- Một vụ xâm phạm vào ví đa chữ ký đã dẫn đến việc đúc tiền; số tiền bị chuyển hướng ban đầu vào khoảng 11,3 triệu đô la.
- Ít nhất 2.000 tỷ UXLINK đã được đúc trên Arbitrum; một số sàn giao dịch đã đóng băng tiền gửi.
- Kẻ tấn công đã trở thành nạn nhân của lừa đảo và mất 48 triệu đô la sau khi chuyển 28,1 triệu đô la thành ETH.
- UXLINK đang chuẩn bị hoán đổi mã thông báo và hợp đồng mới với nguồn cung cố định, đang được kiểm toán bên ngoài.
UXLINK đã sống một sự cố an ninh nghiêm trọng sau khi xảy ra vụ xâm phạm ví đa chữ ký khiến hacker có thể lấy được quyền đúc tiền cho mã thông báo của mình. Kẻ tấn công đã lợi dụng quyền truy cập này để tạo ra một lượng lớn UXLINK và di chuyển tài sản., gây ra căng thẳng thanh khoản, gián đoạn niêm yết và phản ứng ngay lập tức từ các sàn giao dịch.
Vụ án có diễn biến bất ngờ ngay sau đó: người chịu trách nhiệm cuối cùng đã rơi vào tình trạng lừa đảo và mất 48 triệu đô la, mặc dù trước đó đã chuyển đổi thành công ít nhất 28,1 triệu đô la giá trị ETH trên chuỗi. Về phần mình, công ty đã báo cáo kế hoạch của trao đổi mã thông báo và triển khai một hợp đồng mới với nguồn cung cố định, cùng với một cuộc kiểm toán độc lập để tăng cường an ninh và khôi phục niềm tin.
Niên đại của cuộc tấn công và vector được sử dụng
Theo những phân tích đầu tiên của các công ty an ninh mạng, Sự xâm nhập bắt nguồn từ mô-đun đa chữ ký và dẫn đến phân công vai trò đúc tiền điều đó không nên có sẵnViệc chuyển hướng tiền ban đầu được ước tính vào khoảng 11,3 triệu đô la, bao gồm USDT, USDC, WBTC và ETH, với các tuyến trao đổi và cầu nối giữa các mạng lưới để gây khó khăn cho việc theo dõi.
Sau khi kiểm soát được vai trò, kẻ xấu tiến hành tạo ra các mã thông báo mới: Các báo cáo kỹ thuật chỉ ra lô đầu tiên gồm 1.000 tỷ UXLINK và lô thứ hai gồm 1.000 tỷ nữa. trong ArbitrumHoạt động này gây áp lực lên thị trường và làm gián đoạn việc niêm yết mã thông báo, tạo ra cảnh báo cho các nhà giao dịch tránh tương tác với các hợp đồng và cặp tiền đáng ngờ.
Song song đó, nhóm đã liên hệ với các nền tảng tập trung và phi tập trung để đóng băng các khoản tiền gửi đáng ngờ và đã đưa ra cảnh báo cho các cơ quan chức năng có liên quan. Một số đối tác của CEX đã hỗ trợ, giúp ngăn chặn một số dòng chảy và hạn chế tác động tức thời lớn hơn.
Tác động đến thị trường mã thông báo
Việc cung vượt cầu do đúc tiền trái phép và các hoạt động bán hàng liên quan đã gây ra sụp đổ gần 90% Giá giảm từ mức 0,33 đô la xuống mức thấp nhất là 0,033 đô la, sau đó phục hồi một phần lên 0,11 đô la. Biến động tăng vọt và thanh khoản vẫn ở mức cao ở một số cặp tiền.
Tập phim đã làm hỏng quá trình hình thành giá và chiều sâu của cuốn sách, làm nổi bật cách thao túng nguồn cung có thể gây ra hàng loạt lệnh và sự không khớp lệnh trong danh sách. Đối thoại với các sàn giao dịch là chìa khóa để giảm thiểu hiệu ứng domino trong thị trường thứ cấp.
Sự thật bất ngờ: kẻ tấn công là nạn nhân của lừa đảo
Trong một bước ngoặt khó tin, kẻ xâm lược cuối cùng đã trở thành đối tượng của một lừa đảo và mất khoảng 48 triệu đô la trong tài sản, điều này nhấn mạnh tầm quan trọng của các biện pháp chặn các trang độc hạiCác nguồn tin trên chuỗi cho biết dòng tiền chảy ra xảy ra khi kẻ tấn công vẫn đang quản lý vị thế và tính thanh khoản sau khi đúc hàng loạt.
Mặc dù vậy, trước cú vấp ngã đó anh đã xoay sở được rửa ít nhất 28,1 triệu đô la bằng ETH, để lại sự cân bằng trong đó lợi nhuận tội phạm cuối cùng vẫn chưa chắc chắn và tuy nhiên, vẫn thấp hơn nhiều so với những gì có vẻ sau đòn đầu tiên.
Phản hồi và các biện pháp đã công bố của UXLINK
Để ổn định hệ sinh thái, nhóm nghiên cứu đã xác nhận một kế hoạch hoán đổi mã thông báo với sự hỗ trợ của một số đối tác tập trung. Mục tiêu là khôi phục sự cân bằng kinh tế của dự án và bảo vệ người dùng khỏi tác động của hoạt động đúc tiền bất hợp pháp.
Ngoài ra, một hợp đồng thông minh mới với nguồn cung cố định, loại bỏ bất kỳ vectơ nào cho phép đúc lại. Hợp đồng này đã được gửi đi kiểm toán bên ngoài và dự án đang xây dựng một báo cáo kỹ thuật chi tiết để tái cấu trúc toàn bộ sự việc.
UXLINK nhận ra rằng các chức năng của bạc hà/cháy đã có tiện ích hoạt động trong các luồng liên chuỗi, nhưng mô hình sẽ được sửa đổi toàn diện trong phiên bản mới báo cáo chuyên đềƯu tiên hiện nay là đảm bảo tính bất biến của nguồn cung và quyền cấp vai trò an toàn.
Đối mặt với cộng đồng, nhóm nghiên cứu nhấn mạnh rằng không có dấu hiệu nào cho thấy ví người dùng đã bị xâm phạm, mặc dù nó yêu cầu phải cực kỳ thận trọng, chỉ sử dụng các kênh chính thức và không tin tưởng vào các quảng cáo hoặc liên kết được cho là từ các bên thứ ba hứa hẹn phục hồi nhanh chóng.
Bài học và thực tiễn tốt nhất cho các dự án DeFi
Sự cố này làm nổi bật trở lại nhu cầu kiểm toán toàn diện và giám sát chuỗi thời gian thực để phát hiện các mô hình bất thường. Việc công bố kết quả và kế hoạch khắc phục giúp xây dựng lòng tin trong thời kỳ khủng hoảng.
Cấu hình đa chữ ký và quản lý quyền phải được áp dụng nguyên tắc đặc quyền tối thiểu, kiểm soát thay đổi và chức năng tạm dừng khẩn cấp. Các chương trình tiền thưởng cho lỗi và kiểm tra độc lập giúp giảm thiểu nguy cơ tấn công vào các hợp đồng nhạy cảm.
Phối hợp linh hoạt với CEX và DEX để đóng băng tài sản và việc lập bản đồ luồng, cùng với các quy trình AML/KYC khi cần thiết, sẽ cải thiện khả năng phản hồi. Trong những tình huống này, tính minh bạch trong vận hành và giao tiếp rõ ràng với người dùng sẽ quan trọng như bản vá kỹ thuật.
Sự cố UXLINK minh họa cách kết hợp giữa các lỗi cấp phép, áp lực thị trường và lỗi của con người của kẻ tấn công Nó có thể tạo ra một cơn lốc chỉ trong vài giờ; các biện pháp ngăn chặn, thiết kế lại hợp đồng và việc hoán đổi mã thông báo được thực hiện tốt sẽ rất quan trọng để lấy lại sự ổn định và uy tín trong trung hạn.
Tôi là một người đam mê công nghệ và đã biến sở thích “đam mê” của mình thành một nghề. Tôi đã dành hơn 10 năm cuộc đời mình để sử dụng công nghệ tiên tiến và mày mò đủ loại chương trình chỉ vì tò mò. Bây giờ tôi chuyên về công nghệ máy tính và trò chơi điện tử. Điều này là do trong hơn 5 năm, tôi đã viết cho nhiều trang web khác nhau về công nghệ và trò chơi điện tử, tạo ra các bài viết nhằm cung cấp cho bạn thông tin bạn cần bằng ngôn ngữ mà mọi người đều có thể hiểu được.
Nếu bạn có bất kỳ câu hỏi nào, kiến thức của tôi bao gồm mọi thứ liên quan đến hệ điều hành Windows cũng như Android dành cho điện thoại di động. Và cam kết của tôi là với bạn, tôi luôn sẵn sàng dành một vài phút và giúp bạn giải quyết mọi thắc mắc mà bạn có thể có trong thế giới internet này.