Em apenas dois dias, mais de 100 milhões de dólares evaporaram, UXLINK e SFUND enfrentaram ataques de hackers consecutivos, como prevenir flechas ocultas na encriptação da floresta sombria?

Autor: Frank, PANews

No mercado de criptomoedas de 22 de setembro, o frio da queda repentina durante o dia ainda não havia desaparecido, e à noite surgiu uma nova geada.

Na noite de 22 de setembro, o projeto SocialFi muito aguardado, UXLINK, sofreu um ataque hacker. Os atacantes exploraram uma vulnerabilidade no contrato inteligente para roubar 4 milhões de dólares em ativos do tesouro do projeto, e emitiram artificialmente até 100 trilhões de tokens, vendendo-os em massa na blockchain para extrair ativos do fundo, resultando em um lucro superior a 11 milhões de dólares. Assim que a notícia se espalhou, a confiança do mercado desmoronou instantaneamente, e o preço do token UXLINK despencou mais de 80% em apenas algumas horas, com a capitalização de mercado evaporando de cerca de 140 milhões de dólares para 16,8 milhões de dólares. No entanto, a tempestade hacker ainda não havia acabado; apenas 24 horas depois, na noite de 23 de setembro, o token nativo da plataforma Launchpad tradicional, Seedify.fund, SFUND, também não escapou. O tesouro da ponte cross-chain foi 'seco' pelos hackers, com ativos avaliados em mais de 1,7 milhão de dólares sendo completamente saqueados, fazendo com que o preço do SFUND despencasse, atingindo um novo mínimo histórico, com a capitalização de mercado evaporando novamente em mais de 10 milhões de dólares.

Dois dias, dois projetos aparentemente não relacionados, mais de 100 milhões de dólares em valor de mercado transformados em nada sob o ataque preciso dos hackers. Isso leva cada profissional e investidor a se perguntar novamente: fora do ciclo de mercado volátil, as vulnerabilidades de segurança que vêm das profundezas do código não são a espada afiada de Dâmocles que paira sobre o mundo das criptomoedas?

O "Thunder in Broad Daylight" da UXLINK, um jogo mortal sobre permissões

A falência da UXLINK é uma típica "explosão interna" provocada por uma vulnerabilidade nas permissões do contrato inteligente. O desenrolar de todo o evento é como um filme de crime tecnológico meticulosamente encenado, rápido e mortal.

A principal causa do evento vem de uma "chave mestra" negligenciada. A análise mostra que o primeiro passo do atacante foi executar uma chamada à função deleGateCall. Esta transação removeu o papel de administrador legítimo do contrato UXLINK e adicionou um novo proprietário de múltiplas assinaturas controlado pelo hacker.

De acordo com as revelações da Cyvers Alerts, após obter o controle total da gestão, os hackers imediatamente começaram a transferir ativos da carteira do tesouro da UXLINK. Os ativos roubados inicialmente incluem cerca de 4 milhões de USDT, 500 mil USDC, 3,7 WBTC e 25 ETH. Este passo garantiu aos atacantes lucros diretos e seguros.

Em seguida, os atacantes entraram na fase mais destrutiva: a cunhagem não autorizada de tokens. Os dados na blockchain mostram que os atacantes criaram até 100 trilhões de novos tokens UXLINK. Esta atividade também destruiu completamente a confiança do mercado, mesmo que o UXLINK tenha respondido rapidamente, comunicando-se com várias CEX principais para suspender as negociações. Mas o preço na blockchain desabou com a enorme emissão, com o preço mínimo chegando a seis casas decimais, quase zero. Uma cena semelhante à emissão infinita do LUNA se repetiu.

Até 23 de setembro, de acordo com os preços na blockchain, a capitalização de mercado do UXLINK é de cerca de 80 dólares.

Com tokens UXLINK em mãos, que têm uma oferta quase ilimitada, os atacantes começaram a realizar vendas planejadas em várias exchanges descentralizadas. Para confundir, eles usaram pelo menos seis carteiras diferentes para operar, trocando os tokens UXLINK recém-emitidos por ativos de alto valor. A empresa de análise on-chain Lookonchain relatou que os atacantes ganharam pelo menos 6.732 ETH com essas vendas, no valor de cerca de 28,1 milhões de dólares na época. No entanto, atualmente há duas divergências sobre esses ativos de rendimento nas redes sociais, com várias empresas de segurança (incluindo a quantia de perda citada oficialmente pela UXLINK sendo de 11,3 milhões de dólares).

No entanto, independentemente do método de cálculo, as perdas sofridas pela comunidade são severas. Antes do colapso, a capitalização de mercado da UXLINK era de cerca de 150 milhões de dólares, enquanto que, após atingir o preço mínimo, a capitalização de mercado exibida nas exchanges centralizadas caiu para 16 milhões de dólares, resultando em uma evaporação de cerca de 100 milhões de dólares na capitalização de mercado da comunidade.

E nesse processo, muitos usuários erroneamente acharam que os hackers parariam após roubar os ativos do cofre, por isso decidiram tentar a sorte comprando a queda. Nas redes sociais, muitos usuários compartilharam que, com a intenção de lucrar com uma possível recuperação, tentaram comprar à vista ou abrir contratos de compra, mas acabaram perdendo mais de 99%. Um dos endereços, investiu mais de 900 mil dólares em ativos, e no final perdeu 99,8%.

O "momento mais sombrio" do projeto estrela, para onde vai a UXLINK?

No dia antes do ataque, a UXLINK oficial publicou um tweet dizendo: "Algo grande está prestes a acontecer", mas não imaginavam que as palavras se tornariam realidade.

Após o ocorrido, a equipe oficial do UXLINK rapidamente reagiu, afirmando que entrou em contato de emergência com várias CEX para suspender as negociações do UXLINK e que iniciará um plano de troca de tokens. No entanto, devido à incapacidade de recuperar as permissões do contrato, não foi possível impedir que os hackers realizassem uma emissão de tokens na ordem de trilhões. Com esse duro golpe, a confiança da comunidade no UXLINK e a construção do ecossistema enfrentarão enormes desafios.

Antes de ser atacado, o UXLINK foi um dos projetos estrela mais comentados deste ciclo, especialmente no mercado sul-coreano, onde sua influência não pode ser subestimada. Como uma plataforma SocialFi, o UXLINK acumulou uma vasta base de usuários em um curto espaço de tempo, graças ao seu exclusivo modelo de "socialização entre conhecidos" e à fissão de grupos. De acordo com informações públicas, o projeto completou mais de 9 milhões de dólares em financiamento, com investidores que incluem instituições de renome.

A UXLINK considera a Coreia do Sul como um mercado central, investindo muitos recursos em operações de localização e promoção de mercado, acumulando um grande número de usuários reais. De acordo com os dados oficiais, a UXLINK já alcançou o marco de mais de 10 milhões de usuários registrados em 2024.

Subsequentemente, a UXLINK foi lançada com sucesso na maior bolsa de valores regulamentada da Coreia, a Upbit, e várias vezes alcançou o primeiro lugar no ranking de negociação diária das principais bolsas da Coreia, a Upbit e a Bithumb. Além disso, os contratos perpétuos também foram lançados com sucesso na Binance, expandindo ainda mais sua influência global.

Após o ataque, a equipe da UXLINK afirmou que irá elaborar um novo plano de troca de tokens, oferecendo compensação aos usuários afetados através de métodos como snapshots. No entanto, o caminho ainda está repleto de espinhos.

O maior desafio vem da reconstrução da confiança e da atitude das bolsas. Especialmente para bolsas regulamentadas como a Upbit, a estabilidade e segurança do modelo econômico dos tokens são as principais considerações para listar tokens e manter pares de negociação. Historicamente, houve precedentes de remoções devido a eventos semelhantes. Por exemplo, o antigo Pundi AI (PUNDIX) foi removido por bolsas reguladas na Coreia, como a Upbit, devido a um ataque hacker que resultou em uma emissão anômala de tokens, levando à interrupção do suporte à negociação sob a justificativa de "divulgação de informações não oportuna."

A situação atual do UXLINK é altamente semelhante a esta. Se o seu novo plano de token não conseguir convencer a Upbit e outras exchanges, provando que pode corrigir completamente as falhas e restaurar um modelo econômico saudável, então a "remoção" será um evento de alta probabilidade. Uma vez que perca a liquidez do mercado central, será cada vez mais difícil para o UXLINK ressurgir.

Não é coincidência, o sino de alerta do SFUND e a reflexão da indústria.

Enquanto o mercado ainda está a digerir o impacto do evento UXLINK, na noite de 23 de setembro, o roubo do token de governança SFUND da plataforma de incubação e lançamento de projetos Web3 Seedify.fund voltou a soar o alarme para toda a indústria.

O princípio de ataque do SFUND é semelhante ao do UXLINK. De acordo com as revelações do Specter, os hackers do SFUND aumentaram a emissão de tokens após obterem acesso ao Baseshang, emitindo até 3 quatrilhões (10 elevado à 24ª potência) de tokens.

Em seguida, foram cunhados 10 bilhões de tokens na blockchain BSC e vendidos por 1,2 milhão de dólares em ETH. De acordo com informações relacionadas anteriores, esse hacker tem uma clara ligação com o grupo de hackers norte-coreano Serenity Shield.

Embora o valor roubado desta vez não seja muito, o impacto na confiança do mercado é igualmente enorme. Em 15 minutos, o preço do SFUND despencou 73%, e o valor de mercado caiu de 27 milhões de dólares para um mínimo de 11 milhões de dólares. O enredo é altamente semelhante ao da UXLINK, mas não se sabe se isso é uma coincidência ou se os dois ataques foram realizados pelo mesmo grupo de hackers.

Embora ainda não tenham sido divulgados os relatórios de segurança completos sobre os dois eventos até agora, ainda podemos obter algumas reflexões a partir deles. As causas subjacentes dos dois eventos derivam de problemas de permissões em contratos e do controle de emissão de tokens.

O fundador da SFUND, ao emitir um aviso, enfatizou que seu contrato foi auditado e já está em funcionamento há três anos. Isso indica que a auditoria não é um amuleto infalível, pois auditorias regulares podem não detectar todas as falhas de lógica profundas; auditorias de segurança contínuas e revisões de código são essenciais.

Mas para os usuários, não temos a lógica para revisar contratos e sua lógica de funcionamento. Como evitar armadilhas realmente se tornou uma ciência profunda. E uma maneira mais simples pode ser que, mesmo ao acumular moedas em spot, deve-se definir algumas ordens de stop loss necessárias para evitar perder tudo devido a eventos de cisne negro.

Em segundo lugar, durante esses dois eventos, muitos usuários tentaram comprar na baixa com a esperança de que o preço voltasse a subir, mas acabaram sofrendo perdas significativas. Essa operação é equivalente a lamber uma lâmina afiada e não é aconselhável.

Além disso, a proposta da equipe do projeto de "troca de moeda por snapshot" geralmente se baseia em um determinado ponto no tempo antes do ataque, registrando as posições de todos os usuários e emitindo uma nova moeda em proporção para os usuários. A essência dessa proposta é um remédio tardio e não significa que possa compensar todas as perdas.

De UXLINK a SFUND, em apenas dois dias, testemunhámos como uma vulnerabilidade de código pode destruir instantaneamente o valor e o ecossistema de um projeto, como se fossem peças de dominó a cair. Isso novamente prova que, neste bosque escuro das criptomoedas, a segurança é sempre o "1", enquanto as outras marcas, comunidades e capitalizações de mercado são os "0" que vêm depois. Sem o "1" da segurança, tudo o que vem a seguir é sem sentido. Para os desenvolvedores, é fundamental tratar cada linha de código com o máximo respeito. Para os investidores, ao buscar altos retornos, é essencial priorizar os potenciais riscos de segurança nas decisões. Caso contrário, o próximo a zerar pode estar mais próximo do que se pensa.