Децентралізована соціальна платформа UXLINK заявила, що в середу вона розгорнула новий контракт Ethereum після того, як багаторазовий експлуатація гаманця дозволила зловмисникам м’яти мільярди несанкціонованих токенів та розбити вартість його рідного активу.
UXLINK заявив, що його новий розумний контракт пройшов аудит безпеки і буде розгорнутий на Mainnet Ethereum. Проект заявив, що новий контракт відмовився від функції м’ятного спалювання, щоб запобігти будь-яких подібних випадках у майбутньому.
Проект підтвердив порушення у вівторок, заявивши, що значна кількість криптовалюти була передана на обмін. Оцінки збитків від хакла змінюються, коли Cyvers Alerts оцінює, що він побачив, що не менше 11 мільйонів доларів, а Хакен розміщує цю цифру на рівні понад 30 мільйонів доларів.
Зрозуміло, що інцидент підкреслив розумні недоліки безпеки контракту, які повинні вирішити проекти. Марван Хачем, співзасновник та генеральний директор фірми з безпеки Web3 Fearsoff, заявив Cointelegraph, що інцидент підкреслив ризики поспіху вперед без необхідних шарів безпеки.
Uxlink експлуатувати висвітлення ризиків “централізованого контролю”
Зловмисники взяли під контроль розумний контракт UxLink через багатосторонній порушення гаманця і спочатку витрачали 2 мільярди токенів UXLINK. Ціна Токена знизилася на 90% з 0,33 до 0,033 дол.
Хашем сказав Cointelegraph, що порушення UXLINK походить від вразливості виклику делегатів у їх мультизначному гаманці. Це дозволило хакеру запустити довільний код і взяти на себе адміністративний контроль за договором. Він додав, що це призвело до картинки несанкціонованих токенів.
“Це дійсно перевіряє деякі недоліки дизайну в налаштуванні UXLINK”, – сказав Хачем Cointelegraph.”Багатосторонній гаманець, який не був належним чином захищений від подвигів делегатних дзвінків, LAX керує тим, хто міг би м’яти, і не вбудований код для забезпечення обмеження постачання”.
Хашем сказав, що наприкінці дня це показує, наскільки ризиковано “зберегти занадто багато централізованого контролю в проектах, які претендують на децентралізацію”.
Пов’язане: Crypto.com говорить про нерозкритий витік даних користувачів “необгрунтований”
Потреба в часових часах, твердих кодованих ковпачках та кращих аудитів
З технічної точки зору, Хачем заявив, що злом UXLINK можна було уникнути за допомогою декількох стандартних гарантій.
Сюди входить додавання часу до чутливих дій, таких як м’ята нові токени або зміна власності на контракт.”Затримка від 24 до 48 годин дає громаді можливість помітити що-небудь незвичне, перш ніж вона пройде”,-сказав Хачем.
Друге рішення включає відмову від привілеїв м’яти після запуску токенів, щоб навіть не інсайдери не могли створити більше. Хашем сказав, що жорсткі кодуючі обмеження поставок безпосередньо на розумних контрактів запобігатимуть ризикам нових токенів.
З оперативної сторони Хачем наголосив на важливості незалежних оглядів та постійної прозорості.
“Ви не можете просто перевірити контракт на маркер. Мультигаря також потребує ретельної перевірки”, – сказав він, закликаючи проекти оприлюднити адреси гаманця та потребують декількох підписників у кожній транзакції.
За словами Хахема, ширший урок полягає в тому, що навіть часто використовувані інструменти, такі як мультисні гаманці, не повинні розглядатися як куленепроникні. Він сказав, що натискання на більш децентралізоване управління та аварійні зупинки для критичних функцій також мають надзвичайно важливе значення.
“Інцидент UXLINK підкреслює, що поспішання вперед без твердої та постійної безпеки може зруйнувати впевненість у спільноті. Краще збільшити захисні сили з самого початку”, – сказав Хачем Cointelegraph.
