著者:フランク、PANews
9月22日の暗号通貨市場では、昼間の市場の急落の寒気はまだ去らず、夜には新たな霜が降りた。
9月22日の夜、注目を集めているSocialFiプロジェクトUXLINKがハッキング攻撃を受けた。攻撃者は契約の脆弱性を利用してプロジェクトの金庫から400万ドルの資産を盗み、最大で10兆枚のトークンを不正に発行し、チェーン上で大幅に売却して資金プールの資産を引き出し、最終的に1100万ドル以上の利益を得た。このニュースが報じられると、市場の信頼は瞬時に崩壊し、UXLINKトークンの価格はわずか数時間で80%以上暴落し、市場価値は約1.4億ドルの高値から1680万ドルに瞬時に蒸発した。しかし、ハッカーの嵐はまだ収まっておらず、わずか24時間後の9月23日の夜、老舗LaunchpadプラットフォームSeedify.fundのネイティブトークンSFUNDも免れなかった。そのクロスチェーンブリッジの金庫がハッカーによって「干からび」、170万ドル以上の資産が一掃され、SFUNDの価格は急落し、歴史的な最低値を更新し、市場価値は再び1000万ドル以上蒸発した。
2日間、無関係に見える2つのプロジェクトが、1億ドルを超える時価総額を持つ中、ハッカーの正確な攻撃によって消え去りました。これにより、すべての業界関係者や投資家は再び自問せざるを得ません:変動する市場サイクルの外で、コードの深部から来るセキュリティホールこそが、暗号の世界の上にかかる最も鋭いダモクレスの剣ではないのか?
UXLINKの崩壊は、スマートコントラクトの権限の脆弱性が引き起こした典型的な「内部爆破」です。この事件の経緯は、巧妙に編成された技術犯罪映画のように、迅速かつ致命的です。
事件の主な原因は無視されていた「万能鍵」から来ています。分析によると、攻撃者の最初のステップはdeleGateCall関数の呼び出しを実行することでした。この取引はUXLINK契約から正当な管理者役割を削除し、ハッカーが制御する新しいマルチシグ所有者を追加しました。
Cyvers Alertsのリークによると、ハッカーは完全な管理権を取得した後、UXLINKの金庫ウォレットから資産の移転を直ちに開始しました。初期に盗まれた資産には、約400万ドルのUSDT、50万ドルのUSDC、3.7枚のWBTC、25枚のETHが含まれています。このステップにより、攻撃者は直接かつ確実な利益を確保しました。
!
その後、攻撃者は最も破壊的な段階に入った:無許可でトークンを発行した。オンチェーンデータによると、攻撃者は最大10兆の新しいUXLINKトークンを創造した。この活動は市場の信頼を完全に破壊し、UXLINKは迅速に反応し、複数の主要なCEXと連絡を取り合い取引を停止した。しかし、オンチェーンの価格は大量発行に伴い崩壊し、最低価格は小数点以下6桁に達し、ほぼゼロに近づいた。LUNAの無限発行と似た光景が再び繰り広げられた。
9月23日時点で、オンチェーンの価格に基づくと、UXLINKの時価総額は約80ドルです。
無限に近い供給量を握るUXLINKトークンを手にした攻撃者は、主要な分散型取引所で計画的に売却を開始しました。情報を混乱させるために、少なくとも6つの異なるウォレットを使用して操作し、新たに鋳造されたUXLINKトークンを高価値資産に交換しました。チェーン上の分析会社Lookonchainは、攻撃者がこれらの販売を通じて少なくとも6,732ETHを獲得したと報告しており、その当時の価値は約2,810万ドルです。しかし、この収益資産に関しては、現在ソーシャルメディア上で二つの意見が分かれており、多くのセキュリティ会社(UXLINKの公式が引用した損失額は1,130万ドルとされています)が存在します。
しかし、どの計算方法を用いても、コミュニティが今回受けた損失は深刻です。崩壊前、UXLINKの時価総額は約1.5億ドルでしたが、最低価格に達した後、中央集権型取引所の価格が示す時価総額は1600万ドルに落ち込み、コミュニティが失った時価総額は約1億ドルです。
その過程で、多くのユーザーがハッカーが金庫の資産を盗んだ後に手を引くと思い込んでいたため、底値で賭けようとしました。ソーシャルメディアでは、多くのユーザーが現物を買ったりロングポジションを開いたりして反発を狙おうとした結果、99%以上の損失を被ったと共有しています。最も多くの資産を投入したアドレスでは、90万ドル以上を投じ、最終的に99.8%の損失を出しました。
攻撃の前日、UXLINKの公式は「大事が起こる」とのツイートを発表したが、まさかその通りになるとは思わなかった。
事件発生後、UXLINK公式も迅速に反応し、緊急に複数のCEXに連絡してUXLINKの取引を一時停止することを表明し、トークン交換計画を開始することを発表しました。しかし、契約権限を回収できなかったため、ハッカーによる万億規模のトークン増発を阻止することができませんでした。この大打撃を受けて、UXLINKはコミュニティの信頼とエコシステムの構築に巨大な挑戦に直面することになります。
攻撃を受ける前、UXLINKはこのサイクルで最も注目されているスタープロジェクトの一つであり、特に韓国市場ではその影響力は無視できないものでした。SocialFiプラットフォームとして、UXLINKは独自の「知人ソーシャル」とグループのバイラルモデルを活用し、短期間で膨大なユーザーベースを構築しました。公開資料によると、このプロジェクトは900万ドル以上の資金調達を完了しており、投資家には著名な機関も含まれています。
UXLINKは韓国をコア市場と見なし、大量のリソースを投入してローカライズ運営とマーケティングを行い、多くの実ユーザーを蓄積しました。公式データによると、UXLINKは2024年には登録ユーザーが1000万人を超えるマイルストーンを達成しています。
その後、UXLINKは韓国最大のコンプライアンス取引所Upbitに成功裏に上場し、韓国の主要取引所UpbitとBithumbの日次取引ランキングで何度もトップに立ちました。また、永続契約もBinanceに成功裏に上場し、さらにそのグローバルな影響力を拡大しました。
攻撃が発生した後、UXLINKチームは新しいトークン交換計画を策定し、スナップショットなどの方法で損害を受けたユーザーに補償を提供することを表明しました。しかし、前途は依然として thorn に満ちています。
最大の課題は、信頼の再構築と取引所の態度から来ています。特にUpbitのようなコンプライアンス取引所にとって、トークン経済モデルの安定性と安全性は、上場と取引ペアの維持において核心的な考慮事項です。歴史的に見ると、同様の事件により上場廃止された例は少なくありません。例えば、かつてのPundi AI (PUNDIX)は、ハッキング攻撃を受け、トークンの異常発行が発生し、最終的にUpbitなどの韓国のコンプライアンス取引所によって「情報開示が遅れた」という理由で取引支持が終了されました。
UXLINKが現在直面している状況は、これに非常に似ています。新しいトークン計画がUpbitや他の取引所を納得させることができず、欠陥を完全に修正し健全な経済モデルを回復できることを証明できなければ、「上場廃止」が高確率で起こるでしょう。コア市場の流動性を失った場合、UXLINKが再起することは非常に困難になるでしょう。
市場がUXLINK事件の影響を消化している最中の9月23日夜、Web3プロジェクトの孵化および立ち上げプラットフォームSeedify.fundのガバナンストークンSFUNDが盗まれたことで、業界全体に再び警鐘が鳴らされました。
SFUNDの攻撃原理はUXLINKと同様で、Specterの暴露によると、SFUNDのハッカーはBaseshangで権限を取得した後、発行量を増加させ、最大で3秭(10の24乗)のトークンを発行しました。
その後、BSCチェーンで100億枚のトークンを発行し、120万ドル相当のETHを売却しました。以前の関連情報によると、このハッカーは以前の北朝鮮のハッカー組織Serenity Shieldと明らかな関係があります。
今回の盗難額はそれほど多くはありませんが、市場への信頼への打撃は同様に大きいです。15分以内に、SFUNDの価格は73%急落し、市場価値は2700万ドルから最低1100万ドルまで下がりました。そのシナリオはUXLINKと非常に似ていますが、これは偶然なのか、2回の攻撃が同じハッカーグループによるものなのかはわかりません。
現在のところ、2回の事件の完全な安全報告はまだ公開されていませんが、私たちはそこからいくつかの考察を得ることができます。2回の事件の背後にある原因は、契約の権限の問題とトークンの鋳造のスイッチに起因しています。
SFUNDの創設者は警告メッセージを発表する際に、その契約が監査を受けており、3年間運用されていることを強調しました。これは、監査が万能の保護手段ではなく、通常の監査ではすべての深層ロジックの脆弱性を発見できない可能性があることを示しています。継続的な安全監査とコードレビューが非常に重要です。
しかし、ユーザーにとって、私たちは契約やその運用ロジックを審査するロジックを持っていません。どのようにリスクを回避するかは、確かに深い学問となっています。そして、より簡単な方法は、現物を保有する場合でも、いくつかの必要なストップロス注文を設定して、ブラックスワンイベントが発生して資本を失うのを防ぐことかもしれません。
次に、これらの二つの事件の中で、多くのユーザーが運任せの心理で早めに底値を掴もうとした結果、大きな損失を被りました。このような操作はまるで刃の上で血を舐めるようなもので、推奨されません。
さらに、プロジェクト側が提案する「スナップショットによるコイン交換」の方針は、通常、攻撃が発生する前の特定の時点を基準として、すべてのユーザーの保有を記録し、新しいコインを比例配分してユーザーに配布するというものです。このような方針の本質は、後悔先に立たずであり、すべての損失を補填できるわけではありません。
UXLINKからSFUNDまでの2日間で、コードの脆弱性がドミノ倒しのように瞬時にプロジェクトの価値とエコシステムを破壊する様子を目の当たりにしました。これは再び、暗い森林のような暗号の世界では、安全性が常に「1」であり、他のブランド、コミュニティ、時価総額は後ろの「0」であることを証明しています。「1」である安全性がなければ、後ろのすべては無意味です。プロジェクト側にとっては、すべてのコード行に最大の敬意を持って接する必要があります。投資者にとっては、高いリターンを追求する一方で、潜在的な安全リスクを意思決定の最優先事項に置く必要があります。さもなければ、次にゼロになるのは、遠くない未来かもしれません。
75.1K 人気度
128.8K 人気度
245K 人気度
167.2K 人気度
18K 人気度
2日間で1億ドル以上が蒸発、UXLINKとSFUNDは相次いでハッカー攻撃に遭遇、暗号化された暗い森はどのように暗い矢を防ぐのか?
著者:フランク、PANews
9月22日の暗号通貨市場では、昼間の市場の急落の寒気はまだ去らず、夜には新たな霜が降りた。
9月22日の夜、注目を集めているSocialFiプロジェクトUXLINKがハッキング攻撃を受けた。攻撃者は契約の脆弱性を利用してプロジェクトの金庫から400万ドルの資産を盗み、最大で10兆枚のトークンを不正に発行し、チェーン上で大幅に売却して資金プールの資産を引き出し、最終的に1100万ドル以上の利益を得た。このニュースが報じられると、市場の信頼は瞬時に崩壊し、UXLINKトークンの価格はわずか数時間で80%以上暴落し、市場価値は約1.4億ドルの高値から1680万ドルに瞬時に蒸発した。しかし、ハッカーの嵐はまだ収まっておらず、わずか24時間後の9月23日の夜、老舗LaunchpadプラットフォームSeedify.fundのネイティブトークンSFUNDも免れなかった。そのクロスチェーンブリッジの金庫がハッカーによって「干からび」、170万ドル以上の資産が一掃され、SFUNDの価格は急落し、歴史的な最低値を更新し、市場価値は再び1000万ドル以上蒸発した。
2日間、無関係に見える2つのプロジェクトが、1億ドルを超える時価総額を持つ中、ハッカーの正確な攻撃によって消え去りました。これにより、すべての業界関係者や投資家は再び自問せざるを得ません:変動する市場サイクルの外で、コードの深部から来るセキュリティホールこそが、暗号の世界の上にかかる最も鋭いダモクレスの剣ではないのか?
UXLINKの「DAYLIGHTNING」、権限に関する致命的なゲーム
UXLINKの崩壊は、スマートコントラクトの権限の脆弱性が引き起こした典型的な「内部爆破」です。この事件の経緯は、巧妙に編成された技術犯罪映画のように、迅速かつ致命的です。
事件の主な原因は無視されていた「万能鍵」から来ています。分析によると、攻撃者の最初のステップはdeleGateCall関数の呼び出しを実行することでした。この取引はUXLINK契約から正当な管理者役割を削除し、ハッカーが制御する新しいマルチシグ所有者を追加しました。
Cyvers Alertsのリークによると、ハッカーは完全な管理権を取得した後、UXLINKの金庫ウォレットから資産の移転を直ちに開始しました。初期に盗まれた資産には、約400万ドルのUSDT、50万ドルのUSDC、3.7枚のWBTC、25枚のETHが含まれています。このステップにより、攻撃者は直接かつ確実な利益を確保しました。
!
その後、攻撃者は最も破壊的な段階に入った:無許可でトークンを発行した。オンチェーンデータによると、攻撃者は最大10兆の新しいUXLINKトークンを創造した。この活動は市場の信頼を完全に破壊し、UXLINKは迅速に反応し、複数の主要なCEXと連絡を取り合い取引を停止した。しかし、オンチェーンの価格は大量発行に伴い崩壊し、最低価格は小数点以下6桁に達し、ほぼゼロに近づいた。LUNAの無限発行と似た光景が再び繰り広げられた。
9月23日時点で、オンチェーンの価格に基づくと、UXLINKの時価総額は約80ドルです。
無限に近い供給量を握るUXLINKトークンを手にした攻撃者は、主要な分散型取引所で計画的に売却を開始しました。情報を混乱させるために、少なくとも6つの異なるウォレットを使用して操作し、新たに鋳造されたUXLINKトークンを高価値資産に交換しました。チェーン上の分析会社Lookonchainは、攻撃者がこれらの販売を通じて少なくとも6,732ETHを獲得したと報告しており、その当時の価値は約2,810万ドルです。しかし、この収益資産に関しては、現在ソーシャルメディア上で二つの意見が分かれており、多くのセキュリティ会社(UXLINKの公式が引用した損失額は1,130万ドルとされています)が存在します。
しかし、どの計算方法を用いても、コミュニティが今回受けた損失は深刻です。崩壊前、UXLINKの時価総額は約1.5億ドルでしたが、最低価格に達した後、中央集権型取引所の価格が示す時価総額は1600万ドルに落ち込み、コミュニティが失った時価総額は約1億ドルです。
その過程で、多くのユーザーがハッカーが金庫の資産を盗んだ後に手を引くと思い込んでいたため、底値で賭けようとしました。ソーシャルメディアでは、多くのユーザーが現物を買ったりロングポジションを開いたりして反発を狙おうとした結果、99%以上の損失を被ったと共有しています。最も多くの資産を投入したアドレスでは、90万ドル以上を投じ、最終的に99.8%の損失を出しました。
スタープロジェクトの「最も暗い時」、UXLINKはどこへ行くのか?
攻撃の前日、UXLINKの公式は「大事が起こる」とのツイートを発表したが、まさかその通りになるとは思わなかった。
!
事件発生後、UXLINK公式も迅速に反応し、緊急に複数のCEXに連絡してUXLINKの取引を一時停止することを表明し、トークン交換計画を開始することを発表しました。しかし、契約権限を回収できなかったため、ハッカーによる万億規模のトークン増発を阻止することができませんでした。この大打撃を受けて、UXLINKはコミュニティの信頼とエコシステムの構築に巨大な挑戦に直面することになります。
攻撃を受ける前、UXLINKはこのサイクルで最も注目されているスタープロジェクトの一つであり、特に韓国市場ではその影響力は無視できないものでした。SocialFiプラットフォームとして、UXLINKは独自の「知人ソーシャル」とグループのバイラルモデルを活用し、短期間で膨大なユーザーベースを構築しました。公開資料によると、このプロジェクトは900万ドル以上の資金調達を完了しており、投資家には著名な機関も含まれています。
UXLINKは韓国をコア市場と見なし、大量のリソースを投入してローカライズ運営とマーケティングを行い、多くの実ユーザーを蓄積しました。公式データによると、UXLINKは2024年には登録ユーザーが1000万人を超えるマイルストーンを達成しています。
その後、UXLINKは韓国最大のコンプライアンス取引所Upbitに成功裏に上場し、韓国の主要取引所UpbitとBithumbの日次取引ランキングで何度もトップに立ちました。また、永続契約もBinanceに成功裏に上場し、さらにそのグローバルな影響力を拡大しました。
攻撃が発生した後、UXLINKチームは新しいトークン交換計画を策定し、スナップショットなどの方法で損害を受けたユーザーに補償を提供することを表明しました。しかし、前途は依然として thorn に満ちています。
最大の課題は、信頼の再構築と取引所の態度から来ています。特にUpbitのようなコンプライアンス取引所にとって、トークン経済モデルの安定性と安全性は、上場と取引ペアの維持において核心的な考慮事項です。歴史的に見ると、同様の事件により上場廃止された例は少なくありません。例えば、かつてのPundi AI (PUNDIX)は、ハッキング攻撃を受け、トークンの異常発行が発生し、最終的にUpbitなどの韓国のコンプライアンス取引所によって「情報開示が遅れた」という理由で取引支持が終了されました。
UXLINKが現在直面している状況は、これに非常に似ています。新しいトークン計画がUpbitや他の取引所を納得させることができず、欠陥を完全に修正し健全な経済モデルを回復できることを証明できなければ、「上場廃止」が高確率で起こるでしょう。コア市場の流動性を失った場合、UXLINKが再起することは非常に困難になるでしょう。
まったく偶然ではなく、SFUNDの警鐘と業界の反省
市場がUXLINK事件の影響を消化している最中の9月23日夜、Web3プロジェクトの孵化および立ち上げプラットフォームSeedify.fundのガバナンストークンSFUNDが盗まれたことで、業界全体に再び警鐘が鳴らされました。
SFUNDの攻撃原理はUXLINKと同様で、Specterの暴露によると、SFUNDのハッカーはBaseshangで権限を取得した後、発行量を増加させ、最大で3秭(10の24乗)のトークンを発行しました。
!
その後、BSCチェーンで100億枚のトークンを発行し、120万ドル相当のETHを売却しました。以前の関連情報によると、このハッカーは以前の北朝鮮のハッカー組織Serenity Shieldと明らかな関係があります。
今回の盗難額はそれほど多くはありませんが、市場への信頼への打撃は同様に大きいです。15分以内に、SFUNDの価格は73%急落し、市場価値は2700万ドルから最低1100万ドルまで下がりました。そのシナリオはUXLINKと非常に似ていますが、これは偶然なのか、2回の攻撃が同じハッカーグループによるものなのかはわかりません。
現在のところ、2回の事件の完全な安全報告はまだ公開されていませんが、私たちはそこからいくつかの考察を得ることができます。2回の事件の背後にある原因は、契約の権限の問題とトークンの鋳造のスイッチに起因しています。
SFUNDの創設者は警告メッセージを発表する際に、その契約が監査を受けており、3年間運用されていることを強調しました。これは、監査が万能の保護手段ではなく、通常の監査ではすべての深層ロジックの脆弱性を発見できない可能性があることを示しています。継続的な安全監査とコードレビューが非常に重要です。
しかし、ユーザーにとって、私たちは契約やその運用ロジックを審査するロジックを持っていません。どのようにリスクを回避するかは、確かに深い学問となっています。そして、より簡単な方法は、現物を保有する場合でも、いくつかの必要なストップロス注文を設定して、ブラックスワンイベントが発生して資本を失うのを防ぐことかもしれません。
次に、これらの二つの事件の中で、多くのユーザーが運任せの心理で早めに底値を掴もうとした結果、大きな損失を被りました。このような操作はまるで刃の上で血を舐めるようなもので、推奨されません。
さらに、プロジェクト側が提案する「スナップショットによるコイン交換」の方針は、通常、攻撃が発生する前の特定の時点を基準として、すべてのユーザーの保有を記録し、新しいコインを比例配分してユーザーに配布するというものです。このような方針の本質は、後悔先に立たずであり、すべての損失を補填できるわけではありません。
UXLINKからSFUNDまでの2日間で、コードの脆弱性がドミノ倒しのように瞬時にプロジェクトの価値とエコシステムを破壊する様子を目の当たりにしました。これは再び、暗い森林のような暗号の世界では、安全性が常に「1」であり、他のブランド、コミュニティ、時価総額は後ろの「0」であることを証明しています。「1」である安全性がなければ、後ろのすべては無意味です。プロジェクト側にとっては、すべてのコード行に最大の敬意を持って接する必要があります。投資者にとっては、高いリターンを追求する一方で、潜在的な安全リスクを意思決定の最優先事項に置く必要があります。さもなければ、次にゼロになるのは、遠くない未来かもしれません。