- Ang isang paglabag sa multisignature wallet ay nagbunga ng isang papel sa pagmimina; ang unang diversion ay humigit-kumulang $11,3 milyon.
- Hindi bababa sa 2.000 bilyong UXLINK ang ginawa sa Arbitrum; ilang palitan ang nag-freeze ng mga deposito.
- Ang umaatake ay naging biktima ng phishing at nawalan ng $48M pagkatapos na dati nang i-convert ang $28,1M sa ETH.
- Ang UXLINK ay naghahanda ng token swap at isang bagong kontrata na may nakapirming supply, sa ilalim ng external audit.
UXLINK ay nabuhay ng isang kritikal na insidente sa seguridad matapos ang isang paglabag sa multi-signature wallet nito na nagbigay-daan sa pagkuha ng mga pahintulot sa pag-print para sa token nito. Sinamantala ng attacker ang access na ito para gumawa ng malalaking halaga ng UXLINK at ilipat ang mga asset., na nagiging sanhi ng mga tensyon sa pagkatubig, mga pagkagambala sa listahan, at isang agarang reaksyon mula sa mga palitan.
Ang kaso ay nagkaroon ng hindi inaasahang pagkakataon makalipas ang ilang sandali: ang taong responsable mismo ay nahuhulog sa a phishing at nawalan ng $48 milyon, sa kabila ng dati nang nakapag-convert ng hindi bababa sa $28,1 milyon na halaga ng ETH on-chain. Ang kumpanya, sa bahagi nito, ay nag-ulat ng isang plano ng pagpapalit ng token at ang deployment ng isang bagong kontrata na may nakapirming supply, kasama ang isang independiyenteng pag-audit upang palakasin ang seguridad at ibalik ang kumpiyansa.
Kronolohiya ng pag-atake at vector na ginamit
Ayon sa mga unang pagsusuri ng mga cybersecurity firm, Ang panghihimasok ay nagmula sa multi-signature na module at nagresulta sa pagtatalaga ng papel sa pagmimina hindi dapat yan availableAng paunang paglilipat ng mga pondo ay tinatantya sa paligid $11,3 milyon, kabilang ang USDT, USDC, WBTC at ETH, na may mga ruta ng palitan at pagtulay sa pagitan ng mga network upang maging mahirap ang pagsubaybay.
Nang may kontrol sa tungkulin, nagpatuloy ang malisyosong aktor na lumikha ng mga bagong token: Itinuturo ng mga teknikal na ulat ang unang batch ng 1.000 bilyong UXLINK at pangalawang batch ng isa pang 1.000 bilyon. sa ArbitrumAng aktibidad na ito ay naglalagay ng presyon sa merkado at naantala ang listahan ng token, na bumubuo ng mga alerto para sa mga mangangalakal upang maiwasan ang pakikipag-ugnayan sa mga kahina-hinalang kontrata at pares.
Kasabay nito, nakipag-ugnayan ang koponan sa mga sentralisadong at desentralisadong platform upang i-freeze ang mga kahina-hinalang deposito at nagbigay ng mga babala sa mga kinauukulang awtoridad. Nagbigay ng suporta ang ilang kasosyo sa CEX, na tumulong na pigilan ang ilan sa mga daloy at nililimitahan isang mas malaking agarang epekto.
Mga epekto sa token market
Ang labis na supply na nagreresulta mula sa hindi awtorisadong pagmimina at mga nauugnay na benta ay nagdulot ng a pagbagsak ng halos 90% presyo, mula sa hanay na $0,33 hanggang sa mababa sa paligid ng $0,033, na may kasunod na bahagyang pagbawi sa $0,11. Ang pagkasumpungin ay tumaas, at ang pagkatubig ay nanatiling lubos na pilit sa ilang mga pares.
Nasira ng episode ang pagbuo ng presyo at lalim ng libro, na itinatampok kung paano ang pagmamanipula ng supply maaaring mag-trigger ng mga cascade ng order at mismatches sa mga listing. Ang pag-uusap sa mga palitan ay naging susi sa pagpapagaan ng epekto ng domino sa mga pangalawang pamilihan.
Ang hindi inaasahang twist: ang umaatake, biktima ng phishing
Sa isang twist na mahirap paniwalaan, ang aggressor ay naging paksa ng a phishing at nawalan ng humigit-kumulang $48 milyon sa mga ari-arian, na binibigyang-diin ang kahalagahan ng mga hakbang sa harangan ang mga malisyosong pahinaIsinasaad ng mga on-chain na source na naganap ang outflow habang pinamamahalaan pa rin ng attacker ang mga posisyon at liquidity kasunod ng mass minting.
Ganoon pa man, bago ang pagkatisod na iyon ay nakayanan na niya maglaba ng hindi bababa sa $28,1 milyon sa ETH, na nag-iiwan ng balanse kung saan hindi tiyak ang huling kriminal na kita at, gayunpaman, mas mababa kaysa sa tila pagkatapos ng unang suntok.
Ang tugon ng UXLINK at inihayag na mga hakbang
Upang patatagin ang ecosystem, kinumpirma ng koponan ang a plano ng token swap sa suporta ng ilang sentralisadong kasosyo. Ang layunin ay ibalik ang balanse sa ekonomiya ng proyekto at protektahan ang mga gumagamit mula sa mga epekto ng ipinagbabawal na pag-print.
Bilang karagdagan, isang bagong smart contract na may fixed supply, inaalis ang anumang vector na magbibigay-daan sa muling pag-coin. Ang kontratang ito ay ipinadala sa isang panlabas na pag-audit, at ang proyekto ay gumagawa sa isang detalyadong teknikal na ulat na muling itinatayo ang buong pangyayari.
Kinikilala ng UXLINK na ang mga function ng mint/paso nagkaroon ng operational utility sa mga inter-chain flow, ngunit ang modelo ay lubusang babaguhin sa bago whitepaperAng priyoridad ngayon ay tiyakin ang hindi nababago ng supply at secure na mga pahintulot sa tungkulin.
Sa pagharap sa komunidad, binibigyang diin ng koponan na walang indikasyon iyon mga wallet ng gumagamit ay nakompromiso, bagama't hinihiling nitong maging lubhang maingat, gumamit lamang ng mga opisyal na channel at hindi magtiwala sa dapat na mga advertisement o link mula sa mga third party na nangangako ipahayag ang pagbawi.
Mga aralin at pinakamahusay na kagawian para sa mga proyekto ng DeFi
Ang insidente ay naglalagay ng pansin sa pangangailangan para sa komprehensibong pag-audit at real-time na on-chain na pagsubaybay upang makita ang mga maanomalyang pattern. Ang pag-publish ng mga resulta at mga plano sa remediation ay nakakatulong sa pagbuo ng tiwala sa mga panahon ng krisis.
Dapat ilapat ang mga pagsasaayos ng maraming lagda at pamamahala ng pahintulot prinsipyo ng pinakamababang pribilehiyo, mga kontrol sa pagbabago, at mga function ng emergency pause. Ang mga bug bounty program at mga independiyenteng inspeksyon ay nagbabawas sa pag-atake sa mga sensitibong kontrata.
Maliksi na koordinasyon sa CEX at DEX sa i-freeze ang mga asset at mga daloy ng pagmamapa, kasama ang mga pamamaraan ng AML/KYC kung saan naaangkop, ay nagpapahusay sa pagtugon. Ang operational transparency at malinaw na komunikasyon sa mga user ay, sa mga sitwasyong ito, kasinghalaga ng mismong teknikal na patch.
Ang insidente sa UXLINK ay naglalarawan kung paano ang isang kumbinasyon ng mga pagkabigo ng permit, presyon sa merkado at mga pagkakamali ng tao ng umaatake Maaari itong magpakawala ng isang ipoipo sa loob ng ilang oras; Ang mga hakbang sa pagpigil, muling pagdidisenyo ng kontrata, at isang mahusay na naisakatuparan na pagpapalit ng token ay magiging mahalaga upang maibalik ang katatagan at kredibilidad sa katamtamang termino.
Isa akong mahilig sa teknolohiya na ginawang propesyon ang kanyang mga "geek" na interes. Ako ay gumugol ng higit sa 10 taon ng aking buhay sa paggamit ng makabagong teknolohiya at pag-iisip sa lahat ng uri ng mga programa dahil sa purong kuryusidad. Ngayon ay nagdadalubhasa na ako sa teknolohiya ng kompyuter at mga video game. Ito ay dahil sa higit sa 5 taon na ako ay sumusulat para sa iba't ibang mga website sa teknolohiya at mga video game, na lumilikha ng mga artikulo na naglalayong ibigay sa iyo ang impormasyong kailangan mo sa isang wika na naiintindihan ng lahat.
Kung mayroon kang anumang mga katanungan, ang aking kaalaman ay mula sa lahat ng nauugnay sa Windows operating system pati na rin ang Android para sa mga mobile phone. At ang aking pangako ay sa iyo, lagi akong handang gumugol ng ilang minuto at tulungan kang lutasin ang anumang mga katanungan na maaaring mayroon ka sa mundo ng internet na ito.