En deux jours, plus de 100 millions de dollars se sont évaporés, UXLINK et SFUND ont subi consécutivement des attaques de Hacker, comment se prémunir contre les flèches cachées dans la forêt sombre du chiffrement ?

Auteur : Frank, PANews

Le marché des cryptomonnaies du 22 septembre, après une chute brutale durant la journée, ressent encore le froid, et une nouvelle gelée s'ajoute durant la nuit.

Le soir du 22 septembre, le projet SocialFi très attendu, UXLINK, a été victime d'une attaque de hacker. L'attaquant a volé des actifs d'une valeur de 4 millions de dollars du coffre-fort du projet grâce à une faille dans le contrat, et a émis de manière frauduleuse jusqu'à 100 000 milliards de jetons, qu'il a ensuite vendus massivement sur la blockchain pour siphonner les actifs du fonds, réalisant finalement un bénéfice de plus de 11 millions de dollars. Dès que l'information a été révélée, la confiance du marché s'est effondrée, le prix du jeton UXLINK chutant de plus de 80 % en quelques heures, la capitalisation boursière passant d'un pic d'environ 140 millions de dollars à 16,8 millions de dollars en un instant. Cependant, la tempête des hackers n'était pas encore apaisée, et seulement 24 heures plus tard, le 23 septembre au soir, le jeton natif de la plateforme Launchpad bien établie Seedify.fund, SFUND, n'a pas échappé à ce sort. Son coffre-fort de pont inter-chaînes a été "vidé" par les hackers, avec des actifs d'une valeur de plus de 1,7 million de dollars entièrement pillés, entraînant un plongeon du prix de SFUND, qui a atteint un nouveau plus bas historique, avec une capitalisation boursière de nouveau réduite de plus de 10 millions de dollars.

En deux jours, deux projets apparemment sans rapport, avec une capitalisation boursière de plus de 100 millions de dollars, ont disparu sous la frappe précise des hackers. Cela amène chaque professionnel et investisseur à se poser à nouveau la question : en dehors des cycles de marché volatils, les vulnérabilités de sécurité provenant des profondeurs du code ne sont-elles pas l'épée de Damoclès la plus aiguisée suspendue au-dessus du monde de la cryptographie ?

"Thunder in broad daylight" d'UXLINK, un jeu mortel sur les droits d'accès.

L'effondrement d'UXLINK est un exemple typique de "rupture interne" provoquée par une vulnérabilité des permissions des contrats intelligents. Le déroulement de tout cet événement ressemble à un film criminel technologique soigneusement orchestré, rapide et mortel.

La principale cause de l'incident provient d'une "clé universelle" négligée. L'analyse montre que la première étape de l'attaquant a été d'exécuter un appel de fonction deleGateCall. Cette transaction a supprimé le rôle d'administrateur légitime du contrat UXLINK et a ajouté un nouveau propriétaire multi-signatures contrôlé par le hacker.

Selon les révélations de Cyvers Alerts, après avoir obtenu un contrôle total de la gestion, les hackers ont immédiatement commencé à transférer des actifs du portefeuille de trésorerie d'UXLINK. Les premiers actifs volés incluent environ 4 millions de dollars USDT, 500 000 dollars USDC, 3,7 WBTC et 25 ETH. Cette étape a permis aux attaquants de sécuriser des profits directs et garantis.

Ensuite, l'attaquant est entré dans la phase la plus destructrice : la frappe non autorisée de jetons. Les données de la chaîne montrent que l'attaquant a créé jusqu'à 100 000 milliards de nouveaux jetons UXLINK. Cette activité a également complètement détruit la confiance du marché, même si UXLINK a rapidement réagi en communiquant avec plusieurs CEX majeurs pour suspendre les transactions. Mais le prix sur la chaîne s'est également effondré avec l'énorme émission, atteignant un prix plancher de six décimales, presque à zéro. Une scène similaire à l'émission illimitée de LUNA s'est à nouveau reproduite.

À la date du 23 septembre, selon les prix affichés sur la chaîne, la capitalisation boursière de UXLINK est d'environ 80 dollars.

Tenant en main un approvisionnement presque illimité de jetons UXLINK, les attaquants ont commencé à procéder à des ventes planifiées sur les principales bourses décentralisées. Pour brouiller les pistes, ils ont utilisé au moins six portefeuilles différents pour échanger les jetons UXLINK nouvellement frappés contre des actifs de grande valeur. La société d'analyse blockchain Lookonchain a rapporté que les attaquants avaient obtenu au moins 6 732 ETH grâce à ces ventes, d'une valeur d'environ 28,1 millions de dollars à l'époque. Cependant, en ce qui concerne cet actif de rendement, il existe actuellement deux divergences sur les réseaux sociaux, plusieurs entreprises de sécurité (y compris le montant de perte cité par l'officiel UXLINK s'élevant à 11,3 millions de dollars).

Cependant, peu importe la méthode de calcul utilisée, elle ne peut rivaliser avec la gravité des pertes subies par la communauté cette fois-ci. Avant l'effondrement, la capitalisation boursière d'UXLINK était d'environ 150 millions de dollars, tandis qu'après avoir atteint le prix le plus bas, la capitalisation boursière affichée par les échanges centralisés est tombée à 16 millions de dollars, ce qui signifie qu'environ 100 millions de dollars de capitalisation boursière ont été évaporés pour la communauté.

Et dans ce processus, de nombreux utilisateurs ont cru à tort que les hackers arrêteraient leurs actions après avoir volé les actifs du coffre, et ont donc décidé de tenter un achat à bas prix. Sur les réseaux sociaux, de nombreux utilisateurs ont partagé qu'ils espéraient réaliser un rebond en achetant des actifs au comptant ou en ouvrant des contrats longs, mais ont finalement perdu plus de 99 %. Une adresse a investi plus de 900 000 dollars d'actifs et a finalement perdu 99,8 %.

Le "moment le plus sombre" du projet phare, où va UXLINK ?

La veille de l'attaque, l'équipe officielle d'UXLINK a publié un tweet disant "un grand événement va se produire", mais il s'est avéré que c'était une prophétie.

Après l'incident, l'équipe officielle d'UXLINK a rapidement réagi, indiquant qu'elle avait contacté plusieurs CEX pour suspendre les transactions UXLINK et qu'elle allait lancer un plan d'échange de jetons. Cependant, en raison de l'incapacité à récupérer les droits sur le contrat, il n'a pas été possible d'empêcher les hackers d'effectuer une émission massive de jetons. En conséquence, la confiance de la communauté envers UXLINK et la construction de son écosystème feront face à d'énormes défis.

Avant d'être attaqué, UXLINK était l'un des projets stars les plus suivis de ce cycle, surtout sur le marché sud-coréen, où son influence ne peut être sous-estimée. En tant que plateforme SocialFi, UXLINK a réussi à accumuler en peu de temps une vaste base d'utilisateurs grâce à son modèle unique de "réseaux sociaux entre connaissances" et de fission de groupes. Selon les informations publiques, le projet a réussi à lever plus de 9 millions de dollars, avec des investisseurs comprenant de nombreuses institutions renommées.

UXLINK considère la Corée comme un marché clé, investissant d'importantes ressources dans l'exploitation et la promotion locales, accumulant un grand nombre d'utilisateurs réels. Selon les données officielles, UXLINK a atteint le jalon de plus de 10 millions d'utilisateurs enregistrés dès 2024.

Par la suite, UXLINK a réussi à être lancé sur Upbit, la plus grande bourse réglementée de Corée, et a plusieurs fois atteint le sommet du classement des transactions quotidiennes des principales bourses coréennes Upbit et Bithumb. De plus, le contrat perpétuel a également été lancé avec succès sur Binance, élargissant ainsi son influence mondiale.

Après l'attaque, l'équipe d'UXLINK a déclaré qu'elle établirait un nouveau plan de remplacement de tokens, en offrant une compensation aux utilisateurs affectés par le biais de snapshots et autres méthodes. Cependant, le chemin reste semé d'embûches.

Le plus grand défi réside dans la reconstruction de la confiance et l'attitude des échanges. Cela est particulièrement vrai pour des échanges conformes comme Upbit, où la stabilité et la sécurité du modèle économique des tokens sont des considérations centrales pour l'inscription de nouveaux tokens et le maintien des paires de trading. Historiquement, il existe de nombreux précédents d'événements similaires ayant conduit à des suppressions. Par exemple, l'ancien Pundi AI (PUNDIX) a été retiré en raison d'une attaque de hackers qui a entraîné une émission anormale de tokens, et a finalement été retiré par des échanges conformes comme Upbit pour "information non divulguée en temps utile".

La situation actuelle d'UXLINK est très similaire à celle-ci. Si son nouveau plan de jetons ne parvient pas à convaincre Upbit et d'autres échanges qu'il peut complètement réparer les vulnérabilités et rétablir un modèle économique sain, alors "être retiré" sera un événement très probable. Une fois que la liquidité du marché principal est perdue, il sera très difficile pour UXLINK de rebondir.

Coincidences aside, la sonnette d'alarme de SFUND et la réflexion de l'industrie

Alors que le marché est encore en train d'assimiler l'impact de l'événement UXLINK, le 23 septembre au soir, le vol du jeton de gouvernance SFUND de la plateforme de lancement et d'incubation de projets Web3 Seedify.fund a de nouveau tiré la sonnette d'alarme pour l'ensemble du secteur.

Le principe d'attaque de SFUND est similaire à celui de UXLINK. Selon les révélations de Specter, les hackers de SFUND ont augmenté l'émission de tokens après avoir obtenu des autorisations sur Baseshang, atteignant un maximum de 3 décillions (10 à la 24ème puissance) de tokens émis.

Ensuite, 10 milliards de jetons ont été frappés sur la blockchain BSC et vendus pour 1,2 million de dollars d'ETH. Selon des informations connexes précédentes, ce hacker a des liens évidents avec l'organisation de hackers nord-coréenne Serenity Shield.

Bien que le montant du vol ne soit pas élevé, l'impact sur la confiance du marché est tout aussi énorme. En 15 minutes, le prix de SFUND a chuté de 73 %, la capitalisation boursière passant de 27 millions de dollars à un minimum de 11 millions de dollars. Son scénario est très similaire à celui d'UXLINK, mais on ne sait pas s'il s'agit d'une coïncidence ou si les deux attaques proviennent du même groupe de hackers.

Bien que le rapport de sécurité complet des deux événements n'ait pas encore été publié, nous pouvons néanmoins en tirer quelques réflexions. Les causes sous-jacentes des deux événements proviennent de problèmes de permissions des contrats et de l'activation de la frappe de jetons.

Le fondateur de SFUND a souligné dans un message d'avertissement que son contrat avait été audité et qu'il fonctionnait depuis trois ans. Cela montre que l'audit n'est pas une panacée, et qu'un audit régulier peut ne pas détecter tous les défauts logiques profonds. Des audits de sécurité continus et des examens de code sont essentiels.

Mais pour les utilisateurs, nous n'avons pas la logique d'examiner les contrats et leur logique de fonctionnement. Comment éviter les pièges est en effet devenu une science complexe. Une méthode plus simple pourrait être que même pour l'accumulation de devises sur le marché au comptant, il est nécessaire de définir certains ordres de stop-loss, afin d'éviter des événements imprévus qui pourraient entraîner des pertes totales.

Deuxièmement, lors de ces deux événements, de nombreux utilisateurs ont tenté de profiter de la situation en achetant à bas prix, mais ont subi des pertes importantes. Ce type d'opération est équivalent à lécher le sang sur une lame, et n'est pas recommandé.

De plus, la proposition de "snapshot swap" faite par le projet consiste généralement à enregistrer toutes les positions des utilisateurs à un moment donné avant l'attaque et à émettre une nouvelle monnaie qui sera échangée avec les utilisateurs selon un ratio. L'essence de cette proposition est de réparer les erreurs après coup, et cela ne signifie pas qu'elle peut compenser toutes les pertes.

D'UXLINK à SFUND, en l'espace de deux jours, nous avons été témoins de la façon dont une vulnérabilité dans le code peut détruire instantanément la valeur et l'écosystème d'un projet, comme un effet domino. Cela prouve une fois de plus que, dans cette forêt sombre qu'est la cryptographie, la sécurité est toujours le "1", et toutes les autres marques, communautés et capitalisations boursières ne sont que des "0" derrière. Sans ce "1" de sécurité, tout le reste devient insignifiant. Pour les porteurs de projet, il est impératif d'aborder chaque ligne de code avec le plus grand respect. Pour les investisseurs, il est crucial de placer les risques de sécurité potentiels au premier plan de leurs décisions, tout en poursuivant des rendements élevés. Sinon, le prochain à atteindre zéro pourrait être plus proche qu'il n'y paraît.