- Një shkelje e portofolit me shumë nënshkrime i dha shkas një roli për krijimin e parave; devijimi fillestar ishte rreth 11,3 milionë dollarë.
- Të paktën 2.000 miliardë UXLINK u emetuan në Arbitrum; disa bursa ngrinë depozitat.
- Sulmuesi ra viktimë e phishing-ut dhe humbi 48 milionë dollarë pasi më parë konvertoi 28,1 milionë dollarë në ETH.
- UXLINK po përgatit një shkëmbim tokenësh dhe një kontratë të re me një furnizim fiks, nën auditim të jashtëm.
UXLINK ka jetuar një incident kritik sigurie pas një shkeljeje të portofolit të saj me shumë nënshkrime që lejoi marrjen e lejeve të montimit për tokenin e saj. Sulmuesi shfrytëzoi këtë akses për të krijuar sasi të mëdha të UXLINK dhe për të zhvendosur asete., duke shkaktuar tensione të likuiditetit, ndërprerje të listimit dhe një reagim të menjëhershëm nga bursat.
Çështja mori një kthesë të papritur menjëherë pas: vetë personi përgjegjës përfundoi duke rënë në një Phishing dhe humbi 48 milionë dollarë, pavarësisht se më parë kishte arritur të konvertonte të paktën 28,1 milionë dollarë ETH në zinxhir. Kompania, nga ana e saj, ka raportuar një plani i swap shenjë dhe vendosja e një kontrate të re me furnizim fiks, së bashku me një audit të pavarur për të forcuar sigurinë dhe për të rivendosur besimin.
Kronologjia e sulmit dhe vektori i përdorur
Sipas analizave të para nga firmat e sigurisë kibernetike, Ndërhyrja filloi në modulin me shumë nënshkrime dhe rezultoi në caktimi i një roli për prerjen e parave që nuk duhej të ishte në dispozicionDevijimi fillestar i fondeve u vlerësua në rreth 11,3 milionë, duke përfshirë USDT, USDC, WBTC dhe ETH, me rrugë shkëmbimi dhe ura lidhëse midis rrjeteve për ta bërë të vështirë ndjekjen.
Me kontrollin e rolit, aktori keqdashës vazhdoi të krijonte tokena të rinj: Raportet teknike tregojnë për një grup të parë prej 1.000 miliard UXLINK dhe një grup të dytë prej 1.000 miliard të tjerë. në ArbitrazhKy aktivitet ushtroi presion mbi tregun dhe prishi listimin e tokenit, duke gjeneruar alarme për tregtarët që të shmangnin ndërveprimin me kontrata dhe çifte të dyshimta.
Paralelisht, ekipi kontaktoi platforma të centralizuara dhe të decentralizuara për të ngrini depozitat e dyshimta dhe lëshoi paralajmërime për autoritetet përkatëse. Disa partnerë të CEX ofruan mbështetje, duke ndihmuar në ndalimin e disa prej flukseve dhe duke kufizuar një ndikim më të madh të menjëhershëm.
Efektet në tregun e tokenëve
Mbifurnizimi që rezultoi nga prerjet e paautorizuara të monedhave dhe shitjet e lidhura me to shkaktoi një rënie prej gati 90% çmimi, nga diapazoni prej 0,33 dollarësh në minimumin rreth 0,033 dollarësh, me një rikuperim të mëvonshëm të pjesshëm në 0,11 dollarë. Luhatshmëria u rrit ndjeshëm dhe likuiditeti mbeti shumë i tendosur në disa çifte.
Episodi dëmtoi formimin e çmimeve dhe thellësinë e librit, duke nxjerrë në pah se si manipulimi i furnizimit mund të shkaktojë kaskada porosish dhe mospërputhjesh në lista. Dialogu me bursat ishte çelësi për të zbutur efektin domino në tregjet sekondare.
Kthesë e papritur: sulmuesi, viktimë e phishing-ut
Në një kthesë që është e vështirë të besohet, agresori përfundoi duke qenë subjekt i një Phishing dhe humbi rreth 48 milionë dollarë në asete, gjë që nënvizon rëndësinë e masave për të blloko faqet keqdashëseBurimet në zinxhir tregojnë se rrjedhja ndodhi ndërsa sulmuesi ende po menaxhonte pozicionet dhe likuiditetin pas prerjes masive.
Megjithatë, përpara asaj pengese ai ia kishte dalë pastron të paktën 28,1 milionë dollarë në ETH, duke lënë një bilanc në të cilin fitimi përfundimtar kriminal është i pasigurt dhe, megjithatë, shumë më i ulët se sa dukej pas goditjes së parë.
Përgjigja e UXLINK dhe masat e shpallura
Për të stabilizuar ekosistemin, ekipi ka konfirmuar një plani i shkëmbimit të tokenëve me mbështetjen e disa partnerëve të centralizuar. Qëllimi është të rivendoset ekuilibri ekonomik i projektit dhe të mbrohen përdoruesit nga efektet e prerjes së paligjshme të monedhës.
Përveç kësaj, një kontratë e re inteligjente me furnizim fiks, duke eliminuar çdo vektor që do të lejonte ripërpunimin e monedhës. Kjo kontratë i është dërguar një auditimi të jashtëm dhe projekti po punon për një raport teknik të detajuar që rindërton i gjithë incidenti.
UXLINK njeh që funksionet e mente/djegie kishte dobi operacionale në rrjedhat ndër-zinxhirore, por modeli do të rishikohet plotësisht në të riun Letër të bardhëPrioriteti tani është të sigurohet pandryshueshmëria e furnizimit dhe të sigurohen lejet e roleve.
Përballë komunitetit, ekipi thekson se nuk ka asnjë tregues se portofolet e përdoruesve janë kompromentuar, megjithëse kërkon të jeni jashtëzakonisht të kujdesshëm, të përdorni vetëm kanale zyrtare dhe të mos u besoni reklamave ose lidhjeve të supozuara nga palë të treta që premtojnë rikuperime të shpejta.
Mësime dhe praktika më të mira për projektet DeFi
Incidenti e kthen vëmendjen te nevoja për auditime gjithëpërfshirëse dhe monitorim në kohë reale në zinxhir për të zbuluar modele anomale. Publikimi i rezultateve dhe planeve të korrigjimit ndihmon në ndërtimin e besimit gjatë periudhave të krizës.
Duhet të zbatohen konfigurimet me shumë nënshkrime dhe menaxhimi i lejeve parimi i privilegjit më të vogël, kontrollet e ndryshimit dhe funksionet e pauzës emergjente. Programet e shpërblimit për defekte dhe inspektimet e pavarura zvogëlojnë sipërfaqen e sulmit në kontratat e ndjeshme.
Koordinim i shkathët me CEX dhe DEX për të ngrirja e aseteve dhe hartëzimi i flukseve, së bashku me procedurat AML/KYC kur është e përshtatshme, përmirëson reagimin. Transparenca operacionale dhe komunikimi i qartë me përdoruesit janë, në këto situata, po aq e rëndësishme sa vetë patch-i teknik.
Incidenti i UXLINK ilustron se si një kombinim i dështimeve të lejeve, presionit të tregut dhe gabimet njerëzore të sulmuesit Mund të shkaktojë një vorbull brenda pak orësh; masat e përmbajtjes, ridizajnimi i kontratave dhe një shkëmbim token i ekzekutuar mirë do të jenë thelbësore për të rifituar stabilitetin dhe besueshmërinë në afat të mesëm.
Unë jam një entuziast i teknologjisë që i kam kthyer në profesion interesat e tij "geek". Kam shpenzuar më shumë se 10 vjet të jetës sime duke përdorur teknologjinë më të fundit dhe duke punuar me të gjitha llojet e programeve nga kurioziteti i pastër. Tani jam specializuar në teknologjinë kompjuterike dhe videolojërat. Kjo sepse prej më shumë se 5 vitesh shkruaj për faqe të ndryshme interneti mbi teknologjinë dhe videolojërat, duke krijuar artikuj që kërkojnë t'ju japin informacionin që ju nevojitet në një gjuhë të kuptueshme nga të gjithë.
Nëse keni ndonjë pyetje, njohuritë e mia variojnë nga gjithçka që lidhet me sistemin operativ Windows si dhe Android për telefonat celularë. Dhe angazhimi im është për ju, unë jam gjithmonë i gatshëm të kaloj disa minuta dhe t'ju ndihmoj të zgjidhni çdo pyetje që mund të keni në këtë botë të internetit.