Децентрализованная социальная платформа UXLink объявила о развертывании нового смарт-контракта Ethereum (ETH) после того, как злоумышленники взломали мультиподписной кошелек, выпустили миллиарды токенов и обрушили курс ее нативного актива.

UXLink сообщила, что новый смарт-контракт прошел аудит безопасности и будет внедрен в основной сети Ethereum. В новой версии убрали функцию выпуска и сжигания, чтобы исключить подобные инциденты.

Проект подтвердил факт взлома 16 сентября, уточнив, что значительная часть украденных средств была переведена на биржи. По данным Cyvers Alerts, ущерб составил не менее $11 млн, а по данным Hacken — более $30 млн.

Несмотря на расхождения в оценках, инцидент наглядно показал уязвимости смарт-контрактов. Сооснователь и CEO Web3-компании FearsOff Марван Хашем заявил, что проблема возникла из-за поспешности внедрения решений без достаточного уровня защиты.

По теме: Виталик Бутерин — низкорисковый DeFi важен для Ethereum как поиск для Google

Уязвимость мультиподписного кошелька

Атакующие получили контроль над смарт-контрактом UXLink через уязвимость delegate call в мультиподписном кошельке. Это позволило им запускать произвольный код и захватить административное управление.

В результате злоумышленники выпустили сначала 2 млрд UXLINK, а затем продолжили выпускать новые токены. По оценке Hacken, их общее число достигло почти 10 трлн. Цена UXLINK рухнула на 90% — с $0,33 до $0,033.

«В архитектуре UXLink были серьезные просчеты. Мультиподписной кошелек без защиты, отсутствие ограничений на выпуск и отсутствие встроенного кода, фиксирующего лимит предложения», — рассказал Хашем.

Он подчеркнул, что хранение слишком большого контроля в руках администраторов в проектах, заявляющих о децентрализации, создает серьезные риски.

По теме: основатель Solana призвал «ускорить» работу по защите биткоина от квантовой угрозы

Необходимость таймлоков и жестких лимитов

По словам Хашема, с технической точки зрения хакерской атаки можно было избежать при наличии базовых защитных механизмов.

Он назвал три ключевых решения:

  • добавление таймлоков на чувствительные действия, такие как выпуск новых токенов или смена владельца контракта. Задержка в 24-48 часов позволила бы сообществу заметить подозрительные транзакции;

  • отказ от полномочий по выпуску токенов после запуска, чтобы даже инсайдеры не могли их создать;

  • жесткое кодирование лимита предложения в смарт-контракте.

На операционном уровне Хашем отметил необходимость независимых проверок и прозрачности.

«Нельзя ограничиваться аудитом токен-контракта. Настройка мультиподписей также требует тщательной проверки», — сказал он. 

Эксперт предложил публиковать адреса кошельков и требовать обязательных подписей нескольких участников на каждой транзакции.

По словам Хашема, даже привычные инструменты вроде мультиподписных кошельков нельзя считать абсолютно безопасными. Он рекомендовал внедрять более децентрализованное управление и механизмы экстренной остановки критически важных функций.

«Случай UXLink показал, что поспешность без надежной и постоянной защиты подрывает доверие сообщества. Лучше строить многоуровневую систему безопасности с самого начала», — заключил он.

По теме: CZ предупредил о 60 подставных разработчиках из КНДР, выявленных SEAL