Децентрализованная социальная платформа UXLink сообщила в среду о развертывании нового Ethereum-контракта после того, как взлом мультиподписного кошелька позволил злоумышленникам создать миллиарды неавторизованных токенов и обрушить стоимость нативного актива проекта.
UXLink сообщила, что новый смарт-контракт прошел аудит безопасности и будет развернут в основной сети Ethereum. Проект заявил, что новый контракт исключил функцию создания и сжигания токенов, чтобы предотвратить подобные инциденты в будущем.
Проект подтвердил взлом во вторник, заявив, что значительное количество криптовалюты было переведено на биржи. Оценки убытков от взлома различаются: Cyvers Alerts оценивает их как минимум в $11 миллионов, а Hacken оценивает сумму более чем в $30 миллионов.
Ясно одно: инцидент выявил недостатки в безопасности смарт-контрактов, которые проектам следует устранить. Marwan Hachem, соучредитель и генеральный директор компании Web3 security firm FearsOff, рассказал Cointelegraph, что инцидент подчеркнул риски поспешности без необходимых уровней безопасности.
Взлом UXLink высветил риски «централизованного контроля»
Злоумышленники получили контроль над смарт-контрактом UXLink через взлом мультиподписного кошелька и первоначально создали 2 миллиарда токенов UXLINK. Цена токена упала на 90% с $0,33 до $0,033, поскольку злоумышленник продолжал создавать токены, при этом компания Hacken оценивает общее количество созданных токенов почти в 10 триллионов.
Hachem рассказал Cointelegraph, что взлом UXLink произошел из-за уязвимости delegate call в их мультиподписном кошельке. Это позволило злоумышленнику выполнять произвольный код и захватить административный контроль над контрактом, что привело к созданию неавторизованных токенов.
«Это действительно высвечивает некоторые недостатки в конструкции UXLink», — сказал Hachem Cointelegraph. «Мультиподписный кошелек, который не был должным образом защищен от эксплойтов delegate call, слабый контроль над тем, кто мог создавать токены, и отсутствие встроенного кода для обеспечения ограничения предложения».
Hachem сказал, что это показывает, насколько рискованно «сохранять слишком много централизованного контроля в проектах, которые заявляют о своей децентрализации».
Необходимость таймлоков, жестко заданных ограничений и более качественных аудитов
С технической точки зрения, Hachem сказал, что взлома UXLink можно было избежать, используя несколько стандартных мер предосторожности.
Это включало добавление таймлоков к чувствительным действиям, таким как создание новых токенов или изменение права собственности на контракт. «Задержка в 24–48 часов дает сообществу возможность заметить что-либо необычное, прежде чем это произойдет», — сказал Hachem.
Второе решение заключалось в отказе от привилегий создания токенов после запуска токенов, чтобы даже инсайдеры не могли создать больше. Hachem сказал, что жесткая кодировка ограничений предложения непосредственно в смарт-контрактах предотвратит риск создания новых токенов.
В операционном плане Hachem подчеркнул важность независимых обзоров и постоянной прозрачности.
«Нельзя просто проверять токен-контракт. Необходимо также тщательно изучить настройку мультиподписи», — сказал он, призывая проекты публиковать адреса кошельков и требовать нескольких подписей для каждой транзакции.
Более широкий урок, по словам Hachem, заключается в том, что даже часто используемые инструменты, такие как мультиподписные кошельки, не следует считать неуязвимыми. Он сказал, что продвижение децентрализованного управления и аварийной остановки критически важных функций также имеют первостепенное значение.
«Инцидент с UXLink показывает, что поспешность без надежной и постоянной безопасности может разрушить доверие сообщества. Лучше с самого начала усилить защиту», — сказал Hachem Cointelegraph.
