За два дня испарилось более 100 миллионов долларов, UXLINK и SFUND подряд подверглись атакам Хакеров, как защититься от скрытых угроз в шифрование темном лесу?

Автор: Фрэнк, PANews

22 сентября на рынке криптовалют, дневное падение рынка не утихло, а ночью добавился новый мороз.

22 сентября вечером, нашумевший проект SocialFi UXLINK подвергся хакерской атаке. Злоумышленники воспользовались уязвимостью контракта, чтобы украсть активы на сумму 4 миллиона долларов из казны проекта, и беспричинно выпустили до 100 триллионов токенов, после чего резко распродали их на блокчейне, извлекая средства из пула активов, в результате чего получили прибыль более 11 миллионов долларов. Как только эта новость распространилась, доверие к рынку мгновенно рухнуло, цена токена UXLINK за считанные часы упала более чем на 80%, а рыночная капитализация с пиковых 140 миллионов долларов мгновенно испарилась до 16.8 миллиона долларов. Однако хакерская буря еще не утихла: всего через 24 часа, 23 сентября вечером, родной токен старейшей платформы Launchpad Seedify.fund SFUND также не избежал участи. Его кросс-чейн мост был «осушен» хакерами, активы стоимостью более 1.7 миллиона долларов были разграблены, что привело к резкому падению цены SFUND, установившему исторический минимум, а рыночная капитализация снова сократилась более чем на 10 миллионов долларов.

Два дня, два, казалось бы, не связанных проекта, более 100 миллионов долларов рыночной капитализации в результате точного удара хакеров пропали без вести. Это заставляет каждого профессионала и инвестора вновь задаться вопросом: вне колеблющихся рыночных циклов, не является ли именно уязвимость безопасности из глубин кода самым острым мечом Дамокла, висящим над головой криптомира?

"Белый гром" UXLINK, смертельная игра о полномочиях

Крах UXLINK — это典型ный случай "внутреннего взрыва", вызванного уязвимостью в разрешениях смарт-контрактов. Весь ход событий напоминает тщательно срежиссированный фильм о техническом преступлении, быстрый и смертельный.

Основной причиной инцидента стала игнорируемая "универсальная ключ". Анализ показал, что первым шагом злоумышленника стало выполнение вызова функции deleGateCall. Эта транзакция удаляла законную роль администратора из контракта UXLINK и добавляла нового владельца мультиподписей, контролируемого хакером.

Согласно утечкам от Cyvers Alerts, после получения полного управления хакеры немедленно начали переводить активы из кошелька UXLINK. Первоначально украденные активы включают около 4 миллионов долларов США в USDT, 500 тысяч долларов США в USDC, 3.7 WBTC и 25 ETH. Этот шаг обеспечил злоумышленникам прямую и гарантированную прибыль.

!

Затем злоумышленник перешел к самому разрушительному этапу: несанкционированному выпуску токенов. Данные на блокчейне показывают, что злоумышленник создал до 100 триллионов новых токенов UXLINK. Эта деятельность также полностью разрушила доверие к рынку, даже несмотря на то, что UXLINK быстро отреагировал и приостановил торговлю в сотрудничестве с несколькими крупными централизованными биржами (CEX). Однако цена на блокчейне обрушилась из-за огромного увеличения эмиссии, достигнув минимальной цены вплоть до шести знаков после запятой, практически обесценившись. Сцена с бесконечным увеличением эмиссии, подобная LUNA, снова разыгралась.

По состоянию на 23 сентября, согласно ценам на блокчейне, рыночная капитализация UXLINK составляет около 80 долларов.

Держатели токенов UXLINK с практически неограниченным предложением начали целенаправленно распродажу на крупных децентрализованных биржах. Чтобы запутать следы, они использовали как минимум шесть разных кошельков для операций, обменивая вновь выпущенные токены UXLINK на высокоценные активы. Компания по анализу блокчейна Lookonchain сообщила, что злоумышленники заработали по меньшей мере 6,732 ETH на этих продажах, что на тот момент составляло около 28,1 миллиона долларов. Однако в отношении этой прибыли в социальных сетях существует два разных мнения: ряд компаний по безопасности (включая официальные источники UXLINK) указывают на сумму убытков в 11,3 миллиона долларов.

Однако, какой бы метод расчета ни использовался, он не может сравниться с теми потерями, которые понесло сообщество. Перед крахом рыночная капитализация UXLINK составляла около 150 миллионов долларов, а после достижения минимальной цены капитализация, отображаемая на централизованных биржах, упала до 16 миллионов долларов, что означает, что сообщество потеряло около 100 миллионов долларов.

И в этом процессе многие пользователи ошибочно полагали, что хакеры остановятся после кражи активов из казны, поэтому решили рискнуть и купить на дно. В социальных сетях многие пользователи делились тем, что хотели попробовать заработать на отскоке, купив спот или открыв длинные контракты, но в результате понесли убытки более 99%. Наиболее крупный адрес вложил более 900 тысяч долларов активов и в конечном итоге понес убытки в 99,8%.

"Темные времена" звездного проекта, куда движется UXLINK?

За день до атаки официальный аккаунт UXLINK опубликовал твит: "Скоро произойдет нечто важное", но, как оказалось, это было пророчество.

!

После происшествия официальные представители UXLINK также быстро отреагировали, заявив, что они срочно связались с несколькими CEX для приостановки торговли UXLINK и начнут программу обмена токенов. Однако, поскольку они не смогли вернуть права доступа к контракту, им не удалось предотвратить хакеров от выпуска триллионных объемов токенов. Вследствие этого удара, доверие к UXLINK в сообществе и развитие экосистемы столкнутся с огромными трудностями.

Перед атакой UXLINK был одним из самых обсуждаемых звездных проектов этого цикла, особенно на корейском рынке, его влияние нельзя недооценивать. В качестве платформы SocialFi UXLINK за короткое время накопил обширную базу пользователей благодаря своей уникальной модели "социального общения между знакомыми" и групповой фрагментации. Согласно公开资料, проект накопил более 9 миллионов долларов финансирования, среди инвесторов много известных учреждений.

UXLINK рассматривает Южную Корею как ключевой рынок, вложив значительные ресурсы в локализацию и маркетинг, что позволило накопить большое количество реальных пользователей. Согласно официальным данным, UXLINK достигла рубежа в более чем 10 миллионов зарегистрированных пользователей в 2024 году.

Затем UXLINK успешно запустился на крупнейшей в Корее регулируемой бирже Upbit и несколько раз занимал первое место по суточным объемам торгов на основных корейских биржах Upbit и Bithumb. Кроме того, бессрочные контракты также успешно запущены на Binance, что further расширяет его глобальное влияние.

После атаки команда UXLINK заявила, что разработает новый план обмена токенов и предоставит компенсацию пострадавшим пользователям с помощью снимков и других методов. Однако впереди все еще ждут тернии.

Наибольшие вызовы связаны с восстановлением доверия и отношением биржи. Особенно для таких регулируемых бирж, как Upbit, стабильность и безопасность модели токенов являются основными факторами при добавлении токенов и поддержании торговых пар. В истории не раз были случаи, когда токены снимались с листинга из-за подобных инцидентов. Например, когда-то Pundi AI (PUNDIX) был снят с поддержки торгов на Upbit и других регулируемых корейских биржах из-за «несвоевременного раскрытия информации» после атаки хакеров, в результате которой токены были выпущены в избытке.

Ситуация, с которой в настоящее время сталкивается UXLINK, очень похожа на эту. Если его новая токеномика не сможет убедить Upbit и другие биржи в том, что она полностью исправит уязвимости и восстановит здоровую экономическую модель, то "делистинг" станет высоковероятным событием. Как только UXLINK потеряет ликвидность на ключевом рынке, ему будет крайне сложно вернуться к прежним позициям.

Не уникально, звонок SFUND и размышления отрасли.

Пока рынок все еще переваривает последствия события с UXLINK, вечером 23 сентября кража治理代币 SFUND платформы Seedify.fund, занимающейся инкубацией и запуском Web3 проектов, вновь прозвучала тревога для всей отрасли.

Атака на SFUND имеет аналогичный принцип, как и у UXLINK. Согласно утечкам Specter, хакеры SFUND увеличили эмиссию токенов после получения доступа на Baseshang, выпустив до 3 шти (10 в 24-й степени) токенов.

!

Затем на цепочке BSC было выпущено 10 миллиардов токенов и продано на 1,2 миллиона долларов в ETH. Согласно ранее полученной информации, этот хакер имеет явную связь с северокорейской хакерской группировкой Serenity Shield.

Хотя сумма кражи в этот раз не велика, удар по доверию рынка также огромен. В течение 15 минут цена SFUND обрушилась на 73%, а рыночная капитализация упала с 27 миллионов долларов до 11 миллионов долларов. Сценарий очень похож на UXLINK, только неизвестно, является ли это совпадением или обе атаки исходят от одной и той же хакерской группы.

Хотя полные отчеты о безопасности двух инцидентов еще не были опубликованы, мы все же можем извлечь некоторые уроки. Причины обоих инцидентов связаны с вопросами прав доступа в контрактах и переключателями для выпуска токенов.

Основатель SFUND, публикуя предупреждение, подчеркнул, что его контракт был проверен и работает уже три года. Это говорит о том, что аудит не является универсальным амулетом, и обычные аудиты могут не обнаружить все глубокие логические уязвимости; постоянный аудит безопасности и проверка кода имеют решающее значение.

Но для пользователей у нас нет логики для проверки контрактов и их работы. Как избежать ловушек действительно становится сложным искусством. Более простым способом может быть то, что даже при накоплении наличных монет следует установить некоторые необходимые ордера на остановку убытков, чтобы избежать полной потери средств в случае черного лебедя.

Во-вторых, в этих двух случаях многие пользователи в надежде на удачу пытались заранее купить по низкой цене, в результате чего понесли значительные убытки. Такие действия не отличаются от игры с огнем и недопустимы.

Кроме того, предложенный проектом план «обмена монет по снимку» обычно основывается на определённый момент времени до атаки, когда фиксируются все позиции пользователей, и выпускается новая монета, которая обменивается пользователям в пропорции. Суть этого плана заключается в том, чтобы устранить последствия уже произошедшего, и он не означает, что все потери могут быть компенсированы.

От UXLINK до SFUND, за два дня мы стали свидетелями того, как уязвимость в коде может мгновенно разрушить стоимость и экосистему проекта, подобно тому, как падают домино. Это еще раз подтверждает, что в этом темном лесу криптовалюты безопасность всегда является "1", а все остальные бренды, сообщества и рыночная капитализация – это нули позади. Без безопасности, которая является "1", все остальное не имеет смысла. Для команды проекта необходимо с величайшей уважением относиться к каждой строке кода. Для инвесторов же важно, преследуя высокую доходность, ставить потенциальные риски безопасности на первое место в принятии решений. В противном случае, следующий, кто обнулится, может оказаться не так уж и далеко.