 milijardi UXLINK-ov; več borz je zamrznilo depozite.
- Napadalec je postal žrtev lažnega predstavljanja in izgubil 48 milijonov dolarjev, potem ko je pred tem 28,1 milijona dolarjev pretvoril v ETH.
- UXLINK pripravlja zamenjavo žetonov in novo pogodbo s fiksno ponudbo, ki je predmet zunanje revizije.
UXLINK je živel kritični varnostni incident po vdoru v njeno denarnico z več podpisi, ki je omogočil pridobitev dovoljenj za kovanje žetona. Napadalec je izkoristil ta dostop za ustvarjanje velikih količin UXLINK in premikanje sredstev., kar je povzročilo likvidnostne napetosti, motnje v kotaciji in takojšen odziv borz.
Primer je kmalu zatem dobil nepričakovan preobrat: odgovorna oseba se je sama znašla v lažno predstavljanje in izgubil 48 milijonov dolarjev, kljub temu, da jim je prej uspelo pretvoriti vsaj 28,1 milijona dolarjev ETH v verigi. Podjetje je poročalo o načrt zamenjava žetonov in uvedba nove pogodbe s fiksno dobavo, skupaj z neodvisno revizijo za okrepitev varnosti in povrnitev zaupanja.
Kronologija napada in uporabljeni vektor
Glede na prve analize podjetij za kibernetsko varnost, Vdor je izviral iz modula za več podpisov in je povzročil dodelitev vloge kovanja ki ne bi smel biti na voljoZačetna preusmeritev sredstev je bila ocenjena na približno 11,3 milijonov dolarjev, vključno z USDT, USDC, WBTC in ETH, z izmenjalnimi potmi in premostitvijo med omrežji, kar otežuje sledenje.
Zlonamerni akter je s prevzetim nadzorom nad vlogo nadaljeval z ustvarjanjem novih žetonov: Tehnična poročila kažejo na prvo serijo z milijardo UXLINK in drugo serijo z nadaljnjo milijardo. v ArbitrumuTa dejavnost je pritiskala na trg in motila kotacijo žetona, kar je trgovcem sprožilo opozorila, naj se izogibajo interakciji s sumljivimi pogodbami in pari.
Vzporedno je ekipa stopila v stik s centraliziranimi in decentraliziranimi platformami, da bi zamrznitev sumljivih depozitov in izdala opozorila pristojnim organom. Več partnerjev CEX je nudilo podporo, ki je pomagala zajeziti nekatere tokove in omejiti večji takojšen učinek.
Učinki na trg žetonov
Prevelika ponudba, ki je nastala zaradi nepooblaščenega kovanja in s tem povezane prodaje, je povzročila skoraj 90-odstotni propad cena, z območja 0,33 $ na najnižje vrednosti okoli 0,033 $, s poznejšim delnim okrevanjem na 0,11 $. Volatilnost se je močno povečala, likvidnost pa je ostala zelo napeta v več parih.
Ta epizoda je škodovala oblikovanju cen in globini knjige ter poudarila, kako manipulacija ponudbe lahko sproži kaskade naročil in neskladij v kotacijah. Dialog z borzami je bil ključnega pomena za ublažitev domino učinka v sekundarni trgi.
Nepričakovan preobrat: napadalec, žrtev lažnega predstavljanja
V preobratu, ki ga je težko verjeti, agresor je na koncu postal predmet lažno predstavljanje in izgubil približno 48 milijonov dolarjev v sredstvih, kar poudarja pomen ukrepov za blokiranje zlonamernih straniViri na verigi kažejo, da se je odliv zgodil, medtem ko je napadalec še vedno upravljal pozicije in likvidnost po množičnem kovanju.
Kljub temu mu je pred tem spotikanjem uspelo oprati vsaj 28,1 milijona dolarjev v ETH, kar pušča ravnovesje, pri katerem je končni kriminalni dobiček negotov in kljub temu precej nižji, kot se je zdelo po prvem udarcu.
Odgovor UXLINK-a in napovedani ukrepi
Za stabilizacijo ekosistema je ekipa potrdila načrt zamenjave žetonov s podporo več centraliziranih partnerjev. Cilj je obnoviti ekonomsko ravnovesje projekta in zaščititi uporabnike pred učinki nezakonitega kovanja.
Poleg tega, a nova pametna pogodba s fiksno ponudbo, s čimer se odpravi vsak vektor, ki bi omogočil ponovno kovanje. Ta pogodba je bila poslana v zunanjo revizijo, projekt pa trenutno pripravlja podrobno tehnično poročilo, ki rekonstruira celoten incident.
UXLINK priznava, da funkcije meta/opečenec imel je operativno uporabnost v medverižnih tokovih, vendar bo model v novem temeljito prenovljen bela knjigaZdaj je prednostna naloga zagotoviti nespremenljivost dobave in varna dovoljenja vlog.
Ekipa, ki se sooča s skupnostjo, poudarja, da ni nobenih znakov, da bi uporabniške denarnice so bile ogrožene, čeprav poziva k izjemni previdnosti, uporabi samo uradnih kanalov in nezaupanju domnevnim oglasom ali povezavam tretjih oseb, ki obljubljajo ekspresne izterjave.
Lekcije in najboljše prakse za projekte DeFi
Incident ponovno opozarja na potrebo po celovitih revizijah in spremljanje verige v realnem času za odkrivanje nenavadnih vzorcev. Objavljanje rezultatov in načrtov sanacije pomaga graditi zaupanje v kriznih obdobjih.
Veljati morajo konfiguracije z več podpisi in upravljanje dovoljenj načelo najmanjših privilegijev, nadzor sprememb in funkcije za nujni premor. Programi nagrajevanja za napake in neodvisni pregledi zmanjšujejo površino za napade na občutljive pogodbe.
Agilno usklajevanje s CEX in DEX za zamrznitev sredstev in kartiranje tokov, skupaj s postopki AML/KYC, kjer je to primerno, izboljšuje odzivnost. Operativna preglednost in jasna komunikacija z uporabniki sta v teh primerih ključnega pomena. tako pomemben kot sam tehnični popravek.
Incident UXLINK ponazarja, kako kombinacija neuspehov pri pridobivanju dovoljenj, tržnega pritiska in človeške napake napadalca V nekaj urah lahko sprosti vrtinec; zadrževalni ukrepi, preoblikovanje pogodb in dobro izvedena zamenjava žetonov bodo ključni za ponovno vzpostavitev stabilnosti in verodostojnosti v srednjeročnem obdobju.
Sem tehnološki navdušenec, ki je svoja "geek" zanimanja spremenil v poklic. Več kot 10 let svojega življenja sem porabil za uporabo vrhunske tehnologije in premleval najrazličnejše programe iz čiste radovednosti. Zdaj sem se specializiral za računalniško tehnologijo in video igre. To je zato, ker že več kot 5 let pišem za različna spletna mesta o tehnologiji in video igrah ter ustvarjam članke, ki vam želijo dati informacije, ki jih potrebujete, v jeziku, ki je razumljiv vsem.
Če imate kakršna koli vprašanja, moje znanje sega od vsega v zvezi z operacijskim sistemom Windows kot tudi Androidom za mobilne telefone. In moja zaveza je vam, vedno sem pripravljen porabiti nekaj minut in vam pomagati razrešiti kakršna koli vprašanja, ki jih morda imate v tem internetnem svetu.