Взлом UXLink выявил риски централизованного управления в DeFi‑проектах

Децентрализованная социальная платформа UXLink сообщила о взломе мультиподписного кошелька, который привел к выпуску неавторизованных токенов и падению стоимости актива на 90%. Эксперты оценивают ущерб от $11 млн до $30 млн.

UXLink заявила, что ее новый смарт-контракт прошел аудит безопасности и будет развернут в основной сети Ethereum. Проект сообщил, что в новом контракте отсутствует функция выпуска и сжигания токенов для предотвращения подобных инцидентов в будущем.

Во вторник проект подтвердил факт взлома, сообщив, что на биржи было переведено значительное количество криптовалюты. Оценки потерь от взлома разнятся: по данным Cyvers Alerts, было похищено не менее $11 млн, а Hacken оценивает эту сумму более чем в $30 млн.

Очевидно, что инцидент выявил уязвимости безопасности смарт-контрактов, которые необходимо устранить проектам. Марван Хашем, соучредитель и генеральный директор компании FearsOff, занимающейся безопасностью Web3, сообщил, что инцидент выявил риски, связанные со спешным развитием без необходимых уровней безопасности.

Источник: UXLink

Эксплоит UXLink выявляет риски «централизованного контроля»

Злоумышленники получили контроль над смарт-контрактом UXLink через взлом мультиподписного кошелька и изначально выпустили 2 млрд токенов UXLINK. Цена токена упала на 90% с $0,33 до $0,033, пока злоумышленник продолжал выпуск. По оценкам компании Hacken, было создано почти 10 трлн токенов.

Хашем сообщил, что взлом UXLink произошел из-за уязвимости вызова делегата в их мультиподписном кошельке. Это позволило хакеру запустить произвольный код и получить административный контроль над контрактом. Он добавил, что это привело к выпуску неавторизованных токенов.

«Это действительно выявляет некоторые недостатки в архитектуре UXLink, — сказал Хашем. — Мультиподписной кошелек не был должным образом защищен от атак с вызовами делегатов, слабый контроль над тем, кто может выпускать монеты, и отсутствие встроенного кода для обеспечения ограничения эмиссии».

Хашем заявил, что это показывает, насколько рискованно «сохранять слишком централизованный контроль в проектах, которые претендуют на децентрализованность».

Необходимость временных блокировок, жестко заданных ограничений и более эффективного аудита

С технической точки зрения, Хашем заявил, что взлома UXLink можно было бы избежать с помощью нескольких стандартных мер безопасности.

Сюда входило добавление временных блокировок к таким конфиденциальным действиям, как выпуск новых токенов или смена владельца контракта. «Задержка в 24–48 часов дает сообществу возможность заметить что-то необычное до того, как это произойдет», — сказал Хашем.

Второе решение включало отказ от привилегий выпуска токенов после запуска, чтобы даже инсайдеры не могли создавать их снова. Хашем заявил, что жесткое программирование ограничений эмиссии непосредственно в смарт-контрактах предотвратит риски, связанные с выпуском новых токенов.

Что касается операционной деятельности, Хашем подчеркнул важность независимых проверок и постоянной прозрачности.

«Нельзя просто проводить аудит контракта токена. Настройка мультиподписи также требует тщательного анализа», — сказал он, призвав проекты публиковать адреса кошельков и требовать участия нескольких подписантов для каждой транзакции.

Более общий урок, по словам Хашема, заключается в том, что даже широко используемые инструменты, такие как мультиподписные кошельки, не следует считать абсолютно надежными. Он также отметил первостепенное значение стремления к более децентрализованному управлению и экстренной остановке критически важных функций.

«Инцидент с UXLink подчеркивает, что поспешное развитие без надежной и постоянной безопасности может подорвать доверие сообщества. Лучше усилить защиту с самого начала», — сказал Хашем.