Протягом двох днів зникло понад 100 мільйонів доларів, UXLINK і SFUND піддалися атакам хакерів, як захиститися від таємних загроз у шифрованому темному лісі?

Автор: Френк, PANews

22 вересня на ринку криптовалют, в денний час ринок різко впав, а вночі додав новий мороз.

Увечері 22 вересня, на який особливо звертали увагу, проект SocialFi UXLINK зазнав хакерської атаки. Зловмисники через вразливість контракту вкрали активи на суму 4 мільйони доларів з проектного фонду та безпідставно випустили до 100 трильйонів токенів, а потім різко продали їх на ланцюзі, щоб отримати активи з пулу фінансування, в результаті чого отримали прибуток понад 11 мільйонів доларів. Як тільки ця новина з'явилася, впевненість на ринку миттєво впала, ціна токена UXLINK за кілька годин впала більш ніж на 80%, а ринкова капіталізація з приблизно 140 мільйонів доларів різко зменшилася до 16,8 мільйона доларів. Проте, буря хакерських атак ще не вщухла. Лише через 24 години, 23 вересня ввечері, рідний токен платформи Launchpad Seedify.fund SFUND також не зміг уникнути долі. Його крос-ланцюговий міст був "висушений" хакерами, активи на суму понад 1,7 мільйона доларів були вкрадені, що призвело до різкого падіння ціни SFUND, що встановила історичний мінімум, а ринкова капіталізація знову зникла більш ніж на 10 мільйонів доларів.

Два дні, два, здавалося б, непов'язані проекти, з ринковою капіталізацією понад 100 мільйонів доларів, під точним ударом хакерів перетворилися на ніщо. Це змушує кожного професіонала та інвестора знову запитати себе: чи не є безпекові вразливості з глибин коду найбільш гострим мечем Дамокла, що висить над криптовалютним світом, поза волатильними ринковими циклами?

"Блискавка в ясний день" UXLINK, смертельна гра про права

Падіння UXLINK є типовим прикладом "внутрішнього вибуху", викликаного уразливістю прав доступу в смарт-контрактах. Увесь розвиток подій нагадує ретельно спланований технічний кримінальний фільм, що розгортається швидко і смертельно.

Основною причиною події є ігнорований "універсальний ключ". Аналіз показує, що першим кроком зловмисника стало виконання виклику функції deleGateCall. Ця транзакція видалила законну роль адміністратора з контракту UXLINK і додала нового власника з мультипідписом, контрольованого хакером.

Згідно з інформацією від Cyvers Alerts, після отримання повного управлінського контролю хакер відразу ж почав переносити активи з гаманця-скарбу UXLINK. На початковому етапі було вкрадено активів на суму близько 4 мільйонів доларів США у USDT, 500 тисяч доларів США у USDC, 3,7 WBTC та 25 ETH. Цей крок забезпечив зловмиснику прямий та гарантований прибуток.

!

Потім зловмисник перейшов до найруйнівнішої стадії: несанкціонованого карбування токенів. Дані в ланцюгу показують, що зловмисник створив до 100 трильйонів нових токенів UXLINK. Ця діяльність також повністю зруйнувала довіру до ринку, навіть якщо UXLINK швидко відреагував, спілкуючись з кількома основними CEX щодо призупинення торгівлі. Але ціна в ланцюгу разом з величезним емісією також обвалилася, досягнувши мінімальної ціни навіть до шести знаків після коми, майже до нуля. Схожа сцена з безкінечним емісією LUNA знову розігралася.

Станом на 23 вересня, згідно з цінами на блокчейні, ринкова капіталізація UXLINK становить приблизно 80 доларів.

Зловмисники, тримаючи в руках майже безмежну кількість токенів UXLINK, почали планомірно продавати їх на великих децентралізованих біржах. Щоб заплутати сліди, вони використовували щонайменше шість різних гаманців для операцій, обмінюючи нововиготовлені токени UXLINK на активи високої вартості. Компанія з аналізу блокчейну Lookonchain повідомила, що зловмисники отримали щонайменше 6,732 ETH через ці продажі, що на той момент становило близько 28,1 мільйона доларів. Але щодо цього прибуткового активу в соціальних мережах існують два різні погляди, і багато компаній з безпеки (включаючи офіційно згадану UXLINK суму збитків у 11,3 мільйона доларів).

Проте, незалежно від обраного методу розрахунку, це не порівняти з серйозністю втрат, які зазнала спільнота. Перед крахом ринкова капіталізація UXLINK становила близько 150 мільйонів доларів, а після досягнення найнижчої ціни ринкова капіталізація, показана централізованими біржами, впала до 16 мільйонів доларів, що означає, що спільнота втратила близько 100 мільйонів доларів.

І, під час цього процесу, багато користувачів помилково вважали, що хакери після крадіжки активів з сейфу зупиняться, тому вирішили ризикнути і купити на дні. У соціальних мережах багато користувачів ділилися тим, що намагалися зробити ставку на відскок, купуючи спот або відкриваючи довгі контракти, в результаті чого втратили понад 99%. Найбільша адреса вклала понад 900 тисяч доларів активів, зрештою зазнавши втрат у 99,8%.

"Найтемніший час" зіркового проєкту, куди далі UXLINK?

За день до атаки офіційний аккаунт UXLINK опублікував твіт: "Незабаром відбудеться щось велике", але ніхто не сподівався, що це справдиться.

!

Після інциденту офіційний представник UXLINK швидко відреагував, зазначивши, що терміново зв'язався з кількома CEX для призупинення торгівлі UXLINK, і буде розпочато план обміну токенів. Проте, через неспроможність повернути контрактні права, не вдалося зупинити хакера від випуску токенів на трильйонні суми. Внаслідок цього важкого удару, довіра до UXLINK у спільноті та екосистемна розбудова зіткнуться з величезними викликами.

Перед атакою UXLINK був одним з найбільш обговорюваних зіркових проектів цього циклу, особливо на корейському ринку, його вплив важко переоцінити. Як SocialFi платформа, UXLINK завдяки своїй унікальній моделі «соціальних зв'язків» та групової фрагментації за короткий час накопичив величезну базу користувачів. Згідно з відкритими даними, проект накопичив понад 9 мільйонів доларів фінансування, серед інвесторів є відомі установи.

UXLINK вважає Корею своїм основним ринком, інвестуючи значні ресурси в локалізацію та маркетинг, накопичивши велику кількість реальних користувачів. За даними офіційних джерел, UXLINK досягнув рубежу в понад 10 мільйонів зареєстрованих користувачів у 2024 році.

Після цього UXLINK успішно запустився на найбільшій в Південній Кореї ліцензованій біржі Upbit і неодноразово займав перші місця у щоденному торговому рейтингу основних бірж Південної Кореї Upbit та Bithumb. Крім того, безстрокові контракти також успішно запустилися на Binance, що ще більше розширило його глобальний вплив.

Після атаки команда UXLINK заявила, що розробить новий план обміну токенів, щоб компенсувати постраждалим користувачам за допомогою знімків та інших методів. Однак попереду все ще багато труднощів.

Найбільші виклики походять від відновлення довіри та ставлення біржі. Особливо для таких відповідальних бірж, як Upbit, стабільність і безпека економічної моделі токена є основними міркуваннями при його виведенні на біржу та підтримці торгових пар. Історично було чимало випадків, коли токени знімалися з біржі через подібні інциденти. Наприклад, колишній Pundi AI (PUNDIX) був знятий з біржі Upbit та інших корейських відповідальних бірж через "несвоєчасне розкриття інформації" після того, як зазнав хакерської атаки, що призвела до ненормального збільшення емісії токенів.

Ситуація, з якою стикається UXLINK, дуже схожа на цю. Якщо їх нова токеноміка не зможе переконати Upbit та інші біржі, доводячи, що вона здатна повністю виправити вразливості та відновити здорову економічну модель, то "вилучення" буде ймовірним результатом. Як тільки буде втрачена ліквідність на основному ринку, UXLINK буде важко повернутися до життя.

Не одинокий, дзвінок SFUND і роздуми галузі

Поки ринок все ще переварює наслідки події UXLINK, 23 вересня ввечері викрадення токена управління SFUND платформи Seedify.fund, яка займається інкубацією та запуском проектів Web3, знову привернуло увагу всього сектору.

Принцип атаки SFUND аналогічний UXLINK, згідно з витоком інформації від Specter, хакери SFUND здійснили додаткову емісію токенів після отримання доступу на Baseshang, максимальна емісія становила 3 жита (10 в 24 ступені) токенів.

!

Потім на ланцюзі BSC було випущено 10 мільярдів токенів і продано за 1,2 мільйона доларів США в ETH. Згідно з попередньою пов’язаною інформацією, цей хакер має очевидний зв’язок з попередньою північнокорейською хакерською організацією Serenity Shield.

Хоча вкрадена сума не є великою, удар по довірі на ринку також є величезним. Протягом 15 хвилин ціна SFUND впала на 73%, а ринкова капіталізація з 27 мільйонів доларів знизилася до 11 мільйонів доларів. Сценарій дуже схожий на UXLINK, але невідомо, чи це випадковість, чи обидва напади були здійснені однією і тією ж хакерською групою.

Хоча на даний момент повні звіти про безпеку обох інцидентів ще не опубліковані, ми все ж можемо отримати деякі роздуми з цього. Причинами обох інцидентів стали проблеми з правами контракту та перемикачем для емісії токенів.

Засновник SFUND під час публікації попереджувальної інформації підкреслив, що їхній контракт пройшов аудит і працює вже три роки. Це свідчить про те, що аудит не є універсальним оберегом, звичайний аудит може не виявити всі глибокі логічні вразливості, тому постійний аудит безпеки та перевірка коду є надзвичайно важливими.

Але для користувачів ми не маємо логіки для перевірки контрактів та їх операційної логіки. Як уникнути пасток, дійсно стає складним мистецтвом. А більш простий спосіб може полягати в тому, що навіть при зберіганні криптовалюти у споті слід встановити деякі необхідні ордери на стоп-лосс, щоб уникнути фінансових втрат через ненадзвичайні події.

По-друге, під час цих двох подій багато користувачів, сподіваючись на удачу, вирішили купити на дні, в результаті чого зазнали значних втрат. Такі дії не відрізняються від лизання ножа, і їх не слід вчиняти.

Крім того, команда проекту пропонує схему «заміни монет за знімком», яка зазвичай передбачає фіксацію всіх активів користувачів на певний момент часу до атаки, і випуск нової монети, яка обмінюється на користувачів у певному співвідношенні. Суть цієї схеми полягає в тому, щоб виправити помилки, але це не означає, що вона може компенсувати всі втрати.

Від UXLINK до SFUND, за два дні ми стали свідками того, як кодова вразливість може миттєво знищити вартість і екосистему проекту, як доміно. Це знову доводить, що в криптовалютному темному лісі безпека завжди є "1", а інші бренди, спільноти, ринкова капіталізація - це "0" позаду. Без безпеки, цього "1", все інше не має сенсу. Для команди проекту необхідно з найвищою повагою ставитися до кожного рядка коду. Для інвесторів важливо, переслідуючи високий прибуток, ставити потенційні ризики безпеки на перше місце у прийнятті рішень. Інакше, наступний, хто знеціниться, може бути зовсім близько в майбутньому.