Децентрализованная социальная платформа Uxlink заявила в среду, что развернула новый контракт Ethereum после того, как эксплойт кошелька с мультизагентом позволил злоумышленникам устроить миллиарды несанкционированных токенов и разрушить стоимость его родного актива.
Uxlink сказал, что его новый Smart Contract прошел аудит безопасности и будет развернут на Mainnet Ethereum. Проект заявил, что новый контракт снизил функцию сжигания мяты, чтобы предотвратить любые подобные инциденты в будущем.
Проект подтвердил нарушение во вторник, заявив, что на обмены было передано значительное количество криптовалюты. Оценки убытков от взлома различаются, причем уведомления о циверах оценивались по меньшей мере 11 миллионов долларов, а Хакен разместил цифру на уровне более 30 миллионов долларов.
Ясно, что инцидент подчеркивал недостатки безопасности с интеллектуальными контрактами, которые должны решить проекты. Марван Хатхем, соучредитель и генеральный директор Security Formaff Web3 Fearsoff, сказал Cointelegraph, что инцидент подчеркивал риск, спеше, без необходимых уровней безопасности.
Uxlink Exploit выделяет риски «централизованный контроль»
Злоумышленники взяли под контроль умный контракт UXLINK с помощью мультизагентного нарушения кошелька и первоначально изгоняли 2 миллиарда токенов UXLINK. Цена токена снизилась на 90% с 0,33 до 0,033 долл. США, поскольку злоумышленник продолжил майн, при этом была создана безопасная фирма Хакен, оценившая почти 10 триллионов токенов.
Хахем сказал Cointelegraph, что нарушение Uxlink происходит от уязвимости делегата в их кошельке с мультизагентом. Это позволило хакеру запустить произвольный код и взять на себя административный контроль договора. Он добавил, что это привело к майке несанкционированных токенов.
«Это действительно освещает некоторые недостатки дизайна в установке Uxlink», – сказал Хахем Cointelegraph. «Кошелек с мультизагензом, который не был должным образом защищен от подвигов делегатов, слабых элементов управления тем, кто может монеть, и без встроенного кода для обеспечения соблюдения крышки снабжения».
Хахем сказал, что в конце дня это показывает, насколько рискованно «сохранять слишком много централизованного контроля в проектах, которые утверждают, что они децентрализованы».
Связанный: Crypto.com говорит, что отчет о нераскрытой утечке пользовательских данных «необоснованно»
Потребность в временных классах, жестко -кодированных крышках и лучших аудитах
С технической точки зрения Хахем сказал, что взлома Uxlink можно было бы избежать с помощью нескольких стандартных гарантий.
Это включает в себя добавление временных районов к конфиденциальным действиям, таким как добыча новых токенов или изменение владения контрактами. «Задержка от 24 до 48 часов дает сообществу возможность обнаружить что-то необычное, прежде чем она пройдет»,-сказал Хахем.
Второе решение включает в себя отказ от привилегий майтинга после запуска токенов, чтобы даже инсайдеры не могли создавать больше. Хейхем сказал, что жесткие ограничения поставки непосредственно на интеллектуальных контрактах предотвратят риски, когда новые токены будут читать.
Что касается операционной стороны, Хахем подчеркнул важность независимых обзоров и постоянной прозрачности.
«Вы не можете просто проверять контракт с токеном. Настройка Multisig также требует проверки», – сказал он, призывая проекты общедоступности кошелька и требуется несколько подписчиков при каждой транзакции.
Более широкий урок, по словам Хахема, заключается в том, что даже часто используемые инструменты, такие как мультисиг -кошельки, не должны рассматриваться как пуленепробиваемые. Он сказал, что стремление к более децентрализованному управлению и аварийным остановкам для критических функций также имеет первостепенное значение.
«Инцидент UXLINK подчеркивает, что стремление к солидной и непрерывной безопасности может разрушить доверие сообщества. Лучше с самого начала наладить оборону», – сказал Хахем Cointelegraph.
