En dos días se evaporaron más de 100 millones de dólares, UXLINK y SFUND enfrentaron ataques de hackers, ¿cómo prevenir flechas ocultas en el bosque oscuro de la encriptación?

Autor: Frank, PANews

El mercado de criptomonedas del 22 de septiembre, el frío de la caída repentina del mercado durante el día no se ha ido, y la noche trae nuevas heladas.

La noche del 22 de septiembre, el proyecto SocialFi muy esperado, UXLINK, sufrió un ataque de hackers. Los atacantes robaron 4 millones de dólares de la tesorería del proyecto a través de una vulnerabilidad en el contrato y emitieron ficticiamente hasta 100 billones de tokens, vendiéndolos en gran medida en la cadena para extraer activos del fondo, obteniendo finalmente más de 11 millones de dólares de ganancias. Tras la noticia, la confianza del mercado colapsó de inmediato, y el precio del token UXLINK cayó más del 80% en solo unas horas, con una capitalización de mercado que pasó de aproximadamente 140 millones de dólares a 16.8 millones de dólares en un instante. Sin embargo, la tormenta de los hackers aún no ha cesado; solo 24 horas después, la noche del 23 de septiembre, el token nativo SFUND de la plataforma Launchpad Seedify.fund también se vio afectado. Su tesorería del puente intercadena fue "secarse" por los hackers, y activos por un valor de más de 1.7 millones de dólares fueron saqueados, lo que provocó que el precio de SFUND cayera drásticamente, alcanzando un nuevo mínimo histórico, y la capitalización de mercado volvió a evaporarse en más de 10 millones de dólares.

Dos días, dos proyectos aparentemente no relacionados, y más de 100 millones de dólares en capitalización de mercado se desvanecieron bajo el ataque preciso de los hackers. Esto hace que cada profesional e inversor se pregunte nuevamente: más allá de los ciclos volátiles del mercado, ¿son las vulnerabilidades de seguridad que provienen de lo más profundo del código la espada de Damocles más afilada que pende sobre el mundo de las criptomonedas?

"Thunder in Broad Daylight" de UXLINK, un juego mortal sobre permisos.

El colapso de UXLINK es una típica "explosión interna" provocada por una vulnerabilidad de permisos en el contrato inteligente. El desarrollo de todo el evento es como una película de crimen técnico bien orquestada, rápida y mortal.

La causa principal del evento proviene de una "llave maestra" que fue ignorada. El análisis muestra que el primer paso del atacante fue ejecutar una llamada a la función deleGateCall. Esta transacción eliminó el rol de administrador legítimo del contrato UXLINK y agregó un nuevo propietario de múltiples firmas controlado por el hacker.

Según las filtraciones de Cyvers Alerts, después de obtener el control total de la gestión, los hackers comenzaron de inmediato a transferir activos desde la billetera del tesoro de UXLINK. Los primeros activos robados incluyen aproximadamente 4 millones de dólares en USDT, 500 mil dólares en USDC, 3.7 WBTC y 25 ETH. Este paso aseguró a los atacantes beneficios directos y garantizados.

Luego, los atacantes entraron en la fase más destructiva: la acuñación no autorizada de tokens. Los datos en la cadena muestran que los atacantes crearon hasta 100 billones de nuevos tokens UXLINK. Esta actividad también destruyó por completo la confianza del mercado, a pesar de que UXLINK reaccionó rápidamente y se comunicó con varios CEX importantes para suspender el comercio. Pero el precio en la cadena colapsó junto con la enorme emisión, alcanzando precios mínimos que incluso llegaron a seis decimales, casi cerca de cero. Una escena similar a la emisión infinita de LUNA se repitió.

Hasta el 23 de septiembre, según los precios en la cadena, la capitalización de mercado de UXLINK es de aproximadamente 80 dólares.

Con una oferta casi ilimitada de tokens UXLINK en mano, los atacantes comenzaron a llevar a cabo ventas planificadas en varios intercambios descentralizados. Para confundir, utilizaron al menos seis carteras diferentes para operar, convirtiendo los tokens UXLINK recién acuñados en activos de alto valor. La empresa de análisis en cadena Lookonchain informó que los atacantes obtuvieron al menos 6,732 ETH a través de estas ventas, que en ese momento valían aproximadamente 28.1 millones de dólares. Sin embargo, en cuanto a estos activos obtenidos, actualmente existen dos divisiones en las redes sociales, con varias empresas de seguridad (incluyendo la cifra de pérdidas de 11.3 millones de dólares citada oficialmente por UXLINK).

Sin embargo, independientemente del método de cálculo utilizado, no se puede comparar con la grave pérdida sufrida por la comunidad en esta ocasión. Antes del colapso, la capitalización de mercado de UXLINK era de aproximadamente 150 millones de dólares, mientras que después de alcanzar el precio más bajo, la capitalización de mercado mostrada por los intercambios centralizados cayó a 16 millones de dólares, lo que significa que la capitalización de mercado evaporada de la comunidad es de aproximadamente 100 millones de dólares.

Y en este proceso, muchos usuarios erróneamente pensaron que los hackers se detendrían después de robar los activos de la bóveda, por lo que decidieron comprar en el fondo y arriesgarse. En las redes sociales, muchos usuarios compartieron que pretendían intentar aprovechar un rebote comprando al contado o abriendo contratos largos, pero el resultado fue una pérdida de más del 99%. La dirección que más invirtió, aportó más de 900,000 dólares en activos, y finalmente perdió el 99.8%.

El "momento más oscuro" del proyecto estrella, ¿hacia dónde va UXLINK?

Un día antes del ataque, el oficial de UXLINK publicó un tuit que decía: "Algo grande está por suceder", pero no imaginaban que se convertiría en una profecía.

Después del incidente, el equipo oficial de UXLINK reaccionó rápidamente, indicando que se había puesto en contacto de emergencia con varias CEX para suspender el comercio de UXLINK y que se iniciará un plan de intercambio de tokens. Sin embargo, debido a la imposibilidad de recuperar los permisos del contrato, no pudieron evitar que los hackers realizaran una emisión masiva de tokens en billones. A raíz de este duro golpe, la confianza en UXLINK dentro de la comunidad y la construcción del ecosistema se enfrentarán a enormes desafíos.

Antes de ser atacado, UXLINK fue uno de los proyectos estrella más destacados de este ciclo, especialmente en el mercado de Corea, donde su influencia no puede ser subestimada. Como una plataforma SocialFi, UXLINK ha acumulado una gran base de usuarios en poco tiempo gracias a su único modelo de "redes sociales entre conocidos" y la dinámica de grupos. Según información pública, el proyecto ha logrado más de 9 millones de dólares en financiamiento, con inversores que incluyen instituciones reconocidas.

UXLINK considera a Corea del Sur como un mercado clave, invirtiendo una gran cantidad de recursos en operaciones de localización y promoción de mercado, acumulando una gran cantidad de usuarios reales. Según datos oficiales, UXLINK alcanzó el hito de más de 10 millones de usuarios registrados en 2024.

Posteriormente, UXLINK se lanzó con éxito en Upbit, el intercambio regulado más grande de Corea, y ha encabezado varias veces las clasificaciones diarias de comercio de los principales intercambios de Corea, Upbit y Bithumb. Además, el contrato perpetuo también se lanzó con éxito en Binance, ampliando aún más su influencia global.

Después del ataque, el equipo de UXLINK declaró que elaborará un nuevo plan de intercambio de tokens para compensar a los usuarios afectados a través de métodos como instantáneas. Sin embargo, el camino aún está lleno de espinas.

El mayor desafío proviene de la reconstrucción de la confianza y la actitud de los intercambios. Especialmente para intercambios regulados como Upbit, la estabilidad y seguridad del modelo económico del token son consideraciones clave para listar monedas y mantener pares de negociación. Históricamente, hay numerosos precedentes de tokens que han sido eliminados debido a eventos similares. Por ejemplo, el antiguo Pundi AI (PUNDIX) fue eliminado por Upbit y otros intercambios regulados en Corea del Sur debido a un ataque de hackers que resultó en una emisión anómala de tokens, citando "divulgación de información no oportuna" como motivo para terminar el soporte de negociación.

La situación actual de UXLINK es muy similar a esta. Si su nuevo plan de tokens no logra convencer a Upbit y a otros intercambios de que puede reparar completamente las vulnerabilidades y restaurar un modelo económico saludable, entonces la "deslistación" será un evento muy probable. Una vez que se pierde la liquidez del mercado central, será cada vez más difícil para UXLINK volver a levantarse.

No es una coincidencia, la campana de alerta de SFUND y la reflexión de la industria

Mientras el mercado aún está digiriendo el impacto del evento UXLINK, la noche del 23 de septiembre, el robo del token de gobernanza SFUND de Seedify.fund, una plataforma de incubación y lanzamiento de proyectos Web3, volvió a encender la alarma en toda la industria.

El principio de ataque de SFUND es similar al de UXLINK. Según las revelaciones de Specter, los hackers de SFUND aumentaron la emisión de tokens tras obtener acceso en Baseshang, alcanzando un máximo de 3 qi (10 a la 24ª potencia) en la emisión de tokens.

Luego se acuñaron 10 mil millones de tokens en la cadena BSC y se vendieron por 1.2 millones de dólares en ETH. Según información relacionada anterior, este hacker tiene una clara conexión con la organización de hackers norcoreana Serenity Shield.

Aunque la cantidad robada esta vez no es mucha, el impacto en la confianza del mercado es igualmente enorme. En 15 minutos, el precio de SFUND se desplomó un 73%, y su capitalización de mercado cayó de 27 millones de dólares a un mínimo de 11 millones de dólares. Su guion es muy similar al de UXLINK, solo que no se sabe si esto es una coincidencia o si ambos ataques provienen del mismo grupo de hackers.

Aunque hasta ahora no se han publicado los informes de seguridad completos de los dos incidentes, todavía podemos obtener algunas reflexiones de ellos. Las causas detrás de ambos incidentes se originan en problemas de permisos de contrato y en el interruptor de acuñación de tokens.

El fundador de SFUND enfatizó en un mensaje de advertencia que su contrato ha sido auditado y ha estado en funcionamiento durante tres años. Esto indica que la auditoría no es un amuleto de la suerte infalible, ya que las auditorías regulares pueden no detectar todos los fallos lógicos profundos, y las auditorías de seguridad continuas y la revisión del código son cruciales.

Pero para los usuarios, no tenemos la lógica para revisar los contratos y su lógica de funcionamiento. La pregunta de cómo evitar trampas se ha convertido, de hecho, en un tema profundo. Y una manera más sencilla podría ser que, incluso si se trata de acumular criptomonedas en el mercado spot, se deben establecer algunas órdenes de stop-loss necesarias, para evitar perder todo en caso de un evento de cisne negro.

En segundo lugar, en estos dos eventos, muchos usuarios se lanzaron a comprar anticipadamente con la esperanza de obtener beneficios, pero terminaron sufriendo pérdidas significativas. Esta operación es tan peligrosa como lamer la sangre de un cuchillo y no es recomendable.

Además, se propone a los desarrolladores del proyecto un plan de "intercambio de monedas por instantánea", que generalmente se basa en un punto en el tiempo antes del ataque, registrando todas las posiciones de los usuarios y emitiendo una nueva moneda que se intercambia a los usuarios en proporción. La esencia de este plan es una medida correctiva tardía y no significa que se puedan compensar todas las pérdidas.

De UXLINK a SFUND, en el transcurso de dos días, hemos sido testigos de cómo un fallo en el código puede destruir instantáneamente el valor y el ecosistema de un proyecto, como si se tratara de la caída de fichas de dominó. Esto vuelve a demostrar que, en este bosque oscuro de las criptomonedas, la seguridad siempre es un "1", mientras que las otras marcas, comunidades y capitalizaciones de mercado son ceros que vienen después. Sin la seguridad como "1", todo lo demás carece de sentido. Para los equipos de proyecto, es imperativo tratar cada línea de código con el más alto respeto. Para los inversores, es necesario, al perseguir altos rendimientos, priorizar el riesgo de seguridad potencial en la toma de decisiones. De lo contrario, el próximo en llegar a cero podría estar más cerca de lo que se piensa.